De la mano de nuestros expertos se llevó a cabo el pasado 14 de diciembre el webinar seguridad: ¿cómo proteger los datos y fortalecer la seguridad en entornos de pago? Leidy Piñeros, directora de IT y especialista en IBMi, y Rafael Holguín, especialista en criptografía, nos mostraron las principales tendencias de ciberataques en la actualidad, los hallazgos que como expertos han podido establecer para contrarrestarlos y hacerle frente para generar entornos de pago seguro en nuestros clientes, así como las distintas regulaciones y estándares internacionales que deben ser cumplidos en materia de criptografía.
Vea el webinar completo aquí:
Las estadísticas son claras: la ciberseguridad sigue siendo vulnerada en distintas regiones del mundo a través de distintos tipos de ataques como ransomware y técnicas como la intrusión a correos electrónicos corporativos, en este sentido, América Latina ha tenido una escalada en los porcentajes convirtiéndose en una región que genera gran interés a los ciberatacantes, pero ¿qué se está haciendo para frenar este tipo de avanzadas?
Según nuestra especialista en IBMi, Leidy Piñeros, diferentes organizaciones siguen habilitando y trasladando información por medio de puertos que no son seguros, con lo cual, es necesario adoptar mejores prácticas de seguridad con el objetivo de no llegar a caer en un ciclo de ataque que pueda poner en peligro la información y, además, el funcionamiento general de los sistemas. ¿Cómo lograrlo? A través de procesos como hardening y protección de los datos.
El hardening o endurecimiento de un sistema nos permite establecer una cultura de seguridad para convertir a nuestros clientes en eslabones fuertes, cerrándole espacios a los atacantes y reduciendo los riesgos de un ciclo de ataque, para lo cual es importante estar siempre atentos a actualizaciones y parches de seguridad que nos informen proveedores como IBMi, trabajando de la mano de los logs de auditoría, tener una estrategia clara de generación de contraseñas muy robustas, la segmentación de ambientes y el control de acceso, necesarios para hacer una labor preventiva y no reactiva ante los ataques cibernéticos.
Además, según nuestra experta, un aspecto clave es no olvidar que toda plataforma, incluyendo a IBMi considerada la más seguras del sector, no dejan de ser sistemas operativos, por lo cual es necesario hacer la adopción de un agente nativo y no confiar todos nuestros sistemas en agentes antivirus que están diseñados para el escaneo de otros sistemas operativos y pueden estar expuestos a distintos ataques.
Pero, no solo se trata de prevenir desde el hardening, la protección de los ecosistemas de pago también debe darse la protección de los datos sensibles que interoperan para que las transacciones puedan realizarse, y este es un proceso que se debe garantizar de manera transversal, siguiendo los más altos estándares de seguridad dictados por PCI, Payment Card Industry Data Security Standard, y NIST, National Institute of Standards and Technology.
Estas entidades, que manejan los estándares para todos los procesos de seguridad a nivel global han habilitado regulaciones para evitar casos de pérdida de claves en el cifrado y descifrado y les han dado paso a formatos como TR-31, método que funciona como complemento enlazado a los estándares de ANS X9.24 sobre la gestión de claves simétricas. Este formato permite la protección de las llaves, de manera que se pueda prevenir la sustitución no autorizada de las mismas eliminando los riesgos de intrusión, asociándolas con un conjunto de atributos clave adjuntos en el encabezado de cada llave para lograr su fácil reconocimiento en otros sistemas criptográficos.
En segundo lugar, está la regulación que indica el uso de llaves AES en los procesos de pinblock con formato ISO-4, este formato encripta el pinblock con un formato AES, lo que permite que no sea capturada la llave u obtenida por algún hacker para propósitos de fraude en cuanto al sistema de tarjetas se refiere.
Adicionalmente, también están empezando a considerar obsoletas llaves como DES y TDES. En su reemplazo han empezado a utilizarse las llaves AES, más robustas y mucho más seguras por el tamaño que manejan que, hasta el momento, se ha considerado un factor exitoso al no presentarse hackeos o incidentes con las mismas en los ecosistemas de pago.
Las regulaciones, que vienen acompañadas de tres fases, tienen fechas límites para ser cumplidas, de la siguiente manera:
Fase 1: Integración de TR-31 que consta del transporte o envío de llaves seguras de un sistema a otro dentro de los ecosistemas de pago internos. Esta fase debió haber terminado en 2019.
Fase 2: Implementación de TR-31 en las conexiones externas y el intercambio de información con asociados que debe estar lista para enero de 2023.
Fase 3: Implementación de TR-31 en los host externos con marcas como Visa y MasterCard y en POS y ATMs a nivel global para 2025.
Además de estas fases, PCI y NIST han acordado que, para diciembre 31 de 2023, las llaves AES sustituirán por completo a las DES o TDES para que las marcas puedan exigir con total tranquilidad métodos que no hayan sido vulnerados y, así mismo, puedan construir confianza en los métodos de ciberseguridad estandarizados a nivel global. Todas estas medidas apuntan a un mismo objetivo: fortalecer la protección de la información en los entornos de pago.
En CLAI PAYMENTS® seguimos trabajando de la mano de nuestros expertos para conseguir este objetivo a través de estas normativas, brindándole a nuestros clientes una cultura de seguridad que les permita sentirse confiados en sus servidores y operaciones. Si desea seguir accediendo a contenido como este o comunicarse con nuestro equipo especializado para obtener más información de nuestros servicios, déjenos sus datos a continuación: