ASIGNATURA:

TALLER DE INVESTIGACIN II

PRESENTA:
Morales Hernndez Yazmin Yareli.

CARRERA:
Ing. Sistemas Computacionales.

PROYECTO:

La Banca Electrnica y sus Riesgos

Veracruz, Ver.

2016.
ndice

ndice .......................................................................................................................................... ii

ndice de Ilustraciones ..............................................................................................................0iv

1. Introduccin ....................................................................................................................... 1

2. Marco Metodolgico ......................................................................................................... 2

2.1 Problemtica ...................................................................................................................... 2

2.2 Justificacin ....................................................................................................................... 3

2.3 Objetivos ............................................................................................................................ 3

2.3.1 Objetivo General ......................................................................................................... 3

2.3.2 Objetivos Especficos .................................................................................................. 3

2.4 Alcance .............................................................................................................................. 4

2.5 Limitaciones ....................................................................................................................... 4

3. Marco Terico. .................................................................................................................. 5

3.1 Evolucin de los Sistemas de Informacin para la Banca en Mxico. ............................. 5

3.2 Situacin de la Banca en Mxico. ...................................................................................... 6

3.3 Seguridad en la Banca........................................................................................................ 7

3.4 Protocolos de Seguridad. ............................................................................................... 8

3.4.1 Protocolo SSL (Secure Sockets Layer). ...................................................................... 9

3.4.2. Protocolo TLS (Transport Layer Security). ............................................................. 15

3.4.3 Protocolo SET (Secure Electronic Transaction). .......................................................... 16

ii
 3.5 Los peligros de la banca electrnica. ............................................................................. 17

3.5 Suplantacin de Identidad (Phishing). ....................................................................... 20

3.6 Programa Espa (Spyware). ........................................................................................... 22

3.7 Tipos de fraude electrnico que suceden con ms frecuencia. ....................................... 23

4. La Banca Electrnica y sus Riesgos ................................................................................ 24

4.1 Consejos de seguridad para operaciones en la banca electrnica. ............................. 24

4.2 Cmo mitigar los Riesgos de operar en la banca electrnica. .................................... 25

4.3 Recomendaciones para Evitar ser Vctima de Phishing ............................................. 26

4.4 Cinco recomendaciones para evitar el Spyware .......................................................... 27

Conclusiones.............................................................................................................................. 28

Referencias Electrnicas............................................................................................................ 30

iii
ndice de Ilustraciones

Ilustracin 1 Ilustracin 1 Ubicacin de SSL en la pila TCP/IP ................................................. 9

Ilustracin 2 Protocolos de SSL ................................................................................................ 10

Ilustracin 3 Protocolo de registro de SSL ................................................................................ 12

Ilustracin 4 Integridad en el protocolo de registro de SSL ...................................................... 13

Ilustracin 5 Protocolo Handshake de SSL ............................................................................... 14

Ilustracin 6 Agentes del SET ................................................................................................... 17

Ilustracin 7 Formas de pago seguro de kaspersky Lab ............................................................ 19

Ilustracin 8 Phishing ................................................................................................................ 21

iv
1. Introduccin

En la presente investigacin analiza la importancia que han tenido los sistemas de informacin
para las Instituciones Financieras, como lo es el caso se ver la evolucin de la banca en nuestro
pas y la situacin en la que nos encontramos Banca Electrnica, as como los diferentes riesgos
que podemos encontrar al operar La banca tambin se darn una serie de recomendaciones para no
ser vctima de algn riesgo

La banca electrnica tambin es conocida como Home Banking, Banca Virtual, E-Banking o PC-
Banking. En algunos casos, la banca telefnica, la banca mvil y los cajeros automticos se
incluyen dentro de este concepto.

Las operaciones bancarias habilitadas difieren segn el banco, siendo las ms comunes son:
Verificar el saldo y movimientos de las cuentas bancarias, Solicitar prstamos, Transferir dinero
entre cuentas bancarias, Contratar depsitos a plazos fijos, Comprar moneda extranjera,
Conocer tasas de inters y tasas de cambio, Realizar pagos de servicios (domiciliacin de gastos),
Efectuar inversiones , tales como compras de ttulos de deuda (pblicos y privados), acciones y
participaciones en fondos comunes de inversin entre otros.

1
2. Marco Metodolgico

2.1 Problemtica

Hemos tenido un gran avance en el comercio electrnico, este negocio apenas est comenzando y
es por lo cual se ven algunas reas de oportunidad que se tienen.

Uno de las principales preocupaciones que tenemos los mexicanos es la seguridad.

Los fraudes cibernticos a los tarjetahabientes es un problema que ha tenido la Banca Mexicana y
es por eso que se buscan sistemas de seguridad que nos infundan confianza para de esta manera
tener una cultura de la banca en lnea.

Las finanzas, arte de manejar el dinero. Muchas personas pensarn que el trmino finanzas es
slo para aquellos que se dedican al manejo del capital. Y estn en un grave error, ya que quin no
maneja dinero en estos tiempos? Todo mundo hacemos finanzas, todo a nuestro alrededor gira en
un entorno econmico.

El dinero es un mecanismo de intercambio, pero para hacer estos intercambios se necesita ms de

una persona, una que venda algo y que ese algo lo necesite el otro.

En ocasiones no es tan sencilla la operacin, y se necesita de un tercero, en muchos de los casos

estos son las Instituciones Financieras.

Las Instituciones Financieras han venido cambiando a lo largo de los aos su manera de operacin.
Cada da se han hecho ms eficientes al buscar las maneras en que sus clientes tengan ms
beneficios de estar con ellos.

Los Sistemas de Informacin han sido en gran parte el motor de estos cambios, ya que cada da nos
sorprende ms las mltiples operaciones que podemos hacer desde nuestra casa, carro u oficina.

2
2.2 Justificacin

En esta investigacin se muestra la evolucin de la banca electrnica en Mxico, los diferentes

riesgos al operar la banca de igual manera se estudiara la seguridad en la banca para que ms
usuarios estn informados, as mismo se darn a conocer algunos de los mecanismos que han
venido usando los Bancos para proteger a sus clientes.

2.3 Objetivos

2.3.1 Objetivo General

Dar a conocer a todos los usuarios los riegos y los peligros al operar en la banca
electrnica

2.3.2 Objetivos Especficos

Conocer el servicio de banca por Internet y los aspectos relacionados.

Informar a los usuarios cules son los pasos para operar la banca electrnica.
Identificar los diferentes riesgos y peligros que pueden existir en la banca electrnica.

3
2.4 Alcance

Este documento est dirigido a las personas que utilicen los servicios que brinda la Banca
Electrnica en Mxico. La investigacin describe cuales son los factores de riesgo que afectan a
la banca electrnica.

2.5 Limitaciones

La falta de informacin que se tiene acerca del uso de los servicios de la banca electrnica y La
falta de conocimientos en el rea de riesgos y como poder usar adecuadamente un programa de
servicios financieros en lnea.

4
3. Marco Terico.

3.1 Evolucin de los Sistemas de Informacin para la Banca en Mxico.

Hacia el ao 1900, Carlos Aguilar Villalobos1 mencionaba, slo existan bancos en algunas
ciudades del pas, por lo que si se deseaba abrir una cuenta de ahorro, era necesario ir a la oficina
bancaria, cada una de las cules contaba con su propia autonoma.

Para el ao 1960 se tenan que hacer manualmente todas las operaciones, esto requera de mucho
tiempo. La operacin ms comn eran los depsitos a cuentas de ahorros.

Cuando se abran las cuentas, los clientes firmaban las cartulinas y estas eran guardadas para revisar
si era la misma firma a la hora de cambiar un cheque. Algunas otras actividades de los bancos como
otorgar crditos estaban exclusivas para algunas clases de las sociedades.

Todos estos mecanismos fueron cambiando a finales de la dcada de los 60, ya que viene un
importante crecimiento econmico y es ah donde comienza la era computacional en los bancos.

Cada una de las sucursales trabajaba independientemente de las otras. Para los aos 70, comenz
con el desarrollo de la tecnologa, ya con las computadoras se crearon archivos guardados en cintas
para eliminar aquellas cartulinas guardadas.

A partir de los aos 80, se contaba con una dispositivo para verificar las firmas de los cheques,
poco despus desapareci este mtodo entrando las claves electrnicas para registrarlas.

El Telefax fue til para dar avisos de un lugar a otro e inclusive desde otros pases. Poco despus
se utiliz el sistema auto-respuesta que haca posible la transmisin directa entre un banco central
y todas las sucursales.

1
Consejero Independiente en IXE Grupo Financiero, SA de CV, en el Comisionado Nacional Financiera SNC,
Comisionado en el Banco Nacional de Comercio Exterior SNC, y Director Independiente en Hipotecaria Mxico

5
En 1969 las tarjetas de crdito permitieron manejar informacin personal de los clientes. Sin
embargo cada que el cliente quera hacer alguna compra, la tienda tena que hablar al Banco para
revisar la posibilidad del cargo.

El sistema On-line viene del ao 1979, el cul logra un registro en el momento en que se da la

operacin, gracias a esto los clientes podan consultar saldos en las sucursales sin esperar varios

das para que se hicieran las transacciones.

Aos ms tarde vienen los cajeros automticos, que automatiz varios servicios que brindaban los
bancos, tales como retiros de efectivos y pagos de servicios. La tarjeta de nmina llega unos aos
ms tarde.

Para 1988 la banca por telfono apoyada con los sistemas satelitales, centrales y fibras pticas
comenz a tener una utilidad muy elevada.

Es a finales del ao 1999 cuando se ofrecen los servicios a travs de la web, sin embargo los
portales de las instituciones financieras fueron lanzados hasta el ao 2000.

Es aqu cuando el cliente ya no tiene que ir ni siquiera al cajero o llamar por telfono realizar sus
asuntos, sino que en la comodidad de su casa puede hacer sus movimientos y servicios bancarios.

La banca electrnica, segn un importante grupo financiero ha hecho que los bancos tengan una
captacin de clientes muy grande, ya que hoy en tan slo 3 meses los bancos logran acumular
alrededor de 220 mil clientes, mientras que treinta aos antes hubieran tardado ms de tres aos.

3.2 Situacin de la Banca en Mxico.

En nuestro pas el negocio de la Banca Electrnica ha tenido un xito muy grande y en poco tiempo
se han multiplicado el nmero de clientes bancarios. Mxico se encuentra dentro de los pases con
mayor uso de la Banca Electrnica, segn un estudio realizado por Unisys, seguido por Australia
y Estados Unidos.

6
Alejandro Pineda Mosio, director de canales de Banca Comercial de BBVA-Bancomer (Enero 9,
2006) comentaba que En cinco aos se logr prcticamente hacer el mismo nmero de
transacciones financieras y no financieras por Internet que en ventanillas

Para las Instituciones Financieras fomentar la Banca en Lnea es fundamental, ya que para ellos
representan menores costos. Pero no slo los beneficios son para ellos, sino tambin para los
clientes, ya que representan ahorros en tiempo, transporte, en seguridad, etc.

Y es que la banca en lnea el cliente puede realizar todas las operaciones que hace en una ventanilla
bancaria.

Algunos de los servicios que pueden hacer los usuarios son consultas de saldos, estados de cuenta,
movimientos diarios, traspasos, depsitos, inversiones, pago a servicios bsicos, pago de servicios
bsicos, pagos interbancarios, entre otros

Es tan grande la manera en que la banca ha venido a revolucionar el mercado que se pudiera pensar
que ya no hay crecimiento.

Sin embargo, la Banca en Lnea est naciendo y existen muchas debilidades que el Sistema
Financiero en conjunto con los Sistemas de Informacin debe ir mejorando.

Ya que uno de las principales preocupaciones de los mexicanos es la seguridad con la que cuentan.

3.3 Seguridad en la Banca

Mxico est avanzando en la seguridad electrnica, ya que cada vez sus Bancos se estn
incorporando ms a mecanismos de seguridad que eviten los robos de identidad, como lo es el caso
del Sistema Identrus2.

2
El Identrus Global ID Verification System (el Sistema Identrus), diseado para que el sector financiero
encabece el comercio electrnico seguro B2B basado en PKI y firma digital

7
Este sistema, consiste en emitir un certificado tanto para el Banco asociado como para el cliente, y
sern los bancos los encargados de revisar toda la identidad de sus clientes y la seguridad que tenga
el equipo en que hagan sus movimientos, de esta manera se har una certificacin de la tarjeta.

Este certificado segn consta de dos dispositivos que es el chip de la tarjeta y un puerto USB para
la computadora, al querer el cliente utilizar la Banca en lnea tendr que introducir su tarjeta al
puerto para obtener una clave antes de que la transaccin sea autorizada explic Catherine McGrail,
vocera de Bladex.

Victor Carpizo, director de productos de MasterCard en Mxico la desconfianza del

tarjetahabiente y las prdidas generadas por fraudes a los comercios, son las principales frenos para
el avance del comercio electrnico, es por eso que MasterCard, VISA y Banamex disearon
Secure Code, que ayuda a los clientes a reconocer su compra mediante un password.

Banamex por su parte otorg el sistema de seguridad Netkey, que tiene la funcin de un Biper, y
da una clave al cliente para hacer movimientos, segn seala Banamex, gracias a NetKey
disminuy en un 70% los fraudes desde el 2004 a la fecha.

3.4 Protocolos de Seguridad.

Existen diversos protocolos de seguridad utilizados para realizar las transacciones electrnicas,
pero lo ms utilizados son los siguientes:

SSL/TLS. Es un protocolo de seguridad para cualquier aplicacin de Internet y, por lo tanto,

se puede utilizar en el comercio electrnico. Est muy extendido y actualmente todos los
navegadores comerciales lo implementan
SET. Es un protocolo especialmente diseado para el comercio electrnico con tarjetas de
crdito.

SSL (Secure Sockets Layer) y TLS (Transport Layer Security).

8
3.4.1 Protocolo SSL (Secure Sockets Layer).

El SSL es un protocolo seguro de Internet inventado por la empresa Netscape. No es exclusivo del
comercio electrnico sino que sirve para cualquier comunicacin va Internet y, por lo tanto,
tambin para transacciones econmicas. Est implementado por defecto en todos los navegadores
de Netscape para Webs, o sea, para el protocolo http. Sustituye los sockets del sistema operativo.
Los sockets son el interficie entre las aplicaciones y el protocolo TCP/IP del sistema operativo (Ver
Figura 1).

Ilustracin 1 Ilustracin 1
Ubicacin de SSL en la pila TCP/IP

Para diferenciar las pginas dentro de una zona de servidor SSL, Netscape utiliza la denominacin
https y se conecta mediante el puerto 443.

El SSL puede realizar las funciones:

Fragmentacin. En el emisor se fragmentan los bloques mayores que 214 octetos y en

el receptor se vuelven a reensamblar.
Compresin. Se puede aplicar un algoritmo de compresin a los mensajes.
Autenticacin. Permite autenticar el cliente y el servidor mediante certificados. Este
proceso se realiza durante la fase de Handshake. Durante la transmisin los mensajes
autentican al emisor mediante un resumen con clave, llamado MAC, en cada mensaje.

9
 Integridad. En todos los mensajes se protege la integridad mediante el MAC.
Confidencialidad. Todos los mensajes se envan encriptados.
Se utilizan certificados X.509v3 para la transmisin de las claves pblicas.

El protocolo SSL se divide en dos capas complementarias (ver Figura 2.):

Protocolo Handshake. Realiza las siguientes funciones:

Autenticacin de usuario y servidor.
Seleccin de los parmetros de la sesin y de la conexin.
Establece la conexin segura.
Protocolo de registro (Record protocol). Se utiliza para la encriptacin de
los protocolos de las capas ms altas Handshake y aplicaciones.

Ilustracin 2 Protocolos de SSL

El protocolo SSL se comporta como una mquina de estados, durante el intercambio de

informacin siempre hay un estado de escritura activo y otro pendiente y un
estado de lectura activo y otro pendiente. Para cambiar del estado activo al pendiente
se utiliza un subprotocolo del Handshake llamado Change Cipher Spec.
Entre dos entidades cliente y servidor se pueden abrir varias sesiones SSL, aunque no es habitual,
y dentro de cada sesin se pueden mantener varias conexiones SSL. Las conexiones se abren o
cierran a travs del protocolo de Handshake.

10
Un estado de sesin incluye los siguientes elementos:

Identificador de sesin. Un nmero arbitrario elegido por el servidor para identificar la

sesin.
Certificado. El certificado X.509v3 del otro.
Mtodo de compresin. Algoritmo de compresin.
Algoritmo de encriptacin. Especifica el algoritmo simtrico de encriptacin para
confidencialidad y la funcin Hash de resumen para integridad. Tambin se definen
atributos de Hash o encriptacin.
Clave maestra. Un nmero de 48 bytes secreto entre el servidor y el cliente.
Flag de nuevas conexiones. Indica si desde esta sesin se pueden iniciar nuevas conexiones.

Un estado de conexin incluye los siguientes elementos:

Nmeros aleatorios del servidor y el cliente. Nmeros de inicio de la secuencia elegidos

por el cliente y el servidor.
Nmero secreto del cliente para MAC. Nmero secreto utilizado por el cliente para calcular
los MAC de sus mensajes.
Nmero secreto del servidor para MAC. Nmero secreto utilizado por el servidor para
calcular los MAC de sus mensajes.
Clave secreta del cliente. Clave secreta utilizada por el cliente para encriptar sus mensajes.
Clave secreta del servidor. Clave secreta utilizada por el servidor para encriptar sus
mensajes.
Vectores iniciales (IV). Si se utiliza encriptacin con modo CBC (Cipher Block Chainning)
se necesita un vector inicial para cada clave.
Nmeros de secuencia. Cada parte actualiza nmeros de secuencia en cada mensaje, estos
son puestos a cero cuando se recibe un mensaje change chiper spec.

11
Protocolo de registro en SSL.

El protocolo de registro realiza las funciones de seguridad sobre los mensajes que llegan de la capa
de Handshake o de las aplicaciones (HTTP, FTP,...). Para ello utiliza los parmetros de conexin
que se han negociado antes mediante la capa de Handshake.
En la Figura 3 se pueden ver las funciones realizadas por orden de actuacin en el emisor.

Ilustracin 3 Protocolo de registro de SSL

La fragmentacin divide los mensajes mayores de 214 bytes en bloques ms pequeos.

La compresin se realiza utilizando el algoritmo que se ha negociado en la fase inicial, puede ser
algoritmo nulo (Null) si no se comprimen los mensajes.
La autenticacin e integridad se realiza calculando un resumen del mensaje concatenado con un
nmero secreto y el nmero de secuencia (Ver Figura 4 en la siguiente pgina). El resultado de este
resumen es el MAC y se aade al mensaje. La autenticacin se puede comprobar con el nmero
secreto, que slo comparten el cliente y el servidor, y mediante el nmero de secuencia que nunca
viaja en claro. La integridad se realiza mediante la funcin Hash.

12
 Ilustracin 4 Integridad en el protocolo de registro de SSL

La confidencialidad se realiza encriptando con un algoritmo simtrico mediante la clave secreta

negociada en el Handshake. Las encriptaciones pueden ser de:

Bloque. Se encripta en bloques de 64 bits. Si el mensaje no es mltiplo de 64 se aaden bits

de relleno y se indica en el formato del mensaje. Los algoritmos utilizados son RC2 y DES
en forma CBC, para la forma CBC se utiliza un vector inicial (IV) previamente pactado.
Stream. Se encripta realizando la OR-Exclusiva entre los bytes y un generador
pseudoaleatorio, este generador es el algoritmo RC4.

Protocolo Handshake en SSL.

Se encarga de establecer, finalizar y mantener las conexiones SSL. Durante el Handshake se

negocian los parmetros generales de la sesin y los particulares de cada conexin.

En la siguiente pgina se muestra la Figura 5 en la que se puede ver el esquema del protocolo
Handshake en SSL.

13
 Ilustracin 5 Protocolo Handshake de SSL

Los mensajes llevan la siguiente informacin:

ClientHello. Es el mensaje que enva el cliente cuando establece contacto con un servidor
seguro. Describe los parmetros que quiere utilizar durante la sesin.
Algoritmos de encriptacin. Consecutivamente enva los algoritmos por orden de
preferencia de intercambio de claves, encriptacin de mensajes y MAC.
Algoritmos de compresin. Se envan los algoritmos que acepta por orden de preferencia.
ServerHello. Se envan los algoritmos elegidos para la conexin, siempre deben ser alguno
de los propuestos en el mensaje de ClientHello. Si no hay acuerdo con los algoritmos se
enva un mensaje de error.
Certificado o ServerKeyExchange. Si el servidor tiene certificado X.509v3 se enva, sino
no tiene se puede utilizar el mensaje ServerKeyExchange para enviar la clave pblica sin
certificado. El cliente puede elegir si acepta una clave sin certificado.
CertificateRequest. Los servidores pueden pedir certificados a los clientes utilizando este
mensaje.
CertificateVerify. Si el cliente recibe una peticin de certificado debe enviar su certificado
mediante este mensaje.

14
 ClientKeyExchange. Se enva un nmero aleatorio que sirve para calcular la clave maestra,
esta clave sirve para generar todas las claves y nmeros secretos utilizados en SSL. Se enva
encriptada con la clave pblica del servidor.
ChangeCipherSpec. Inicia la sesin segura.
Finished. Termina la fase de Handshake. Sirve para comprobar que la negociacin de
parmetros y claves ha funcionado correctamente.

3.4.2. Protocolo TLS (Transport Layer Security).

Su origen es el SSL versin 3 pero se aparta de ste para mejorar algunas cosas y, sobre todo,
porque SSL es propiedad de una empresa privada: Netscape. As el TLS puede ser el estndar
mundial para todo el software de cliente y servidor. El TLS permite compatibilidad con SSLv3, el
cliente y el servidor definen el protocolo utilizado durante el Handshake.

Las diferencias ms importantes son sobre los siguientes aspectos:

Alerta de certificado. En respuesta al mensaje CertificateRequest los clientes que no tienen

certificado slo contestan con un mensaje de alerta si son SSL.
Claves de sesin. Se calculan de forma diferente.
Algoritmos de intercambio de claves. El TLS no soporta el algoritmo Fortezza Kea del SSL,
un algoritmo secreto y de propiedad privada muy similar al Diffie Hellman.
Campos incluidos en el MAC. En TLS se utilizan dos campos ms del mensaje que en SSL
para el clculo del MAC. Es ms seguro.

15
3.4.3 Protocolo SET (Secure Electronic Transaction).

El SET es un protocolo inventado exclusivamente para realizar comercio electrnico con tarjetas
de crdito. Fue impulsado por las empresas de tarjetas de crdito Visa y MasterCard, las ms
extendidas e importantes del mundo. Han colaborado en su desarrollo las empresas ms
significativas del mundo de la telemtica: GTE, IBM, Microsoft, SAIC, Terisa, Verisign, etc... La
participacin de estas empresas tan importantes y especialmente el impulso de las marcas de
tarjetas Visa y MasterCard hacen que este protocolo tenga muchas posibilidades de convertirse en
el futuro sistema de comercio electrnico seguro.
Es un sistema abierto y multiplataforma, donde se especifican protocolos, formatos de mensaje,
certificados, etc... sin limitacin de lenguaje de programacin, sistema operativo o mquina. El
formato de mensajes est basado en el estndar definido por la empresa SA Data Security Inc.
PKCS-7, como los protocolos S-MIME y SSL.
La especificacin del SET v1.0 est contenida en 3 volmenes publicados en mayo de 1997 y es
de libre distribucin en la Web. El organismo SETco homologa los mdulos de programacin y
los certificados desarrollados por empresas privadas, despus de pasar unos tests tcnicos y pagar
unos derechos. El software homologado por SETco tiene derecho a llevar el logotipo de SET.
El protocolo SET se puede transportar directamente en TCP, mediante correo electrnico con
SMTP o MIME y en Webs con HTTP.

Agentes del comercio electrnico de SET

En SET se definen 5 agentes que pueden intervenir en transacciones comerciales:

Comprador. Adquiere un producto utilizando la tarjeta de crdito de su propiedad.

Banco o entidad financiera (Issuer). Emite la tarjeta de crdito del comprador.
Comerciante (Merchant). Vende los productos.
Banco del comerciante (Acquirer). Banco donde el comerciante tiene la cuenta.
Pasarela de pagos (Payment gateway). Gestiona la interaccin con los bancos. Puede ser
una entidad independiente o el mismo banco del comerciante.

16
Dos agentes relacionados pero que no actan directamente en las transacciones son:

Propietario de la marca de la tarjeta. Avalan las tarjetas: Visa, MasterCard, American

Expres, etc...
Autoridad de certificacin. Crea los certificados que se utilizan en las transacciones de la
pasarela, el vendedor y el comprador. Pueden ser los bancos, los propietarios de la marca
de la tarjeta o entidades independientes.

Se relacionan entre ellos como marca la Figura 6

Ilustracin 6 Agentes del SET

3.5 Los peligros de la banca electrnica.

La vulnerabilidad en internet de los datos bancarios de los internautas es uno de los mayores
problemas de los usuarios de banca online. A pesar de los cdigos de seguridad y las precauciones
de las entidades que usan internet como va de acceso a las cuentas corrientes muchos usuarios an
caen en las trampas de los ciberdelincuentes, dejando desprotegido su dinero.

Estos datos de acceso a las cuentas son ahora los ms cotizados por parte de cibercriminales: son
un acceso fcil a dinero, del que pueden disponer en cualquier momento. Muchas entidades avisan
que nunca enviarn correos electrnicos pidiendo datos a sus clientes y que procuren asegurarse de

17
cerrar la sesin de la banca online y evitar usar ordenadores compartidos. Cmo encuentran
entonces las debilidades? Segn indica una nota de Kaspersky Lab (Kaspersky, 1997), los
criminales prefieren los siguientes mtodos:

Phishing- el aliado de los delincuentes para las personas menos concienciadas. En este caso,
se engaa a los usuarios, quienes introducen sus datos en pginas web falsas. El 70% de los
emails infectados van destinados al robo de dinero, segn la compaa.
Pginas web falsas- Para las personas con prisas. Si se introduce la direccin web de forma
equivocada, puede redirigir al usuario a una nueva pgina web falsa.
Pginas web comprometidas- una pgina web puede ser legtima pero estar comprometida.
Segn Kaspersky Lab, a diario se detectan ms de 5.000 pginas web comprometidas, en
las que los bancos no tienen el control absoluto sobre la informacin que se introduce.
Usando un equipo infectado- Los usuarios que usan equipos pblicos, compartidos o los
que no dispongan de proteccin antivirus son las personas ms a riesgo de tener sus datos
robados. Estos programas redirigen a los usuarios a pginas web maliciosas, quienes
recogen la informacin y contraseas.
Interceptando las teclas (Keyloggers)- segn la empresa, los usuarios pueden ser
interceptados al teclear informacin confidencial y cada da se descubren 230 nuevos
keyloggers.

Para poder evitar estos malos tragos, los usuarios deben usar equipos seguros, navegar por sitios
web de confianza y en una conexin segura y usar un teclado virtual imposible de interceptar por
los keyloggers.

Algunos riesgos encontrados en la pgina de Kaspersky Lab (Kaspersky, 1997), para

todos sus usuarios son los siguientes:

Si bien la banca por Internet ofrece ventajas importantes en materia de comodidad de acceso
a los servicios, existen algunos riesgos asociados a su uso. Entre ellos podemos mencionar:
Si otra persona conoce tus claves personales puede ingresar a tus cuentas bancarias y
realizar operaciones a tu nombre (por ejemplo realizar una transferencia de dinero hacia
otra cuenta).

18
 Si la computadora por la cual accedes a la banca electrnica es afectada por un virus, esto
puede permitir el acceso a otras personas para realizar operaciones que te perjudiquen.
Tambin puedes recibir un correo electrnico, que aparentemente fue enviado por tu
entidad bancaria, pero que lo nico que pretende es obtener tus datos personales o claves
de acceso a la banca electrnica con la que operas. Esta modalidad es conocida como
phishing.
Su computadora puede infectarse con programas espas (spyware) que recopilan
informacin de las distintas actividades que realiza con la misma.

En la siguiente infografa de Kaspersky Lab, se explican las debilidades y como los usuarios
pueden mejorar su proteccin online.

Ilustracin 7 Formas de pago seguro de kaspersky Lab

19
3.5 Suplantacin de Identidad (Phishing).

Phishing o suplantacin de identidad es un trmino informtico que denomina un modelo de

abuso informtico y que se comete mediante el uso de un tipo de ingeniera social, caracterizado
por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser
una contrasea o informacin detallada sobre tarjetas de crdito otra informacin bancaria).

El phishing (pronunciado fisin), es un fraude que consiste en el envo de correos electrnicos

que aparentan ser de una entidad de crdito u otra empresa legtima, pero que en realidad proceden
de estafadores.

En el correo, se le avisa al destinatario que tiene que verificar o actualizar sus datos de seguridad
y le proporciona un enlace para hacerlo. Si usted pincha en el enlace se abrir una pgina Web que,
aunque puede ser idntica a la de su entidad de crdito con su nombre, logotipo, etc., es una
falsificacin, sin ninguna relacin. Si introduce sus datos personales: nombre de usuario,
contrasea, etc., estar proporcionando la informacin a unos criminales que la utilizarn para
acceder a su cuenta bancaria y sacarle todo el dinero.

Si has recibido un correo de estas caractersticas, y has hecho clic en el enlace y has facilitado
tu nombre de usuario y contrasea, modifica lo antes posible tu contrasea de acceso a tu banca
online, y las de todos aquellos servicios en los que utilizases la misma contrasea. Recuerda: es
muy importante gestionar de forma segura las contraseas de acceso a los distintos servicios de
Internet para evitar problemas.

Adems, si has facilitado otro tipo de informacin personal -nmero PIN, CVV, coordenadas
de la tarjeta de seguridad, etc.- contacta con tu banco a travs de los canales que facilita para estos
casos.

20
 En la siguiente imagen se puede observar un ejemplo de un correo electrnico fraudulento
(Ver Figura 8).

Ilustracin 8 Phishing

Una modalidad de fraude que requiere prestar especial atencin es el phishing, donde el usuario
recibe correos electrnicos que parecen de fuentes confiables, pero no lo son, e intentan obtener
claves bancarias y otros datos confidenciales.

Por ejemplo, una persona recibe un correo electrnico, que dice ser del banco donde tiene su cuenta
y de aspecto similar a los que usualmente recibe. Esos correos incluyen un link que remite
supuestamente al sitio web del banco. En forma ingenua, la persona ingresa su usuario y clave en
el mismo. Si bien el sitio al cual se accede tiene un formato idntico al de la entidad, ste es un
sitio falso que pertenece a delincuentes. El objetivo de esta operatoria es obtener las claves de la
persona para poder usar sus cuentas bancarias y sustraerle el dinero all depositado.

Para prevenir este tipo de acciones debes tener claro que un banco nunca te pedir que enve tus
claves, nmeros de cuenta y tarjetas de identificacin personal por mail o mensaje de texto desde
un celular. Para ingresar en forma segura al sitio web de tu banco, escribe la direccin directamente
en tu navegador y no accedas a l a travs de link alguno.

21
3.6 Programa Espa (Spyware).

De acuerdo a la pgina de Panda Security (Security, s.f.) Define que El spyware es un tipo de
malware (software malintencionado) que se instala en las computadoras para obtener informacin
sobre los usuarios sin que stos lo sepan. El spyware suele estar oculto al usuario y puede ser difcil
de detectar. Algunos spywares, como los keyloggers registradores de teclas, pueden ser
instalados de forma intencionada por el propietario de una computadora de uso comn, corporativo
o pblico para controlar a los usuarios.

Aunque el trmino spyware sugiere un software que espa las actividades de un usuario en
una computadora, las funciones del spyware pueden ir mucho ms all y llegar hasta la obtencin
de casi cualquier tipo de datos, incluida informacin personal como hbitos de navegacin en
Internet, accesos de usuarios o datos de crdito y cuentas bancarias. El spyware tambin puede
interferir con el control de una computadora por parte del usuario, instalando nuevo software o
redirigiendo a los navegadores web. Algunos spywares tienen capacidad para modificar la
configuracin de una computadora, lo que puede tener como consecuencia una menor velocidad
de conexin a Internet y cambios no autorizados en la configuracin de navegadores u otro
software.

El spyware se instala en el equipo sin que el usuario se d cuenta. Puede instalarse al descargar
algn tipo de contenido de una pgina Web o de redes P2P, al instalar alguna aplicacin gratuita
(freeware) o sencillamente al navegar por pginas poco recomendables.

Generalmente estos programas espa se instalan al aceptar la instalacin de otras aplicaciones

que nada tienen que ver con sta pero que, sin saberlo y de acuerdo a las bases legales de ese
programa, el usuario finalmente acepta. Es por esto que, en principio, el propsito de estos
programas espas es legtimo, a excepcin de cuando se usa el spyware para el robo de identidad o
de datos bancarios, que en ese caso ser un troyano bancario el que habr infectado nuestro equipo.

22
 Para evitar el Spyware, asegrese de tener activado y actualizado un buen software anti-virus
que especifique tener la funcin de poder detectar y eliminar spyware. Si nota que su equipo
empieza a responder de forma lenta o extraa, contacte con su soporte tcnico.

3.7 Tipos de fraude electrnico que suceden con ms frecuencia.

En la pgina de la oficina de seguridad del internauta se determin que existen cuatro tipos de
este delito que se repiten cotidianamente y son los siguientes:

La duplicacin o clonacin de tarjetas como tal, que se basa en la utilizacin de una

mquina pescadora que copia la informacin de la banda magntica que tiene la tarjeta de
crdito o dbito.
El phishing, el cual se trata de la utilizacin de personas que se hacen pasar por una empresa
de confianza para obtener datos bancarios confidenciales de forma fraudulenta.

Phishing telefnico, que es un correo electrnico fraudulento que se hace pasar por un
correo electrnico legtimo de una organizacin -especialmente instituciones bancarias- en
el que los clientes son persuadidos a llamar a una lnea telefnica directa. En ltimo lugar
se sita el jaqueo realizado por personas que, por medio de sofisticadas artimaas
electrnicas, acceden a las cuentas bancarias que les interesan y as cometen fraude por la
va electrnica.

23
4. La Banca Electrnica y sus Riesgos

4.1 Consejos de seguridad para operaciones en la banca electrnica.

De acuerdo a la informacin anterior mente investigada en el tema de seguridad en la banca

electrnica se determina los siguientes consejos para realizar operaciones con seguridad en la
banca electrnica y estos son:

Asegrese de tener instalado, activado y actualizado un anti-virus, un firewall y

un software anti-spyware. O descargue e instale las ltimas actualizaciones de seguridad
de su sistema operativo
Configure sus preferencias de seguridad
Nunca comunique sus claves de acceso a terceros.
No utilice la misma contrasea para la Banca online que utiliza en otros sitios menos
seguros.
Habilita tu clave de banca electrnica. La forma de hacerlo depende de cada entidad. En
algunas se solicita la clave en la sucursal bancaria, en otras la clave se obtiene en los
cajeros automticos o a travs de un llamado telefnico
Ingresa al sitio web del banco donde tienes tu cuenta.
Busca el cono indicativo de banca electrnica. ste puede tener denominaciones tales
como Home Banking, Banca Virtual, E-Banking, PC-Banking, Banca Personal u otros
similares.
Una vez que haya accedido a su cuenta de Banca online, a travs del sitio de Internet
selecciona la operacin que deseas realizar. En general, los sitios suelen ser muy
intuitivos y de fcil comprensin para facilitar la realizacin de las operaciones. Cuando
haya terminado de operar, salga de la aplicacin cerrando la sesin y la ventana.

24
 Asegrese de que aparezca el icono de un candado o llave sin romper abajo, en la barra
de estado de la ventana de su navegador.
No se fe nunca de correos electrnicos, llamadas telefnicas ni sitios Web que le piden
introducir o comprobar datos privados.
Consulte a menudo el sitio Web de su entidad de crdito para recomendaciones y
consejos de seguridad.

4.2 Cmo mitigar los Riesgos de operar en la banca electrnica.

De acuerdo de al tema de peligros en la banca electrnica y sus riesgos encontrados desde la

pgina de Kaspersky Lab se determinan las siguientes recomendaciones.

Para evitar riesgos:

Es necesario que cambie peridicamente sus contraseas de acceso al portal de banca electrnica
de su entidad. Trate de no utilizar cdigos fciles como tu fecha de nacimiento, el nombre de
familiares y mascotas.

No abra, ni responda correos electrnicos de personas que no conoces. En la mayora de

los casos este tipo de correos facilitan el acceso de virus y programas no deseados a su
computadora.
No ingrese a sitios considerados no seguros.
No deje su sesin de banca electrnica abierta por mucho tiempo, y menos si no puede ver
la computadora.
No utilice la banca electrnica desde computadoras pblicas.

25
4.3 Recomendaciones para Evitar ser Vctima de Phishing

Las siguientes recomendaciones para Evitar ser vctima de Phishing se determinaron del anlisis

de la definicin de Phishing, en conjunto de la oficina de seguridad del internauta se dan las

recomendaciones siguientes:

No abrir correos de usuarios desconocidos o que no haya solicitado, elimnelos

directamente.
No conteste en ningn caso a estos correos.
Precaucin al seguir enlaces en correos aunque sean de contactos conocidos.
Precaucin al descargar ficheros adjuntos de correos aunque sean de contactos
conocidos.

Por otro lado, tenga en cuenta SIEMPRE los consejos que facilitan todos los bancos en su seccin
de seguridad:

1. Cierre todas las aplicaciones antes de acceder a la web del banco.

2. Escriba directamente la url en el navegador, en lugar de llegar a ella a travs de enlaces
disponibles desde pginas de terceros o en correos electrnicos.
3. Asegrese que la web comienza por https://, para que los datos viajen cifrados por la red.
4. Verifique la legitimidad del sitio web haciendo uso del navegador.
5. No acceda al servicio de banca online de su banco desde computadoras pblicas, no
confiables o que estn conectados a redes wifi pblicas.
6. MUY IMPORTANTE: ningn banco enva por correo electrnico solicitudes de datos
personales de sus clientes. Si recibe un correo en este sentido, no facilite ningn dato y
contacta inmediatamente con l banco. (Internauta, 2010)

26
4.4 Cinco recomendaciones para evitar el Spyware

De acuerdo al tema Spyware y su definicin de la pgina de (Security, s.f.) Se dan las siguientes

recomendaciones para protegernos de este tipo de malware tan generalizado y al que todos

estamos expuestos existen una serie de consejos que mantendrn su equipo mucho ms seguro.

Evite descargarse contenidos de pginas desconocidas o de dudosa reputacin.

Vigile las descargas realizadas desde aplicaciones P2P3.

Si cree estar infectado por spyware intente desinstalarlo como si se tratase de cualquier otra
aplicacin desde el Panel de Control/AgregarQuitar Programas. Si as no consigue
desinstalarlo ejecute su programa anti-virus.

Si no dispone de programa antivirus, instale cualquiera de las soluciones de seguridad como

Panda Security, Karspesky Lab, Spybot Search and Destroy. Lavasoft Adaware Adaware
entre otros

Haga un anlisis de su equipo y compruebe si est libre de spyware.

3
Una red peer-to-peer, red de pares, red entre iguales o red entre pares (P2P, por sus siglas en ingls) es una red
de ordenadores en la que todos o algunos aspectos funcionan sin clientes ni servidores fijos, sino una serie
de nodos que se comportan como iguales entre s. Es decir, actan simultneamente como clientes y servidores
respecto a los dems nodos de la red. Las redes P2P permiten el intercambio directo de informacin, en cualquier
formato, entre los ordenadores interconectados.

27
 Conclusiones

Como hemos podido constatar en nuestra investigacin existen diferentes fraudes relacionados
con la banca online, tambin se basan en la obtencin de datos personales.

Estos servicios representan una forma sumamente cmoda, econmica y segura de acceder y
gestionar sus cuentas bancarias. Las entidades de crdito estn dedicadas a mantener y actualizar
sus sistemas de seguridad y el riesgo de que sean vctimas de un ataque informtico es mnimo. Sin
embargo, precisamente por esta dificultad, los criminales ahora dirigen sus esfuerzos al cliente
particular de estos servicios, que suelen estar menos protegidos, con la intencin de obtener su
informacin personal. Hay que extremar las precauciones.

En el caso de Bancos Electrnicos, El protocolo SSL/TLS es vital para acceder de manera segura
a servicios de la administracin electrnica, banca online o sistemas de transferencias de divisas,
No hay que olvidar que son entidades focalizadas en las transacciones econmicas requieren
garantas para evitar prdidas y aumentar la confianza del usuario. La mayora de bancos en temas
de seguridad y certificados seguros son bastante cuidadosos y se basan en criptografa y protocolos
de seguridad como SSL o TLS. No obstante tambin hay que advertir en el los ltimos tiempos se
ha manifestado cierta vulnerabilidad de estos sistemas.

El protocolo SSL/TLS es un protocolo bastante seguro, aunque depender de la versin que

estemos utilizando y las extensiones complementarias instaladas.

Por tal motivo llegamos a la conclusin que los ataques para vulnerar este protocolo consisten
en engaar al usuario, con ms riesgo si la computadora del usuario est infectado con un troyano
en este caso se le conoce como spyware que es un tipo de malware (software malintencionado)
que se instala en las computadoras para obtener informacin sobre los usuarios sin que stos lo
sepan. Adems, una mala configuracin del software hace ms vulnerable al usuario ante ataques.
Los mtodos de engao consisten en hacer creer al usuario que navega en una web seguro o
hacindole aceptar certificados digitales que no son vlidos. Este riesgo se le conoce como phishing

28
 Para evitar esto concluimos, que no debemos de fiarnos nicamente de que la pgina web
posea un icono de un candado. Debemos de procurar escribir la direccin de la web que queremos
visitar directamente en la barra de direcciones del navegador con el prefijo HTPPS, y si el
navegador web indica que el certificado digital de la pgina web consultada no es vlido, no
debemos aceptarlo y, de esta manera, la conexin no se podr realizar. Para esto se dieron a conocer
los diferentes riesgos al operar la banca electrnica y damos algunas recomendaciones para
mitigarlos

29
Referencias Electrnicas

Alcance, c. j. (s.f.). consultorio juridico toda la informacion legal a su alcance. Obtenido de

consultorio juridico toda la informacion legal a su alcance:

http://www.consultoriojuridico.com/tags/tarjetas/%C2%BFcomo_actuar_si_me_clonan_l

a_tarjeta_%C2%BFcuales_otros_riesgos_digitales_hay

Comercio, A. s. (s.f.). Artculo sobre Seguridad en los nuevos medios de pago en el comercio

electrnico.

Condusef. (s.f.). condusef. Obtenido de condusef.:

http://www.condusef.gob.mx/Revista/index.php/credito/tarjeta/279-la-ley-te-protege

Electronico, F. C.-T. (s.f.). Foro: Comercio Electronico Sub-Tema: Seguridad En El Comercio

Electronico. Obtenido de Foro: Comercio Electronico Sub-Tema: Seguridad En El

Comercio Electronico:

http://www.geocities.ws/leandrojpachec/hwct/T4/comercio_electronico.html

Gobierno, s. d. (http://www.gob.mx/condusef). secretaria de gobierno en lace condusef.

Obtenido de secretaria de gobierno en lace condusef:

http://www.gob.mx/condusef/acciones-y-programas/comercio-electronico?idiom=es

Iec.csic.es. (s.f.). iec.csic.es. Obtenido de articulo sobre Seguridad en los nuevos medios de pago

en el comercio electronico:

http://www.iec.csic.es/criptonomicon/articulos/expertos30.html

30
Internauta, O. -O. (1 de diciembre de 2010). OSI - Oficina de Seguridad del Internauta. Obtenido

de OSI - Oficina de Seguridad del Internauta: https://www.osi.es/es/banca-electronica

Kaspersky, E. (1997). Kaspersky Lab. Obtenido de Kaspersky Lab:

http://latam.kaspersky.com/mx

Mejorando, E. F. (s.f.). Educacin Financiera Mejorando. Obtenido de Educacin Financiera

Mejorando: http://www.asba-supervision.org/PEF/medios-de-pago/cheques-3.shtml

31