En lo que puede considerarse una competencia constante entre equipos de seguridad IT del sector financiero contra hackers, el ambiente se enrarece cada vez más. El tema es tan relevante que incluso el Foro Económico Mundial ha situado a los ciberataques como uno de los tres principales riesgos mundiales para 2018. ¿Qué es lo que enfrentan los especialistas en ciberseguridad del sector financiero: debilidades en las estrategias IT o una mayor preparación por parte de los criminales?
De acuerdo con el Reporte del costo de brechas de Ponemon Institute de este año, el sector financiero es el más atacado de todos los que operan hoy en día.
“De los 17 mercados verticales revisados en dicho estudio, el de servicios financieros (que incluye bancos, seguros, administradoras de inversión, corretaje y procesadores de pagos) fue el más vulnerable, con 16%”, señaló Juan Carlos Vázquez, ingeniero de sistemas regional de TrapX en América Latina.
Distribución de ataques por industria, Estudio “Cost of Data Breach”, Ponemon Institute
En los ataques de abril a la plataforma SPEI de México, Vázquez consideró que se puso de manifiesto que no se habían tomado medidas adecuadas, pues meses atrás, SWIFT había anunciado una lista de nuevos requerimientos tecnológicos para mejorar las capacidades de seguridad. Entre esto se mencionaba el incremento la detección de anomalías, monitoreo de transacciones en las redes donde corre la plataforma. “Esto habla de una falencia tremenda y uno de los principales retos que han tenido los CISOs este año: mejorar la visibilidad en las redes, tanto en las redes de usuario, las redes de centros de datos, como también las redes de interconexión con proveedores, que es un caso muy puntual”, señaló Vázquez.
Por su parte, Carlos Chalico, titular de Ciberseguridad y Privacidad para el sector privado de Ernst & Young (EY) Canadá, consideró que estos ataques forman parte de una evolución. “De manera consistente se veía una brecha de seguridad. Generalmente, las organizaciones están preocupadas por responderle al mercado con nuevos servicios, nuevos productos, y desafortunadamente el concepto de seguridad por diseño, privacidad por diseño o control interno por diseño no se utiliza”, afirmó el entrevistado.
Desde la perspectiva de Chalico, el sector financiero es uno de los más regulados en todo el mundo, porque su riesgo inherente es muy grande: si algo pasa en este sector, la afectación que puede haber para individuos y para instituciones puede ser muy alta.
“Con el tiempo, los atacantes han ganado mucha más experiencia. Las tecnologías han evolucionado y, de la misma forma en que tenemos gente más calificada dentro de las organizaciones, afuera también tenemos a los que quieren encontrar dinero por otras vías, ganando una evolución y adquiriendo aprendizajes”, señaló.
El tema se complica, en opinión del entrevistado, porque “desafortunadamente, el ambiente virtual le interesa al crimen organizado, ahí hay gente que recluta personas con capacidades técnicas atractivas para poder cometer delitos que antes se podían realizar en persona”.
Chalico dijo que tres elementos forman el Triángulo del fraude: Primero, el criminal lo razona, se da cuenta de que tiene el conocimiento para hacer algo. Luego, lo justifica y, en tercer lugar, se le presenta la oportunidad. Esta última puede relacionarse con controles relajados o no necesariamente bien definidos.
El ejecutivo afirmó que 75% de los incidentes de seguridad en sector financiero está relacionado con personal interno. “Alguien dentro de la organización favorece que la relación no deseada se presente. Quien está adentro conoce los procesos, las debilidades, es quien sabe qué tiene qué hacer para ejecutar las actividades ilícitas y hasta para tapar las huellas de dichas actividades”.
En el Reporte de seguridad 2018, Check Point considera que 2017 fue un año crucial en materia de seguridad IT. Según el documento, el año pasado se observaron situaciones como el “resurgimiento de un ransomware cada vez más destructivo, botnets contra entornos IoT, nuevas brechas de datos o malware móvil, hasta las sofisticadas tecnologías multi-vector”, y la firma habla de que somos testigos de “una nueva transición hacia una quinta generación de ciberataques”.
De acuerdo con este reporte, en la actualidad, el sector financiero se enfrenta a las ciberamenazas en tres áreas principales: la red SWIFT, el malware bancario y el robo de información.
Cabe recordar que SWIFT (Society for Worldwide Interbank Financial) conecta a más de 11,000 instituciones bancarias y de valores que operan en 200 países a través de un sistema controlado por 3,000 instituciones financieras agrupadas en un esquema de cooperativa.
En México, a inicios del mes pasado, el Banco de México, la Secretaría de Hacienda y la Comisión Nacional Bancaria y de Valores (CNBV) pidieron a las entidades reguladas (bancos, casas de bolsa, casas de cambio, banca de desarrollo, entre otras) que reforzaran sus sistemas de seguridad.
El mundo bajo ataque
A fines de abril, en México, criminales evadieron con éxito las medidas de seguridad del SPEI y se llevaron alrededor de $300 millones de pesos desde las arcas de cinco bancos mexicanos.
Si bien, en ese caso no hay evidencia de que su infraestructura haya sido afectada, sí se vulneraron ciertos aplicativos y sistemas de cómputo que se conectaban al SPEI. Los atacantes lograron intervenir directamente los conectores y enviar transacciones falsas que fueron tomadas como legítimas sin que hubiera una cuenta subyacente de la cual se retiraran los fondos.
Aunque al inicio, el Banco de México informó que habían sido “incidentes operativos”, después tuvo que confirmar las sospechas iniciales.
Hace unos días, en Chile, se filtraron nombres, números y código de seguridad de 14,000 tarjetas de crédito de 18 entidades bancarias de ese país. Hernando Castiglioni, gerente de Ingeniería de Fortinet para Sudamérica, dijo que cada vez se encuentran más vulnerabilidades y hay una amenaza inminente de nuevos ciberataques.
Double Pulsar fue la herramienta (diseñada por la NSA, de Estados Unidos) utilizada para atacar a los bancos en Chile. Castiglioni señaló que los servicios de inteligencia de amenazas de Fortinet detectaron un aumento de 60% en la cantidad de ataques informáticos realizados con esta herramienta en el país sudamericano. Una semana antes se había observado un comportamiento similar en México, donde varios bancos sufrieron ciberataques.
En otras latitudes el fenómeno se repite. Este martes, el periódico británico The Guardian, informó que en Australia, el sector de salud pública fue el más vulnerable a brechas de seguridad de datos entre abril y junio de este año. El sector financiero fue el segundo.
Entre los casos de instituciones vulneradas en 2017, varios tuvieron qué ver con sector financiero: Check Point lista a “Verifone, el gigante de los pagos con tarjeta”, cuya solución punto de venta fue atacada en febrero del año pasado. Y, en noviembre, Bitcoin, cuando la plataforma de minería de criptomoneda NiceHash se vio comprometida por hackers y perdió 4,700 bitcoins ($70 millones de dólares aproximadamente).
En Corea del Sur, a cambio de no interrumpir los servicios online de siete bancos de ese país, un grupo autodenominado Armada Collective exigió el pago de $315,000 dólares en bitcoins amenazando con un ataque DDoS (ataque distribuido de denegación de servicio). Pero, como las entidades financieras surcoreanas han recibido ciberataques y amenazas similares desde 2011, el gobierno dijo que no pagaran, para no fomentar este tipo de chantajes..
En la parte del Informe por sectores, el estudio de Check Point afirma que con miles de millones de dólares online cada día, los ataques son inevitables. Y, aunque el principal motivo para atacar el sector financiero es el dinero, esto no es lo único que está en juego. Otras afectaciones se ven en el servicio al cliente se afecta y en la reputación de la marca.
Otro caso fue el robo de $60 millones de dólares del Far Eastern International Bank de Taiwán. Ahí, se desarrolló malware que se insertó en computadoras y servidores web, pero también en una terminal SWIFT que utilizaba el banco. Desde ahí, los ladrones pudieron obtener las credenciales necesarias para el pago de transferencias y, luego manipular las transferencias realizadas por la red SWIFT.
En el reporte Check Point se afirma que para estar protegido contra la explotación de las redes SWIFT, las entidades financieras no solo deben implementar medidas de seguridad estándar, sino también soluciones de protección de vanguardia que disuadirán incluso a los atacantes más sofisticados.
Según el fabricante, el robo al banco taiwanés se hubiera evitado usando capacidades forenses avanzadas para obtener una visibilidad total, monitoreando y registrando todos los eventos en los endpoints, incluyendo ficheros afectados, procesos iniciados, cambios en el registro del sistema y actividad de la red. La firma indica que se debería poner en marcha una solución que rastree e informe de los pasos adoptados por el malware y que, además, bloquee los intentos de un criminal de ocultar sus huellas.
En diciembre se reportó que hackers rusos robaron 10 millones de dólares a los bancos Aidan Bartos y Unsplash.
Del Reporte de seguridad 2018, de Check Point
Acortar el tiempo de respuesta y acciones, lo que sigue
Si bien Vázquez consideró que los sucesos de este 2018 pusieron de manifiesto que México era susceptible a este tipo de incidentes, uno de los hallazgos más importantes del reporte de Ponemon Instituto e IBM es que hoy en día el tiempo que una entidad tarda para detectar o identificar una intrusión o un ataque, ya sea hecho por un insider o por un actor malicioso externo es de 197 días.
“El tiempo para que una entidad se dé cuenta es muchísimo. Y, todavía, el tiempo para remediar o contener esa amenaza hoy es en promedio de 69 días, un periodo extremadamente largo en que el atacante vive dentro de una red y que pueda ser perfectamente identificado. Ese es el reto que tienen hoy las entidades financieras”, señaló Vázquez.
Check Point consideró que el rápido crecimiento del malware, la creciente sofisticación de los atacantes y el aumento de nuevas amenazas desconocidas de día cero requieren un enfoque diferente del tradicional firewall para mantener la seguridad de las redes y los datos de las empresas.
“La quinta generación de seguridad de red tiene que incluir un enfoque unificado que incluya características como firewall, IPS, anti-bot, antivirus, control de aplicaciones y filtrado URL para combatir ciberataques y amenazas tanto conocidas como desconocidas”, señaló la firma en su documento.
En el tema de planeación, para Chalico resulta increíble que a estas alturas del Siglo XXI haya países que no tengan definida una estrategia de seguridad.
Hasta febrero de este año, en América Latina, solamente seis países, Colombia, Panamá, Paraguay, Costa Rica, Chile y México, tenían “estrategias de ciberseguridad”, según el Grupo de Estudios sobre Seguridad Internacional (GESI), vinculado a la Universidad de Granada.
El entrevistado recordó que el año pasado fue muy bien recibida en Canadá la noticia de que la Ley del Sector Financiero del Estado de Nueva York en Estados Unidos obliga a todas las entidades financieras que tienen operaciones en el estado de Nueva York a tener un oficial de seguridad de la información y a desarrollar un programa de ciberseguridad efectivo.
Vázquez recordó que en la Gartner Conference de junio pasado se recomendó a las entidades que reaccionen de manera proactiva ante cualquier tipo de incidente. “Por eso hoy hablamos del tema de hunting, bajo diferentes tecnologías, es decir, estar cazando al atacante en lugar de esperar a que se presente un incidente, que este se ignore y que resulte que trae a colación un incidente mayor. En ese sentido para las entidades financieras, es que el reto tecnológico que tienen es que sus arquitecturas de seguridad deben estar diseñadas para monitorear permanentemente los ambientes de red”.