Hola amig@s,
Veo con asombro como las entidades financieras se olvidan de la razón de Ser de sus Organizaciones. Como en su diagnostico estrategico (Misión, Visión, Política.....), hacen énfasis de la importancia de la satisfacción del cliente y como su Organizacion es enfocada a una Gerencia del Servicio al cliente........
Pero hay un dicho que es "Del dicho al hecho hay mucho trecho", y en su dinámica, operación del negocio, implementación de buenas practicas, estándares, procesos de mejoramiento continuo, boom de las teorías de negocios. Este se va diluyendo como el agua entre las manos, desenfocando sus objetivos principales como son "El servicio y la satisfacción del cliente".
A que va toda esta retórica administrativa y de entorno organizacional, antes de que te desanimes de seguir leyendo.........
Es la aplicabilidad de la Gestión de Seguridad de la Información. Tal vez la síntesis siempre sera la misma
"Alcanzar el punto de equilibrio entre la funcionalidad y la Seguridad".
Bien te voy a contar mi historia..........
Mi Banco en mi País Colombia. Ralla en lo absurdo entre la funcionalidad y la seguridad, en su gestión de implementación de seguridad en los diferentes productos que ofrece, en especial en sus Productos virtuales, ha implementado diferentes mecanismos de autenticación y valuación para hacer de ello sus transacciones seguras y cuidar de nuestra platica, uso de imagenes, palabras acorde a las imagenes, preguntas supuestamente personales, creación de usuarios correlacionados con tu cuenta y credenciales, etc, etc, etc.
Para lo cual, o yo soy muy torpe o son torpes las medidas de seguridad que pretenden cohasionar a las personas a ser tan rígidas que si algo se te escapa, olvida o interpretas mal, pues sencillamente tu cuenta sera bloqueada. Que es en realidad lo que me sucedió :'(
Si así como lo lees, al consultar mi cuenta por los productos virtuales como normalmente lo hacia, y pasar todos los supuestos anillos de seguridad xD me hicieron una serie de preguntas de las cuales considere mis respuestas lógicas, con el resultado que mi cuenta fue bloqueada.
Acudí al soporte telefónico, y nuevamente todos los filtros necesarios, cuando llegue a la respuesta de alguna de las tantas preguntas de confirmación, al parecer nuevamente, me negaron el acceso a mi cuenta y me remitieron a la sucursal donde tengo registrada la cuenta.
Hasta ahora pues me di la pela (aguante :P ) la situación, y me dije a mi mismo "MI MISMO" son las medidas de seguridad del Banco, bueno que le vamos a hacer, creo que es correcto y voy afrontarlo con dignidad :)
Me acerque a mi Banco, aprovechando que mi Señora Esposa necesitaba abrir su cuenta corriente, y aproveche para que mi cuenta fuera desbloqueada, proceso que fue ejecutado por el Asesor Comercial pero de igual forma tampoco me pudo desbloquear mi cuenta ;'(
Apesar de todas las acciones de ir a la Sucursal virtual que es una zona en donde se puede gestionar las transacciones de tres formas (Datafono, Teléfono y estación de trabajo para conexion virtual) "De los cuales ya te contare mas en detalle mis observaciones". Miguelito osea YO no pude realizar el proceso de desbloquear la cuenta, ni con la ayuda de los Asesores, la respuesta es "Así, es el sistema, intentelo desde su Casa a ver si es por que registro su equipo". Me sonó absurdo que en el Banco no se pudiese y solo desde mi equipo así lo hubiese registrado, pero opte por tomar la acción de hacerlo desde mi Casa. Tampoco funciono :'(
Después de unos dos meses, de no haber podido usar mi servicio virtual, y con la necesidad de saber una transacción que me había efectuado una de las Universidades que me colabora con el sustento xDDD
Decidí llamar nuevamente al soporte telefónico de mi Banco, y mejor dicho les resumo con
DE JAVU!!!. :'(
Indignado ya por la situación y aprovechando que tenia que realizar algunas consignaciones, invertí de mi valioso tiempo nuevamente para acercarme a la sucursal de Mi Banco. Y nuevamente me entro el efecto Jekyll y Mr hyde, es decir aproveche mis 20 o 30 minutos de espera en el Banco para realizar una evaluacion rápida de posibles vectores de ataque dentro del Banco, por que aun no me cabía en mi cabecita que restricción tan extrema para las transacciones virtuales, pero que inseguridad a mi parecer en el Banco sobre los diferentes Activos de Información. Mejor dicho que evalué:
La zona virtual se encuentra a escasos centímetros de la fila normal para las transacciones, cualquier persona simulando estar dentro de la fila con una grabadora o una buena retentiva, o manos rápidas para anotar, puede capturar toda la información sensible que tienes que dar para acceder a tu cuenta vía soporte telefónica :\, o sucursal virtual.
Las oficinas de los Asesores comerciales permanecen con las puertas de las oficinas abiertas, para este caso a la mitad de esta oficina y a unos pocos metros de la sala de espera, se encuentra una impresora de Red, con información sensible, ya que los usuarios envían las impresiones y al parecer no se apresuran a recogerlas, un atacante rápidamente puede ingresar a la oficina y tomar información de ella, de cualquier tipo que encuentre como también tomar documentos del escritorio del funcionario del banco o fotografías de los despliegues de su pantalla, en solo un descuido del funcionario, ya que tienen como practica abandonar la oficina y no asegurarla o como mínimo cerrar la puerta así sea sin seguro.
Las cámaras de vigilancia a pesar de que existen varias ubicadas, existen puntos ciegos en donde facilmente un ladrón o atacante puede esconderse.
Me di a la tarea de hacer un poco de trashing con la mesura que la accion lo requiere, puesto que no debia levantar sospechas o estaria en serios problemas, encontrando informacion muy pero muy delicada de los clientes del Banco, no tienen mecanimos de extrusion de papel, y al parecer no hay campañas de sensibilizacion para el manejo de la informacion de los clientes :(
Estos no saben cuanta informacion estan ofreciendo.
Ah! y q tal esta,
Sus maravillosos sistemas Windows XP, permiten CTRL+ALT+SUPR. :P
Al cerrar la sesion, tenemos a la mano una hermosa cuenta de usuario y Dominios de conexion disponible, sin contar que el equipo puede ser apagado o reiniciado.
Se encuentran algunas ventanas en donde un atacante facilmente puede estar enviando señales a sus compinches.
En fin, no segui ahondando mas la situacion :( por que ya me estaba entrando en estado de Panico!!!
Al tocar mi turno le comente la situacion al asesor, el cual noto mi malestar (y mi intencion de sacar mis centavitos ) y de todos los posibles problemas que podian tener (mejor dicho la carreta que ya ud se digno a leer) xD
Lo mas extraño, fue que ya en cuestion ahora si pudo ser desbloqueada y acceder para su servicio normal.
Pretendiendo probar si ya estaba funcionando desde mi portable que generalmente esta encendido, me encuentro con un maravilloso mensaje de Phishing al Banco :\
Que me redirecciona a:
Y el sitio del Phising es:
Que es redireccionado de:
Con todas las arandelas del caso, tecnicas de Footprinting y cuidados necesarios como:
Aun seguimos siendo muy vulnerables si no se extienden campañas didacticas de sensibilizacion en manejo de la informacion, mas para personas ceniles como YO :0
La seguridad es a todo nivel, desde el eslabon mas debil (el Ser Humano) hasta en la aplicacion de tecnologia, procesos y datos. Pero todo debe apuntar a un mismo fin el cumplimiento de los objetivos organizacionales, la razon de ser de una Organizacion "Clientes satisfechos y dispuestos a cumplir el ciclo del negocio al optar nuevamente por nuestros productos y servicios"
Como cosa rara, no prepare clase, no revise si mi cuenta estaba desbloqueada, pero me arranque del pecho este karma digital con estas cortas palabras xDD
La duda que me carcome ahora es el phising que me aparecion el dia de hoy precisamente cuando gestionaba que mi clave fuese desbloqueada para el acceso virtual ¬¬ :'(
QUE COINCIDENCIA NO?????
Como siempre Good Luck!
Bytes
Dino
PD: Se le suma la valentia de poder tomar las fotos dentro del Banco xDDD
Veo con asombro como las entidades financieras se olvidan de la razón de Ser de sus Organizaciones. Como en su diagnostico estrategico (Misión, Visión, Política.....), hacen énfasis de la importancia de la satisfacción del cliente y como su Organizacion es enfocada a una Gerencia del Servicio al cliente........
Pero hay un dicho que es "Del dicho al hecho hay mucho trecho", y en su dinámica, operación del negocio, implementación de buenas practicas, estándares, procesos de mejoramiento continuo, boom de las teorías de negocios. Este se va diluyendo como el agua entre las manos, desenfocando sus objetivos principales como son "El servicio y la satisfacción del cliente".
A que va toda esta retórica administrativa y de entorno organizacional, antes de que te desanimes de seguir leyendo.........
Es la aplicabilidad de la Gestión de Seguridad de la Información. Tal vez la síntesis siempre sera la misma
"Alcanzar el punto de equilibrio entre la funcionalidad y la Seguridad".
Bien te voy a contar mi historia..........
Mi Banco en mi País Colombia. Ralla en lo absurdo entre la funcionalidad y la seguridad, en su gestión de implementación de seguridad en los diferentes productos que ofrece, en especial en sus Productos virtuales, ha implementado diferentes mecanismos de autenticación y valuación para hacer de ello sus transacciones seguras y cuidar de nuestra platica, uso de imagenes, palabras acorde a las imagenes, preguntas supuestamente personales, creación de usuarios correlacionados con tu cuenta y credenciales, etc, etc, etc.
Para lo cual, o yo soy muy torpe o son torpes las medidas de seguridad que pretenden cohasionar a las personas a ser tan rígidas que si algo se te escapa, olvida o interpretas mal, pues sencillamente tu cuenta sera bloqueada. Que es en realidad lo que me sucedió :'(
Si así como lo lees, al consultar mi cuenta por los productos virtuales como normalmente lo hacia, y pasar todos los supuestos anillos de seguridad xD me hicieron una serie de preguntas de las cuales considere mis respuestas lógicas, con el resultado que mi cuenta fue bloqueada.
Acudí al soporte telefónico, y nuevamente todos los filtros necesarios, cuando llegue a la respuesta de alguna de las tantas preguntas de confirmación, al parecer nuevamente, me negaron el acceso a mi cuenta y me remitieron a la sucursal donde tengo registrada la cuenta.
Hasta ahora pues me di la pela (aguante :P ) la situación, y me dije a mi mismo "MI MISMO" son las medidas de seguridad del Banco, bueno que le vamos a hacer, creo que es correcto y voy afrontarlo con dignidad :)
Me acerque a mi Banco, aprovechando que mi Señora Esposa necesitaba abrir su cuenta corriente, y aproveche para que mi cuenta fuera desbloqueada, proceso que fue ejecutado por el Asesor Comercial pero de igual forma tampoco me pudo desbloquear mi cuenta ;'(
Apesar de todas las acciones de ir a la Sucursal virtual que es una zona en donde se puede gestionar las transacciones de tres formas (Datafono, Teléfono y estación de trabajo para conexion virtual) "De los cuales ya te contare mas en detalle mis observaciones". Miguelito osea YO no pude realizar el proceso de desbloquear la cuenta, ni con la ayuda de los Asesores, la respuesta es "Así, es el sistema, intentelo desde su Casa a ver si es por que registro su equipo". Me sonó absurdo que en el Banco no se pudiese y solo desde mi equipo así lo hubiese registrado, pero opte por tomar la acción de hacerlo desde mi Casa. Tampoco funciono :'(
Después de unos dos meses, de no haber podido usar mi servicio virtual, y con la necesidad de saber una transacción que me había efectuado una de las Universidades que me colabora con el sustento xDDD
Decidí llamar nuevamente al soporte telefónico de mi Banco, y mejor dicho les resumo con
DE JAVU!!!. :'(
Indignado ya por la situación y aprovechando que tenia que realizar algunas consignaciones, invertí de mi valioso tiempo nuevamente para acercarme a la sucursal de Mi Banco. Y nuevamente me entro el efecto Jekyll y Mr hyde, es decir aproveche mis 20 o 30 minutos de espera en el Banco para realizar una evaluacion rápida de posibles vectores de ataque dentro del Banco, por que aun no me cabía en mi cabecita que restricción tan extrema para las transacciones virtuales, pero que inseguridad a mi parecer en el Banco sobre los diferentes Activos de Información. Mejor dicho que evalué:
La zona virtual se encuentra a escasos centímetros de la fila normal para las transacciones, cualquier persona simulando estar dentro de la fila con una grabadora o una buena retentiva, o manos rápidas para anotar, puede capturar toda la información sensible que tienes que dar para acceder a tu cuenta vía soporte telefónica :\, o sucursal virtual.
Las oficinas de los Asesores comerciales permanecen con las puertas de las oficinas abiertas, para este caso a la mitad de esta oficina y a unos pocos metros de la sala de espera, se encuentra una impresora de Red, con información sensible, ya que los usuarios envían las impresiones y al parecer no se apresuran a recogerlas, un atacante rápidamente puede ingresar a la oficina y tomar información de ella, de cualquier tipo que encuentre como también tomar documentos del escritorio del funcionario del banco o fotografías de los despliegues de su pantalla, en solo un descuido del funcionario, ya que tienen como practica abandonar la oficina y no asegurarla o como mínimo cerrar la puerta así sea sin seguro.
Las cámaras de vigilancia a pesar de que existen varias ubicadas, existen puntos ciegos en donde facilmente un ladrón o atacante puede esconderse.
Me di a la tarea de hacer un poco de trashing con la mesura que la accion lo requiere, puesto que no debia levantar sospechas o estaria en serios problemas, encontrando informacion muy pero muy delicada de los clientes del Banco, no tienen mecanimos de extrusion de papel, y al parecer no hay campañas de sensibilizacion para el manejo de la informacion de los clientes :(
Estos no saben cuanta informacion estan ofreciendo.
Ah! y q tal esta,
Sus maravillosos sistemas Windows XP, permiten CTRL+ALT+SUPR. :P
Al cerrar la sesion, tenemos a la mano una hermosa cuenta de usuario y Dominios de conexion disponible, sin contar que el equipo puede ser apagado o reiniciado.
Se encuentran algunas ventanas en donde un atacante facilmente puede estar enviando señales a sus compinches.
En fin, no segui ahondando mas la situacion :( por que ya me estaba entrando en estado de Panico!!!
Al tocar mi turno le comente la situacion al asesor, el cual noto mi malestar (y mi intencion de sacar mis centavitos ) y de todos los posibles problemas que podian tener (mejor dicho la carreta que ya ud se digno a leer) xD
Lo mas extraño, fue que ya en cuestion ahora si pudo ser desbloqueada y acceder para su servicio normal.
Pretendiendo probar si ya estaba funcionando desde mi portable que generalmente esta encendido, me encuentro con un maravilloso mensaje de Phishing al Banco :\
Que me redirecciona a:
Y el sitio del Phising es:
Que es redireccionado de:
Con todas las arandelas del caso, tecnicas de Footprinting y cuidados necesarios como:
- Conexiones https
- escribir las url de tu Banco
- asegurarte del candadito
- leer tus certificados
- Consultar con tu Banco
- Blah, Blah, Blah
Aun seguimos siendo muy vulnerables si no se extienden campañas didacticas de sensibilizacion en manejo de la informacion, mas para personas ceniles como YO :0
La seguridad es a todo nivel, desde el eslabon mas debil (el Ser Humano) hasta en la aplicacion de tecnologia, procesos y datos. Pero todo debe apuntar a un mismo fin el cumplimiento de los objetivos organizacionales, la razon de ser de una Organizacion "Clientes satisfechos y dispuestos a cumplir el ciclo del negocio al optar nuevamente por nuestros productos y servicios"
Como cosa rara, no prepare clase, no revise si mi cuenta estaba desbloqueada, pero me arranque del pecho este karma digital con estas cortas palabras xDD
La duda que me carcome ahora es el phising que me aparecion el dia de hoy precisamente cuando gestionaba que mi clave fuese desbloqueada para el acceso virtual ¬¬ :'(
QUE COINCIDENCIA NO?????
Como siempre Good Luck!
Bytes
Dino
PD: Se le suma la valentia de poder tomar las fotos dentro del Banco xDDD
3 comentarios:
Larga vida a las mentes prodigiosas y curiosas, como la de Don Dinosaurio.
:)
Lo que me aterra de todo es que hayas podido tomar fotos tan comprometedoras y no se hayan percatado, eso demuestra otra más de sus muchas fallas.
Caso Mision Imposible Juan
xDD
Saludos
Dino
Publicar un comentario