El ex superhacker anónimo habla sobre la ciberseguridad de Fintech

El ex superhacker anónimo habla sobre la ciberseguridad de Fintech

Héctor Javier Monsegur También conocido por el alias en línea Sabu, se sabe que un pirata informático estadounidense es parte de un pequeño grupo de piratas informáticos ultra calificados dentro de Anonymous y cofundador del grupo de piratería LulzSec. Los grupos se han atribuido la responsabilidad de los ataques cibernéticos a los sistemas gubernamentales en Túnez, Argelia, así como al Senado de los EE. UU., empresas como Sony Corp, PBS y Newscorp, y empresas de seguridad como HBGary y Mantech, por nombrar algunas.

El fundador de SuperMoney, Miron Lulic, se sentó con Héctor para comprender su perspectiva sobre la seguridad cibernética y cómo las empresas emergentes de Fintech pueden mejorar sus medidas de seguridad en el mundo actual. Estos son los aspectos más destacados de la entrevista, donde Héctor habla de todo, desde cómo los usuarios pueden proteger sus identidades en línea hasta cómo las empresas emergentes pueden mejorar sus sistemas de seguridad. Sigue leyendo.

Índice de contenidos
  1. ¿Puede proporcionar una breve biografía de usted y su experiencia en el campo de la seguridad cibernética?
  2. ¿Cuáles son los conceptos erróneos comunes sobre la ciberseguridad financiera?
  3. ¿Hay errores comunes de ciberseguridad financiera que vea a menudo y cómo se pueden evitar?
  4. ¿Cómo puede protegerse del fraude financiero en línea?
  5. A medida que el mundo del capital de riesgo avanza para financiar nuevas empresas de tecnología financiera, ¿qué piensa de la capacidad de estas nuevas empresas para proteger de forma segura estos datos personales de los piratas informáticos?
  6. ¿Qué pueden hacer las startups que ingresan al espacio fintech para proteger sus datos de usuario?
  7. He visto a muchas empresas emergentes afirmar que los datos de los usuarios están seguros porque usan encriptación de "nivel bancario". ¿Qué significa esto? ¿Debe un usuario estar contento?
  8. ¿Qué deben buscar los usuarios para evaluar mejor el nivel de seguridad de una institución financiera que reclama "seguridad a nivel de banco"?
  9. Citibank sufrió una importante brecha de seguridad hace varios años. En su opinión, ¿los datos de los consumidores están seguros con instituciones financieras establecidas?
  10. ¿Qué reformas cree que son necesarias para mejorar todo el sistema bancario/financiero?
  11. ¿Hacia dónde cree que se dirigirá la seguridad cibernética de las finanzas personales en los próximos años?

¿Puede proporcionar una breve biografía de usted y su experiencia en el campo de la seguridad cibernética?

Mi nombre es Héctor Xavier Monsegur y soy un investigador de seguridad con veinte años de experiencia que cubre una amplia gama de temas y entornos de seguridad de la información. Al principio de mi carrera, era investigador de seguridad y enviaba avisos de seguridad para varios productos con una amplia gama de gravedad.

En estos días, soy consultor y líder de pruebas de penetración para Laboratorios de seguridad de Rhinoubicado en Seattle, Washington.

En una vida pasada, fui condenado por piratería en 2011. Pude reformarme y cambiar mi vida para mejor. Esta situación y cambiar de página me dieron grandes oportunidades no solo para retribuir a la comunidad, sino también para ayudar a mis clientes a resolver sus problemas.

¿Cuáles son los conceptos erróneos comunes sobre la ciberseguridad financiera?

Costo anual estimado del cibercrimen. (Fuente - Instituto Ponemon)

Uno de los conceptos erróneos más grandes con los que muchas instituciones financieras tienen que lidiar es equilibrar el cumplimiento de la seguridad. En términos legales, el cumplimiento puede significar la diferencia entre deshacer un compromiso de seguridad o comprometerse como el fin de la institución.

Incidentes de seguridad en organizaciones como J.P. Morgan y otros prueban esta noción. Estoy muy comprometido a tomarme la seguridad en serio y abordarla desde una variedad de perspectivas:

Lee:  ¿Qué son los compradores de deuda no deseados?

a) Educación

b) Medidas preventivas de seguridad

c) Medidas de seguridad proactivas

En retrospectiva, este puede ser el caso de cualquier organización o negocio, aunque una organización debe tomar diferentes medidas en lo que respecta a la ciberseguridad financiera para garantizar que la información confidencial de los clientes esté debidamente protegida de posibles atacantes. Desde el punto de vista del usuario final, se vuelve un poco complicado y mucho más difícil. El usuario final, como un empleado de una institución financiera, es el eslabón más débil en cualquier entorno seguro. Se enfrentan a una superficie de ataque casi ilimitada: phishing (correo electrónico, VOIP), malware (dirigido o dirigido), infracciones de seguridad (día 0, día 1) y una plétora de otros vectores. Creo que las medidas anteriores (educativas, preventivas y proactivas) ayudarían y disuadirían la mayoría de los ataques, pero casi no hay garantía contra los ataques dirigidos.

Por lo tanto, la conciencia de seguridad es parte de su estilo de vida y no un complemento.

¿Hay errores comunes de ciberseguridad financiera que vea a menudo y cómo se pueden evitar?

Un error común que cometen los usuarios es utilizar contraseñas comunes o universales.

La reutilización de contraseñas ha sido un problema importante para los usuarios de Internet desde el principio. Con el aumento de los compromisos a gran escala, se roban grandes cantidades de contraseñas y los usuarios corren el riesgo de verse comprometidos en sitios de terceros. Es común, especialmente en estos días, que los atacantes revisen listas de contraseñas y direcciones de correo electrónico asociadas, y descubran qué cuentas están ejecutando qué sitios.

Esto puede ser un problema, especialmente si un usuario reutiliza su contraseña en todas sus cuentas financieras.

¿Cómo puede protegerse del fraude financiero en línea?

Hay muchas formas en que la persona promedio puede protegerse del compromiso, y muchas de ellas no son difíciles de implementar.

Genere contraseñas únicas de alta entropía por cuenta, y preferiría un administrador de contraseñas fuerte.

Los administradores de contraseñas como KeePass generan contraseñas de alta entropía o le permiten personalizar la generación de contraseñas. También es una excelente herramienta organizativa para sus credenciales e información confidencial.

Habilite 2FA o funciones de seguridad posteriores a la autenticación similares en sus cuentas. Héctor sugiere_

Estos vienen en diferentes sabores y tienen sus ventajas y desventajas a considerar. En la mayoría de los casos, la empresa que aloja su cuenta proporcionará su propia tecnología. El más común es 2FA (a través de SMS, correo electrónico o llamada telefónica).

Es muy importante prestar atención al software que utiliza y mantenerlo actualizado.

Esto se aplica a todo, desde el software hasta su sistema operativo y sus teléfonos y tabletas.

Establezca contraseñas secundarias con proveedores de telefonía celular, bancarios y de atención médica.

No es raro que alguien se despierte por la mañana y descubra que su teléfono móvil se ha desactivado y se ha movido a otra tarjeta SIM. Al establecer una contraseña secundaria con su operador de telefonía móvil, limita el rango de ataques de los ingenieros sociales que llaman al soporte técnico haciéndose pasar por usted.

Limite, minimice o sea muy consciente de su presencia en las redes sociales, incluso tener una idea de qué tipo de información personal contiene.

Esto le permite minimizar su superficie de ataque, pero también tener una idea de qué tipo de ataques se pueden usar en su contra.

Evite usar preguntas de seguridad que se puedan adivinar fácilmente, respuestas y el clásico "apellido de soltera de la madre".

Lee:  ¿Qué puntaje de crédito se requiere para una tarjeta de crédito Pep Boys?

Los atacantes tienen una variedad de herramientas e información para adivinar algunas de sus preguntas y respuestas.

A medida que el mundo del capital de riesgo avanza para financiar nuevas empresas de tecnología financiera, ¿qué piensa de la capacidad de estas nuevas empresas para proteger de forma segura estos datos personales de los piratas informáticos?

Las empresas emergentes tienen mucho que hacer, y si no incluyen una política de seguridad sólida en su infraestructura desde el comienzo de su formación, será un gran problema en el futuro. Con los muchos obstáculos que enfrentan las nuevas empresas a diario, es muy fácil para ellas detener el motor, especialmente si necesitan entregar inversores de manera oportuna.

Vi una división en las nuevas empresas durante el tiempo que trabajé con ellas. En muchos casos, he visto casos deplorables de medidas de seguridad laxas. Sin embargo, casi igualmente, he visto muy buenas prácticas e implementación de seguridad por parte de los desarrolladores para proteger las aplicaciones contra riesgos al menos comunes. Se espera que este último esté más extendido.

¿Qué pueden hacer las startups que ingresan al espacio fintech para proteger sus datos de usuario?

Tenga cuidado con la forma en que coloca los datos de los usuarios en Internet, pero especialmente en los proveedores de la nube. Confiar en la seguridad de terceros es un gran problema.

Comprender su superficie de ataque.

Muchas nuevas empresas que ingresan al espacio fintech dependen como máximo de una evaluación de cumplimiento y vulnerabilidad. La protección de los datos de los usuarios es mucho más que eso, y creo que comprender lo que tiene y quiénes son los atacantes puede ser un buen paso adelante.

El siguiente paso es tener cuidado con la forma en que coloca los datos de los usuarios en Internet, pero específicamente en los proveedores de la nube. Incluso si la política la empresa tiene una seguridad sólida, si las configuraciones de seguridad expiraron en los servicios en la nube como AWS permitirían que un atacante ingrese y desfiltre información confidencial.

Confiar en la seguridad de terceros es un gran problema, y ​​​​debe haber más reflexión y planificación en este proceso.

He visto a muchas empresas emergentes afirmar que los datos de los usuarios están seguros porque usan encriptación de "nivel bancario". ¿Qué significa esto? ¿Debe un usuario estar contento?

Cifrado de 256 bitsEs un error común y es más aceite de serpiente que otra cosa. Lo que realmente quieren decir es que usan HTTPS para canalizar información confidencial entre el usuario y sus servidores de punto final. El problema con esto es que los servidores back-end almacenan la información del cliente en texto sin formato en la mayoría de los casos, ya que las bases de datos encriptadas pueden consumir muchos recursos.

En segundo lugar, la tecnología comúnmente utilizada para potenciar HTTPS, que ha sido la biblioteca de OpenSSL desde sus inicios, ha encontrado muchos problemas de seguridad. Entre ataques degradados, algoritmos criptográficos más débiles para reproducir ataques, los usuarios están a merced de los escenarios Man-in-The-Middle.

Eso no significa que sus datos fluyan hacia el objetivo previsto. Tampoco significa que una vez que sus datos lleguen a su destino, los servidores los protegerán adecuadamente.

¿Qué deben buscar los usuarios para evaluar mejor el nivel de seguridad de una institución financiera que reclama "seguridad a nivel de banco"?

Los usuarios deben ejercer la debida diligencia al revisar el historial de seguridad de la institución con la que están haciendo negocios. ¿Tienen estabilidad financiera? Si no, ¿cómo está seguro de que pueden 1) Pagar a los desarrolladores para enfatizar las buenas prácticas de seguridad, pero 2) ¿Pueden reembolsarle si sucede lo peor?

Lee:  Inicio de sesión con tarjeta de crédito de Bank of America, pago, servicio al cliente

¿Tienen un historial de compromisos de seguridad? ¿Cuál es el contexto detrás de estos compromisos?

¿La empresa implementa sus solicitudes web a través de HTTPS y hay un candado junto a la URL en la barra URI? Cuando hace clic en el bloqueo del teclado, ¿le proporciona información válida de la empresa?

¿Hay reseñas en línea de cómo funciona la empresa? Si el negocio está comprometido, ¿quién lo controla? ¿Son una entidad legal?

Hay muchas preguntas y, afortunadamente, las respuestas están al alcance de la mano de Google.

Citibank sufrió una importante brecha de seguridad hace varios años. En su opinión, ¿los datos de los consumidores están seguros con instituciones financieras establecidas?

Ningún entorno es 100% seguro. Cuanto más grande es la empresa, mayor es la superficie de ataque.

Definitivamente no. Cuanto más grande es la empresa, mayor es la superficie de ataque. Incluso si la institución financiera tiene sus propios equipos de seguridad, realiza auditorías de seguridad mensuales con varias empresas de seguridad, utiliza el sistema de recompensas por errores y, si cumple, no hay garantía de que la institución pueda proteger su información.

Ningún entorno es 100% seguro. Siempre tenga en cuenta que su información personal es un compromiso que no está sucediendo.

Esto es un hecho y no pretende asustarte. Mi objetivo aquí es hacerle consciente de la posibilidad de un compromiso y que es mejor:

1) Educado sobre la posibilidad

2) Sea proactivo sobre su seguridad personal

3) Y ser preventivo. Tenga un plan de contingencia en caso de que ocurra un compromiso importante.

¿Qué reformas cree que son necesarias para mejorar todo el sistema bancario/financiero?

No soy un experto legal aquí, así que no creo que pueda dar una respuesta adecuada. Sin embargo, algunos pensamientos:

– Creo que debería haber consecuencias más severas para las instituciones financieras que no invierten o presionan por prácticas de seguridad sólidas.

– Multas y juicios obligan a las empresas a cambiar las malas prácticas. Los consumidores deben ser informados de sus opciones y apoyados

¿Hacia dónde cree que se dirigirá la seguridad cibernética de las finanzas personales en los próximos años?

Creo que eliminar contraseñas será una fuerte tendencia en algún momento, haciendo que la autorización o autenticación sea un asunto mucho más personal. Con ese fin, los dispositivos móviles, los dispositivos como yubkeys u otros medios deberían probarse exhaustivamente, auditarse y modificarse adecuadamente antes de que algo como esto tenga sentido.

A medida que más usuarios se vuelven más conscientes de la seguridad y las empresas se ven obligadas a adoptar medidas de seguridad y encriptado algo más serio que cuando vemos algunos cambios serios. Hay pocas regulaciones, o consecuencias, para las prácticas de seguridad laxas.

Las regulaciones de cumplimiento están vigentes, pero parece que las empresas enfrentan consecuencias realistas si se violan los datos de los usuarios o si los datos de los usuarios se violan de manera demasiado débil como para marcar la diferencia. El Fiscal General debe involucrarse más en el proceso, o debe involucrarse un sistema regulador de supervisores para garantizar que las instituciones financieras estén al tanto de sus prácticas de seguridad.

Imagen de cortesía - artículo diario, Noticias CBS.

Si quieres conocer otros artículos parecidos a El ex superhacker anónimo habla sobre la ciberseguridad de Fintech puedes visitar la categoría Créditos.

►TAMBIÉN TE PUEDE INTERESAR◄

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir

Utilizo cookies propias, de análisis y de terceros para mejorar la experiencia de navegación por mi web. Y en algunos artículos, para mostrarte publicidad relacionada con tus preferencias según el análisis de tu navegación. Pero solo es para seguir ofreciéndote contenido de calidad en el blog de manera totalmente gratuita. Puedes informarte más profundamente sobre qué cookies estoy utilizando y desactivarlas si quieres (algo que agradecería que no hicieras) Más Información