La información se está transformando en el activo de mayor importancia dentro de las grandes empresas que concentran datos de personas. Entre ellas, los bancos están doblemente en riesgo: por una parte, deben proteger la información de terceros que poseen; por otra, el dinero de sus clientes. En consecuencia, cada vez más las entidades financieras deben preocuparse y ocuparse de los riesgos de la ciberdelincuencia.
De acuerdo con un estudio publicado en septiembre pasado por la Organización de los Estados Americanos (OEA) sobre el estado de la ciberseguridad en el sector bancario en América Latina y el Caribe, los riesgos de seguridad digital que merecen la mayor atención por parte de las entidades bancarias son el robo de bases de datos críticas (también conocido como ramsonware, es decir, el secuestro de información con el objetivo de que la entidad pague un rescate por ella), el compromiso de credenciales de usuarios privilegiados y la pérdida de datos.
Los bancos están permanentemente expuestos a amenazas de ciberdelicuentes, que en muchos casos son rápidamente mitigadas por los sistemas de detección. De acuerdo con los datos de la OEA, el 92% de las entidades bancarias manifiestan que han identificado algún tipo de ataque (ya sea exitoso o no) de seguridad digital en su contra. Un 80% de los bancos dijo haber identificado ataques de código malicioso o malware; el 63% de las entidades tuvo una violación a las políticas de escritorio limpio (que se refiere a evitar tener accesos directos innecesarios en las computadoras); finalmente, el 57% de las firmas financieras encuestadas reconoció haber sufrido phishing, un método que utiliza engaños para tener acceso a los sistemas del banco.
Asimismo, el 37% de las entidades bancarias manifestaron que fueron víctimas de ataques exitosos en 2017, cuya principal motivación fue económica. Los datos del informe de la OEA aportan algo de luz sobre el estado de situación en la región, ya que muchas veces las entidades prefieren no dar a conocer las intrusiones para no minar la confianza de sus clientes. En la mayoría de los casos, sólo publican los ataques si los datos de sus usuarios han sido claramente robados o cuando la intromisión causa un daño económico.
Luciano Meléndez, business development manager de seguridad en Logicalis, destacó que hasta hace poco “Latinoamérica estaba exenta de este tipo de ataques a los bancos para robarles dinero. No eran economías muy fructíferas, las tarjetas nunca tuvieron límites muy altos. Era el mismo esfuerzo que atacar un banco en otra parte del mundo y no redituaba tanto. Pero hoy los ataques son cada vez más fáciles de generar, hasta se compran los software maliciosos en Internet”.
Esto último viene permitiendo que empiece a aumentar la cantidad de ciberataques que se viene registrando en la región. Por ejemplo, en abril de este año hubo cinco ataques al Sistema de Pagos Electrónicos Interbancarios (SPEI) de México, donde las entidades de ese país compensan las transferencias electrónicas interbancarias. Sólo uno de los cinco intentos fue exitoso y generó pérdidas estimadas en 15 millones de dólares. En mayo, Banco de Chile reconoció que un ciberataque le robó 10 millones de dólares.
Meléndez detalló que “México y Brasil están un poco por encima de Chile, Perú y Argentina en términos de ataques y vulnerabilidades. Son blancos más interesantes porque manejan más dinero, no porque sean más débiles. Por el contrario, suelen tomar mayores medidas de seguridad”.
Gonzalo García, director de ventas de Fortinet para Sudamérica, destacó que “un hito no menor es una alerta que lanzó el FBI sobre ataques masivos en la industria financiera. Este es un momento hostil para la banca. Hubo casos notorios en bancos de México y Chile que tomaron publicidad. Esta es una realidad con la que toda empresa debe lidiar y no se trata sólo de prevenir, sino también de tomar tecnología para detectar en forma temprana cuando algo malo está pasando y reaccionar rápidamente para mitigarlo”.
Para Oscar Chávez-Arrieta, vicepresidente para Latinoamérica del proveedor de seguridad Sophos, la falta de modernización en las tecnologías es la que deja abierta la puerta a los hackers.“Hoy día, la industria de banca y finanzas en América Latina es un sitio muy atractivo para los ladrones digitales justamente porque ya en el mundo se ha innovado hacia otro tipo de seguridad, con inteligencia artificial (IA) que funci ona en la nube, con nuevas legislaciones que les permiten a los bancos no llevar información del cliente a la nube, sino simplemente la protección de los archivos. Hoy en América Latina seguimos utilizando herramientas tradicionales en la banca que no usan IA ni están en la nube y que están permitiendo que los nuevos hackers modernos estén haciendo ataques como los que hubo en Chile, Perú, México o Brasil”.
El eslabón más débil
Como explicaron los especialistas, los hackers concentran sus ataques sobre el eslabón más débil de la seguridad de los bancos: sus clientes.
Pedro Copertari, cluster sur manager product & presales del área de conectividad de BGH Tech Partner, señaló que “los hackers tratan de dirigir los ataques a los clientes. Lo más habitual es hacerlo a través de un mail, ya sea simulando la página bancaria o mediante ingeniería social, por ejemplo haciéndose pasar por algún familiar o por un empleado de la compañía. El cliente, confiado, le termina pasando la información”.
“Otra posibilidad de acceder es vulnerando al proveedor que tiene un acceso seguro al banco”, agregó.
García coincidió en que el phishing “continúa siendo el punto de acceso principal, el vector de ataque. Las técnicas que se están utilizando son sofisticadas y ya no se trata de un correo que luce riesgoso sino que los hackers usan ingeniería social: estudian qué hace la persona en las redes sociales, qué cosas le gustan, sobre qué temas habla. En muchísimas organizaciones la seguridad de los sistemas de correo electrónico está un poco anticuada, tienen un antivirus y un antispam pero están desprotegidas frente a un ataque dirigido”.
Copertari añadió que aunque la mayoría de los ataques a bancos se dan a través de Internet todavía existen amenazas físicas. Por ejemplo, el aprovechamiento de vulnerabilidades de los cajeros automáticos, mediante las cuales se puede llegar a duplicar tarjetas de débito.
Cómo protegerse
Las empresas de la industria financiera deben velar permanentemente por la seguridad de los datos y el dinero de sus clientes. En ese sentido, los expertos recomendaron una variedad de medidas que se pueden tomar para prevenir, detectar y mitigar los ciberataques.
Chávez-Arrieta señaló que desde el punto de vista del usuario es importante que se le exija al banco que sea cuidadoso. “¿Cuántos clientes de Banco de Chile, cuando fue infectado, han demandado al banco y le han pedido explicaciones por la pérdida de su información?”, se preguntó. “Aun cuando les devuelvan la plata, la información está en la calle gracias al banco. No se trata sólo del dinero que pierden, sino de la información de sus clientes que estos señores, que no han optado por las nuevas generaciones y la innovación, están poniendo en riesgo”, enfatizó.
Del lado del banco, el especialista indicó que hay muchas herramientas buenas de seguridad. “Así trabajen en la nube, con IA o con el modelo tradicional, ninguna brinda un producto que no funciona. ¿Dónde está el mayor porcentaje de posibilidad de robo y secuestro? Está en el usuario mismo. ¿Qué tan difícil es capacitar a una masa de empleados para que no agarren un USB y lo metan en la computadora o para que no abran una foto de WhatsApp? Todo se puede proteger, pero si el usuario no está bien educado, el banco se vuelve más atractivo como víctima”.
En ese punto coincidió Meléndez: “La entidad debería concientizar a sus usuarios, empleados y clientes para que no abran correos que no sean seguros ni se conecten desde redes de wifi inseguras para ingresar los datos del banco. Más allá de eso, la entidad debe proveer una nueva plataforma tecnológica segura, con mecanismos para que sea monitoreada constantemente, y debe preparar al usuario para que pueda acceder desde cualquier lugar del mundo”.
Por su parte, Copertari hizo referencia a que últimamente hubo ataques a la red Swift, que comunica a los bancos en forma internacional, y ejemplificó con un banco de Taiwán que perdió 60 millones de dólares por este tipo de hackeo. Para protegerse de ellos, señaló que es necesaria la protección antimalware y tener software que brinden visibilidad y registro de los eventos que ocurren en tiempo real dentro de la red. “Hay distintos tipos de herramientas que censan permanentemente el comportamiento: primero aprenden qué es lo que el usuario suele hacer y luego saben qué comportamiento es anómalo. Así, lo aísla y separa hasta chequearlo”, refirió.
Meléndez añadió que “los bancos deben segmentar su red y actualizar sus sistemas regularmente para que no accedan a él usuarios maliciosos a través de vulnerabilidades conocidas”.
Chávez-Arrieta destacó como otro eje de protección al asesor-integrador del banco, en tanto tiene la obligación de decirle a la entidad que la solución que vienen usando durante los últimos 15 años ya no es suficiente.
Blindaje contra el cibercrimen
Los expertos acordaron en que los bancos argentinos están trabajando, a diferentes velocidades, en blindarse aún más contra el cibercrimen.
“Creo que hay concientización y veo voluntad de protegerse. El problema que hay, en general, es la estrategia que usaron por muchos años: invirtieron en una tecnología para prevenir que genera información e intentaron poner otra tecnología para procesarla. Hoy ese enfoque no es suficiente. El atacante está fondeado, es sofisticado, usa IA para cumplir sus objetivos, despliega el ataque en distintas etapas y de forma automatizada. Hace falta que la arquitectura de seguridad les permita a los bancos detectar el problema en tiempo real, a velocidad digital, y poder reaccionar de la misma forma. Las entidades locales tienen ese objetivo pero lleva tiempo”, consideró García.
En tanto, Meléndez detalló que “más del 90% de los bancos argentinos tienen protección de firewall de última generación, sistemas de detección de intrusos, así como firewall para aplicaciones web y para bases de datos. La evolución de eso es ir hacia alguna inteligencia que permita identificar el comportamiento malicioso de usuarios y eso todavía no se está viendo en Latinoamérica”.
Por su parte, Copertari opinó que si bien hoy las redes de los bancos están segmentadas, podrían mejorar esas “capas” que ayudan a “mitigar la vulnerabilidad”.
“Además, es necesaria una política de análisis de comportamiento del usuario en las aplicaciones. Si cambio mi clave de home banking, compro dólares y después empiezo a hacer transferencias a diez cuentas diferentes el propio sistema, debería alertar y frenar estas acciones”, ejemplificó.
