Consideraciones al

pagar con CoDi

Tener precaución con solicitudes de escaneo: los

cibercriminales suelen redactar las solicitudes como
requerimientos urgentes de una Institución Financiera. Ante
cualquier sospecha, ignóralos y llama de inmediato al banco.

Actualizar aplicaciones: actualiza constantemente las

aplicaciones oficiales que tu institución financiera y el Banco de
México comparten de manera oficial para el pago con CoDi.

Descargar aplicaciones que validen si un código QR es

apócrifo: varias empresas de ciberseguridad cuentan con este
tipo de programas.

Validar códigos del comercio: revisa que el código QR del

establecimiento donde vas a realizar un pago no se encuentre
al alcance de cualquier persona que pueda alterarlo. Si ves algo
raro en él, mejor opta por pagar con efectivo.

Verificar datos de tienda o comercio: tras escanear un código

para pagar y antes de dar clic en la opción “aceptar” comprueba
que los datos mostrados corresponden con los del comercio en
el que se está realizando la transacción y el monto sea el
correcto.

No escanear códigos QR en la vía pública: evita leer los códigos

que se encuentran en carteles pegados en postes o paredes en
la calle, y revisar bien los QR de la publicidad oficial que hay en
el transporte público o en lugares comunes, si hay sospecha de
que fueron alterados evítalos a toda costa.

Estar consciente de su uso: esta plataforma puede suponer

múltiples ventajas al momento de realizar transacciones
cotidianas, pero siempre debes tener presente que alguien
puede sacar ventaja de su uso.

Hemos revisado algunas modalidades que un atacante puede utilizar

sobre CoDi y las recomendaciones para incrementar tu seguridad en
la plataforma, ahora considera lo siguiente:

¿Has realizado un pago utilizando CoDi?

¿Con qué frecuencia has escaneado códigos QR en

lugares públicos?

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Tipo de ataques a
Cajeros Automáticos

Alteraciones físicas
del cajero
Estos ataques requieren acceso físico al
cajero y su objetivo es la captura del PIN
y demás datos de la tarjeta. Para lograr
lo anterior, el atacante debe colocar
estratégicamente cámaras y otros
dispositivos para capturar imágenes o
videos dentro de los cajeros automáticos
para obtener números PIN de manera
fraudulenta. Una vez capturados, los
datos electrónicos se colocan en una
tarjeta fraudulenta y el PIN capturado se
utiliza para retirar dinero de cuentas.

Entre los principales métodos

encontramos los siguientes:

Card Skimming
Uso ilegal de un dispositivo,
instalado de forma oculta en un
ATM, para recolectar información de
la banda magnética de una tarjeta
de crédito o débito. Por ejemplo, una
cámara usada para grabar
información de una tarjeta.

Pin Spying
Uso de cámaras para grabar el PIN del
usuario capturado en el momento cuando
lo introduce en un ATM. Con el desarrollo
de la tecnología inalámbrica el PIN se
puede transmitir en tiempo real.

Este ataque también se puede llevar a

cabo por parte de personas que pueden
intentar ver el PIN de un usuario o
distraerlo; este tipo de personas trabajan
en equipos dando vueltas en el sitio donde
se encuentran los cajeros.

PIN Interception
Interceptar el PIN de una tarjeta
CHIP & PINB, cuando el usuario
introduce su PIN en la terminal
punto de venta.

La intercepción usa un dispositivo

que se coloca entre la terminal de
punto de venta (POS) y el lector de la
tarjeta de crédito.

Card Trapping
Retención de una tarjeta en el cajero, para
recuperarla tiempo después y obtener
datos de esta.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Dispenser false fronts
Se coloca un dispensador de dinero falso
que retiene el efectivo.

ATM Overlays
Uso de partes que se colocan
(superponer/overlay) en diferentes
lugares del cajero automático, con el
objetivo de ocultar cámaras de espionaje
o dispositivos skimming.

ATM falsas
Uso de fascias que se colocan sobre cajeros
automáticos genuinos. Después de ingresar
su PIN, los titulares de tarjetas ven un
mensaje "fuera de servicio”. El PIN se
captura a través de un teclado incorporado
que se superpone al teclado real.

Partial Withdrawal
(retiro parcial)
El cajero solo entrega parte de la
cantidad a retirar.

Ram Raids
El cajero automático es atacado y
arrancado (Ram Raid) o la caja fuerte es
atacada in situ (robo). Los ataques pueden
llevarse a cabo mediante la fuerza bruta, o
mediante el uso de explosivos o gas.

Robberies
Ataque dirigido a una persona que está
haciendo uso de un cajero automático.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Uso de Cajeros Automáticos
(ATM’s)
Los Cajeros Automáticos o ATM, por sus siglas en inglés, son una de las
formas principales que utilizamos para disponer de efectivo y realizar
operaciones bancarias sin tener que entrar en un banco.

Por su amplio uso y fuente de efectivo tienden a ser blancos frecuentes

de los criminales. Conocer los riesgos y defensas te ayudará a
identificar posibles situaciones de alerta y evitar fraudes.

Entre las principales amenazas que tienen

los ATM se encuentran:

Robo total del ATM por desprendimiento

Robo hormiga de la dotación por parte de los servicios de

suministro de efectivo

Robo a través de rutinas de mantenimiento

Vandalismo

Robo de partes y componentes

Asalto al momento de dotar

Atentados terroristas mediante la colocación de explosivos

Sopleteado del cajero

Ataque con herramienta de corte (esmeril)

Fraude al tarjetahabiente al ofrecerle ayuda

Captura de los datos de las tarjetas (skimmers, facias falsas, etc.)

Dispositivos para retener la tarjeta (Lebanese loop)

Trampas en el dispensador del efectivo (tablillas)

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 de
Beneficios de la política
S eguridad de la nformación
I

El establecimiento de una política de información provee a la

organización los siguientes beneficios:
Establece los lineamientos: La política de seguridad
establece los lineamientos de forma clara y concisa, de
manera que las “leyes” de Seguridad de la Información
sean comprendidas por toda la organización.

Reduce los riesgos: Al establecer los

requerimientos que todos los usuarios de la
organización deben cumplir en relación con la
Seguridad de la Información, la organización
fortalece la postura de seguridad de sus usuarios
y reduce los riesgos a los cuales están expuestos.

Ayuda al cumplimiento: La política de información

debe estar alineada con los requerimientos de
Seguridad de la Información de los entes reguladores,
por lo cual, ayuda a que la organización mantenga el
cumplimiento regulatorio.

Mejora la reputación de la organización: Una

política de Seguridad de la Información bien
establecida y comunicada, proyecta una imagen más
confiable de la organización a sus integrantes y
terceros relacionados mejorando su reputación.

Mejora la cultura organizacional: La comunicación

de la política de Seguridad de la Información a toda la
organización ayuda a promover la conciencia de
riesgos de seguridad de información, mejorando la
cultura organizacional.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 ¿Qué es una política
de seguridad?

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 ¿Qué es una política
de seguridad?
Una política de seguridad es un conjunto de reglas,
normas y protocolos de actuación que se encargan de
velar por la Seguridad de la Información de la empresa. Se
puede considerar como una especie de guía sobre cómo
enfrentar todos los riesgos a los que está expuesta una
organización en el mundo actual.

Tener conocimiento sobre la política de Seguridad de la

Información te ayudará a visualizar su propósito para la
organización y su importancia.

La política de seguridad debe ser probada y respaldada por los

niveles más altos de la organización y también debe ser leída,
entendida y aceptada por todo el personal, para que tome
conciencia de su rol activo dentro de lo que es la Seguridad de
la Información de los activos informáticos de la empresa.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 De acuerdo con los lineamientos del estándar del sistema de

Gestión de Seguridad de la Información ISO-27001, la organización

debe establecer una política que (da clic en los ejemplos) :

Sea apropiada al propósito de la organización

Incluya los objetivos de Seguridad de la Información

Incluya el compromiso para satisfacer los requerimientos

de Seguridad de la Información aplicables

Incluya el compromiso para la mejora continua de

la Seguridad de la Información

Adicionalmente, la política de Seguridad de

la Información debe cumplir con lo siguiente,

(da clic en los ejemplos) :

Que el documento se Sea comunicada a Esté disponible para los

encuentre disponible toda la organización terceros relacionados

Reflexiona

¿Conoces la política de Seguridad de la Información de tu

organización?

¿Has preguntado al personal de Seguridad de la

Información (CISO) tus dudas sobre el tema de

Seguridad de la Información?

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

Sea apropiada al propósito de la Incluya el compromiso para la

organización: mejora continua de la Seguridad

Debe estar diseñada de acuerdo con la naturaleza de la de la Información:

organización y su objetivo. Una Institución Financiera tiene

La Seguridad de la Información no es un proceso estático ni
requisitos y riesgos de Seguridad de la Información distintos a
una meta, dado que los riesgos tecnológicos son cambiantes y
una empresa de manufactura, por ejemplo, por lo cual sus
evolucionan constantemente. Por ello, la política debe contar
políticas serán distintas.
con el compromiso de la alta dirección para mantener el

sistema de gestión de Seguridad de la Información bajo una

mejora constante.

Incluya los objetivos de Seguridad

de la Información:

La política de Seguridad de la Información debe incluir cuáles

son los objetivos que tiene la organización para proteger la

Confidencialidad, Integridad y Disponibilidad de sus activos de

información, o contener los lineamientos para definirlos.

Incluya el compromiso para satisfacer

los requerimientos de Seguridad de la

Información aplicables:

De acuerdo con el sector de negocio, socios o localidad, una

organización puede tener distintos requerimientos con los que

deba cumplir. Por ejemplo, una Institución Financiera en

México tiene requerimientos de Seguridad de la Información

por parte de la CNBC, Banxico, PCI-DSS, regulaciones locales,

etc.
Esté disponible para los terceros
relacionados:
La política de información contiene lineamientos que son
importantes para los terceros relacionados como, por
ejemplo, contratistas y proveedores de servicio, conozcan y
confirmen su cumplimiento.

Sea comunicada a toda la

organización:
Todo el personal de la organización debe conocer la política de
Seguridad de la Información para poder confirmar su
compromiso y cumplir con los lineamientos. Por ello, es
común que las organizaciones realicen campañas periódicas
para comunicar la política de Seguridad de la Información y
confirmar su entendimiento.

Que el documento se encuentre

disponible:
La política debe ser accesible en todo momento para ser
consultada y reflejar la versión más reciente y aprobada de
la política.