Prof. Lic. Allan R. Jones Ch., MBA.
Detienen a dos mexicanos por el
fraude bancario en el caso
Target
Arrestan a mexicanos por el caso Target
Dos mexicanos fueron detenidos al ser vinculados con el
robo de millones de nmeros de tarjetas de crdito.
Ep. 140121 | 01/21/14 | 03:09Disponible hasta 01/20/14
Univision
La pareja fue detenida en la frontera
DALLAS.- Agentes de la polica en McAllen, Texas, detuvieron este fin de semana
a dos mexicanos por cargos de fraude relacionados con el robo de millones de
nmeros de tarjetas de crdito en el ataque ciberntico a la cadena de tiendas
Target.
El jefe de la polica de McAllen, Vctor Rodrguez, inform el lunes que sus
agentes detuvieron este domingo a Mara Carmen Garca, de 27 aos de edad, y
a Daniel Guardiola Domnguez (28) , ambos originarios de Monterrey, en el
norteo estado mexicano de Nuevo Len.
Qu opinas sobre el robo de datos a la cadena de tiendas Target?
La pareja fue detenida cuando trataba de cruzar a Estados Unidos procedente de
la comunidad fronteriza de Reynosa, precis Rodrguez.
"Hemos recibido informacin sobre sus actividades y se obtuvieron rdenes de
detencin contra ellos. Hemos sido capaces de servir esas rdenes cuando
trataron de regresar de Mxico", explic. "Durante el arresto descubrimos que
tenan otro alijo de tarjetas de crdito fraudulentas" , detall.
Las autoridades sospechan que las tarjetas de crdito que la pareja estaba
usando procedan de la incursin ciberntica registrada en diciembre pasado
contra la cadena de tiendas Target.
CASO DE ESTUDIO: FRAUDE ELECTRNICO EN TARGET
�Prof. Lic. Allan R. Jones Ch., MBA.
Surgirn ms datos cuando la pareja sea acusada por el juez
En el ataque, los piratas informticos entraron en el sistema de computadoras de
la empresa y sustrajeron los nombres, los telfonos y los nmeros de informacin
de tarjetas de crdito de cerca de 100 millones de clientes.
"Creemos que la informacin de las tarjetas de crdito vino de esa violacin de
seguridad" , dijo Rodrguez.
Se espera que la polica de McAllen d a conocer ms informacin una vez que la
pareja haya sido acusada formalmente ante un juez.
De confirmarse que la informacin de las tarjetas de crdito procede del ataque
ciberntico a Target, los mexicanos seran los primeros detenidos en relacin con
el incidente, considerado una de las mayores incursiones a establecimientos
comerciales de Estados Unidos.
La detencin se da a conocer al mismo tiempo que una firma de seguridad
identific a un adolescente en Rusia como el autor del "software maligno" o
malware utilizado en los ataques cibernticos contra Target y la cadena de tiendas
departamentales Neiman Marcus.
En un comunicado, la firma de seguridad IntelCrawler explic que la incursin fue
el resultado de la instalacin de malware que infect el sistema de Target.
El malware, que IntelCrawler describe como un producto conocido como
BlackPOS, habra sido escrito por un joven de 17 aos de edad, con races en San
Petersburgo, Rusia.
De quin es la responsabilidad ante un fallo
de seguridad?
El reciente incidente de seguridad en Target informacin de ms de cuarenta
millones de tarjetas de crdito y dbito utilizadas en sus tiendas fsicas ha vuelto
a centrar el debate en un asunto que se repite cclicamente con cada caso similar:
a quin corresponde la responsabilidad ante un robo de informacin.
CASO DE ESTUDIO: FRAUDE ELECTRNICO EN TARGET
�Prof. Lic. Allan R. Jones Ch., MBA.
Este caso resulta, si cabe, ms paradigmtico por tratarse de un robo que afecta a
tarjetas de crdito utilizadas en el mundo fsico, no en una pgina web (las
operaciones en las tiendas online de Target no resultaron afectadas): todas las
empresas, en la red o fuera de ella, son susceptibles de sufrir este tipo de
intrusiones.
Pero el problema, en cualquier caso, es cmo asignar la correspondiente
responsabilidad ante un evento de este tipo. Ninguna empresa desea ser atacada,
pero hasta qu punto debe ser considerada responsable de ello? Resulta de
verdad posible evitarlo, cuando los mismos expertos en seguridad afirman que la
seguridad total no existe, o hablamos de un problema que toda empresa puede
sufrir a partir del momento en que, por la razn que sea, se convierte en un
objetivo interesante?
Ante un problema de seguridad de este tipo, el clculo de daos resulta
enormemente complejo. La informacin sobre tarjetas de crdito es puesta
rpidamente en circulacin, comprada y vendida por innumerables partes, y lo
ms posible es que si un cliente recibe un cargo fraudulento, sea muy difcil trazar
la responsabilidad para hacerla corresponder con ese robo de informacin.
Lo mismo ocurre con las contraseas: puedes y debes comprobar si las
direcciones de correo que utilizas habitualmente para registrarte en pginas web
han sido afectadas por alguna de las grandes operaciones recientes de robo de
informacin (Adobe, Stratfor, Gawker, Yahoo!, Vodafone, Pixel Federation o Sony)
en pginas que recopilan y consolidan la informacin de los sitios afectados
como esta, pero eso no impedir que algunos se dediquen a comprobar pginas
consideradas interesantes para ver si utilizabas en ellas la misma contrasea,
prctica que no por poco recomendable deja de resultar desgraciadamente muy
habitual.
Mientras los directivos de las compaas intentan poner ese tipo de riesgos lo ms
alejados de sus responsabilidades que sea posible, lo habitual es, al menos en los
Estados Unidos, donde la Federal Trade Commission (FTC) se ha convertido en
muchos sentidos en el rgano regulador competente, que se imponga una multa
por negligencia, multa que no sola ser protestada para evitar poner ms nfasis
en el tema.
Ms de cuarenta compaas han sido multadas por este concepto en los ltimos
aos, pero recientemente, algunas han comenzado a desafiar dichas sanciones
CASO DE ESTUDIO: FRAUDE ELECTRNICO EN TARGET
�Prof. Lic. Allan R. Jones Ch., MBA.
alegando no solo que las prcticas estndar estn definidas de una manera muy
vaga, sino que adems, la FTC no tiene la autoridad correspondiente para
determinar su cumplimiento.
Las prcticas a las que se refieren son las llamadas PCI-DSS, Payment Card
Industry Data Security Standard, un conjunto de doce requisitos agrupados en seis
categoras desarrollado por un comit conformado por las compaas de tarjetas
ms importantes, que parecen ms una expresin de buenos deseos que algo que
pueda realmente ser utilizado para determinar o exigir responsabilidad alguna.
Las normas se refieren nicamente a la informacin de tarjetas crdito y dbito, y
su validacin es llevada a cabo por auditores autorizados, salvo en compaas que
procesan menos de 80.000 transacciones por ao, que pueden llevar a cabo una
auto-evaluacin. Pero los estndares PCI-DSS estn en crisis, tanto por su escaso
rigor en las definiciones (qu significa exactamente desarrollar y mantener
sistemas y aplicaciones seguras? Cmo de seguras? Quin determina qu es
suficientemente seguro y qu no lo es?). Como por el hecho de estar formuladas
de manera tan amplia para que puedan ser utilizadas por las compaas de
tarjetas para eludir su responsabilidad.
En la prctica, resulta muy difcil determinar tanto responsabilidades como daos.
Lo habitual, incluso en el caso de que la informacin de un cliente sea utilizada
para procesar transacciones fraudulentas, es que los daos financieros no sean
asumidos por ese cliente, sino por alguna de las partes implicadas en la
transaccin, tpicamente el vendedor. Las demandas colectivas suelen terminar
con pequeas victorias simblicas en las que las compaas aceptan indemnizar a
los demandantes con pequeas cantidades, pero esa cuestin no incluye posibles
daos derivados de robos de identidad, suplantaciones en pginas y servicios
web, y otras cuestiones relacionadas cuyo origen sera, adems, muy difcil de
trazar. En el caso de Target, cunta responsabilidad debe recaer sobre la
compaa? Tienen algn sentido los masivos descuentos ofrecidos por la
compaa para intentar congraciarse con sus clientes?
En muchos sentidos, la circulacin de la informacin a travs de redes de datos
est sometida nicamente a una gran verdad: dado el inters suficiente, todo
sistema es vulnerable.
Esto deja a las compaas en una situacin paradjica ante una intrusin en sus
sistemas: tener que demostrar que sus prcticas de seguridad eran
suficientemente buenas como para superar una serie de estndares definidos de
manera completamente laxa y abierta, y que lo ocurrido en su caso poda,
CASO DE ESTUDIO: FRAUDE ELECTRNICO EN TARGET
�Prof. Lic. Allan R. Jones Ch., MBA.
bsicamente, haberle sucedido a cualquiera. Adems de ser buenos, esforzarse,
como la mujer del Csar, en parecerlo.
INSTRUCCIONES GENERALES DEL CASO
Los estudiantes estarn organizados en grupos no mayores a cuatro (4)
integrantes.
2. Leer cuidadosamente el documento proporcionado por el docente y complementar
el contenido con informacin pblica de sitios de credibilidad.
3. Analizar la informacin recopilada y destacar los aspectos claves del caso
identificados por el grupo.
4. Esta asignacin equivale al 15% de la nota del Parcial No. 1.
5. Cada miembro del grupo, deber conocer a plenitud el caso y las conclusiones a las
cuales lleg su grupo, puesto que cualquiera puede ser llamado a la sustentacin.
6. Los grupos sern llamados al azar a partir del lunes 26 de septiembre al lunes 17
de octubre del 2016. Si un grupo al ser llamado no expone, tendr como
calificacin cero (0).
7. Se entregar al docente en la fecha de la sustentacin, una hoja debidamente
elaborada con el nombre del trabajo, fecha y los integrantes del grupo.
8. Cada grupo sustentar su trabajo, mediante presentacin en Power Point,
procurando la iniciativa, creatividad y un alto estndar de calidad.
1.
INSTRUCCIONES GENERALES DEL CASO
Suponga que usted ha sido contratado como Auditor de Sistemas y la empresa
afectada le solicita analizar la situacin ocurrida, establecer las causas posibles y
presentar las recomendaciones correspondientes.
10. Para lograr obtener las evidencias suficientes, cada grupo establecer objetivos
para examinar e inspeccionar. Adems desarrollarn modelos de confirmacin para
validar la afectacin a los clientes en los saldos de sus tarjetas. Esta labor se
desarrollar preliminarmente el lunes 19 de septiembre, durante 45 a 60 minutos.
11. Desde el enfoque de un auditor de sistemas, planteen las fallas que a juicio del grupo,
TARGET incurri?
12. Redacten las recomendaciones las cuales sern explicadas. Las recomendaciones
deben estar orientadas a reducir la posibilidad que ocurran las fallas identificadas.
9.
***
CNN Espaol Marzo 2015
http://cnnespanol.cnn.com/2015/03/19/victimas-del-ataque-cibernetico-atarget-podrian-recibir-hasta-10-000-dolares/#0
CASO DE ESTUDIO: FRAUDE ELECTRNICO EN TARGET
�Prof. Lic. Allan R. Jones Ch., MBA.
Diario Gestin (diario de economa y negocios en Per) - Enero 2014
http://gestion.pe/empresas/violacion-datos-target-podria-costar-caro-sussocios-pagos-2086327
Diario El Espectador (Colombia) - Diciembre 2013
http://www.elespectador.com/noticias/economia/gran-estafa-target-articulo465190
UNIVISION - 20 dic 2013
http://www.univision.com/noticias/economia/que-hay-detras-del-robo-de-datosen-target
CASO DE ESTUDIO: FRAUDE ELECTRNICO EN TARGET
