Ataques de ingeniería social en la banca corporativa: soluciones PKI y WYSIWYS

Ataques de ingeniería social recientes

El fraude por ingeniería social en la banca corporativa es el término utilizado para describir un amplio conjunto de manipulaciones maliciosas destinadas a realizar operaciones y transacciones digitales fraudulentas en ámbitos como la gestión de tesorería y de crédito, la gestión de activos y la suscripción para pequeñas y medianas empresas y grandes corporaciones.

Lo que hace especialmente perniciosos los ataques de ingeniería social (basados en sistemas informáticos) es que explotan el factor humano, vulnerable a errores como la mala interpretación, la rutina… y un exceso de confianza, en lugar de aprovechar vulnerabilidades del sistema.

Los ataques recientes de ingeniería social contra entidades financieras en el entorno digital incluyen intentos de:

  • Suplantar a los titulares y firmantes autorizados de cuentas para realizar operaciones fraudulentas en su nombre.
  • Modificar el contenido o el propósito de las operaciones cuando estos usuarios autorizados las firman.

La Gemalto PKI Software Suite incluye soluciones complementarias para desarrollar capacidades de defensa adicionales en las infraestructuras PKI heredadas.

Autenticar. Cifrar. Firmar. En cualquier formato. 

Las soluciones Gemalto PKI de Thales mantienen a salvo los activos de su organización.

Estas soluciones están dirigidas a la banca corporativa y complementan las soluciones de seguridad de banca digital desarrolladas para clientes de banca minorista.

Entienda lo que firma (UWYS)

Gemalto Swat es nuestra solución de gama alta para bancos corporativos que desean ofrecer una seguridad de primer nivel a sus clientes y filiales en la gestión electrónica de cuentas (eBAM), sus actividades con cámaras de compensación automatizadas (ACH), sus transferencias y sus pagos interbancarios.

Gemalto Swat Reader es un dispositivo de firma que puede integrarse en los sistemas de infraestructura de clave pública (PKI) existentes para proporcionar control contextual y autenticación del dispositivo durante todas las operaciones de firma basadas en PKI.

La solución permite que las entidades financieras vinculen cualquier operación sensible a una descripción contextual que garantice la integridad tanto del contenido (véase WYSIWYS) como de la finalidad de la operación (entiéndase, UWYS).

En el caso siguiente: «Está firmando un lote de 52 transacciones por un importe de 350 USD».

Ofrece al firmante una experiencia UWYS (entienda lo que firma) que mitiga los ataques MitB («Man in the Browser») y los ataques de ingeniería social más avanzados, sin renunciar a la facilidad de uso y la movilidad.

    Gemalto Swat Reader
    Gemalto Swat Reader

    Gemalto Swat Reader

    Este dispositivo de firma puede integrarse en los sistemas de infraestructura de clave pública (PKI) existentes para proporcionar control contextual y autenticación del dispositivo durante todas las operaciones de firma basadas en PKI.

    • Elemento seguro integrado que procesa la autenticación del dispositivo y la firma de texto visualizada
    • Entrada segura del PIN
    • Pantalla grande que muestra la descripción del propósito de la firma
    • Conexión USB o BLE
    • Compatible con PC, móvil y tableta
    Gemalto eToken 5300
    Gemalto eToken 5300

    Gemalto eToken 5300

    Una solución ideal para organizaciones que buscan implantar la alta seguridad de la infraestructura de clave pública (PKI) manteniendo, al mismo tiempo, una solución cómoda para los empleados.

    • USB compacto, con evidencia de manipulación y detección de presencia, que incorpora un tercer factor de autenticación (3FA)
    • Aplicaciones avanzadas basadas en certificados, como la firma digital, el cifrado de correo electrónico y la autenticación previa al arranque
    • Acceso remoto seguro a VPN, portales web e inicio de sesión seguro en la red
    • Dos tamaños disponibles: mini o micro

    Gemalto eToken 5300 es un token inteligente de autenticación de tres factores diseñado para reforzar los sistemas PKI heredados.

    What You See Is What You Sign (WYSIWYS)

    WYSIWYS se refiere a un método funcional que garantiza de forma visible la integridad de los documentos electrónicos y de sus firmas digitales.

    Lo cierto es que un firmante nunca llega a ver realmente lo que firma digitalmente.

    Solo ve una representación del documento electrónico y la firma electrónica. Este proceso se debe a la tecnología subyacente a las implementaciones de las firmas digitales. Un documento y su firma no son más que un conjunto de bits.

    Entonces, ¿cómo puede el firmante tener la certeza de que el mensaje que ve en el navegador es legítimo, proviene de la fuente adecuada y refleja exactamente el contenido que debe aprobar?

    Experiencia completa de firma «ver y comprender».

    Con Gemalto Websigner, la nueva tecnología de extensión web promovida por los principales proveedores de navegadores, la solución Swat puede ofrecer una experiencia de firma WYSWYS y UWYS totalmente basada en web en los navegadores Chrome, Firefox y Edge más recientes.

    Web Signer

    El dispositivo Swat incorpora un teclado PIN estándar que permite la entrada segura del PIN (SPE) y posibilita realizar las operaciones criptográficas habituales mediante una tarjeta inteligente PKI.

    Además, el dispositivo Swat permite que el firmante comprenda con precisión qué se le solicita firmar, para mitigar ataques concretos de ingeniería social.

    Esta funcionalidad es el concepto UWYS, que se basa en tres características:

    1. Código PIN seguro (contra malware de inicio de sesión por PIN y ataques de repetición)
    2. Control WYSWYS de los detalles de la operación por parte del firmante en sincronización con el control de firmas de la PKI bancaria (contra MitB y MitM)
    3. Control UWYS del contexto por parte del firmante (contra la ingeniería social y la inyección de HTML para engañar al usuario).

    Cumplimiento de las normas bancarias corporativas

    Las soluciones presentadas también son plenamente compatibles con los principales estándares exigidos por las entidades financieras, como:

    • ISO 20022 para los intercambios electrónicos de datos, ampliamente utilizado por eBAM y ACH,
    • XMLDsig y PKCS#7 para firmas digitales,
    • o el cumplimiento de la PSD2 para la autenticación reforzada y la vinculación dinámica de las transacciones.
    Hable con un experto
    PSD2

    IAM Trends

    75% of decision-makers surveyed in our research study conducted by Enterprise Strategy Group said legacy identity tech is holding back innovation.

    Learn the latest IAM trends
    ciam trends bfsi research ebook
    Gemalto Swat Solution

    Recurso destacado

    Gemalto Swat Solution

    ¿Cómo proteger a los clientes de la banca corporativa contra la ingeniería social y los ataques tecnológicos de última generación?

    Descargue la ficha técnica de la solución
    Partners Resources Blogs Sentinel Drivers