A finales de abril pasado se dio a conocer que el sistema financiero de México había sido víctima de un ciberataque en el cual cibercriminales robaron una cifra cercana a los 300 millones de pesos.
En relación a este episodio, ESET, analizó algunas interrogantes que dejó el incidente que sirven para entender cuáles son algunos de los desafíos en el corto y largo plazo para hacer frente al tema de la ciberseguridad.
“Sin duda, los ataques a la banca van en aumento, aunque bajo diferentes modalidades. Los primeros ataques registrados se enfocaban en técnicas de Denegación de Servicio (DoS) con el objetivo de dejar fuera de operaciones a las instituciones, aunque luego se enfocaron en el uso de códigos maliciosos, junto con otras herramientas, en la infraestructura tecnológica para llevar a cabo robos cibernéticos; incluyendo cajeros automáticos que pueden ser comprometidos para la extracción del dinero”, mencionó Miguel Ángel Mendoza, Especialista en seguridad informática de ESET Latinoamérica.
Al principio, el Sistema de Pagos Electrónicos Interbancarios (SPEI) del Banco de México comenzó a reportar algunas degradaciones en el servicio de transferencias interbancarias. A medida que avanzó la investigación se conoció públicamente que fue consecuencia de un ciberataque y que los atacantes lograron realizar transferencias no autorizadas hacia cuentas creadas para este propósito y cuentas de usuarios legítimos.
Posteriormente, en una compleja red de participantes, parte de esos fondos fueron extraídos en distintos lugares a través de cajeros automáticos o ventanillas. Fuentes como El Financiero revelaron que los atacantes contactaron a usuarios de cuentas legítimas para transferir parte del dinero robado y también para que contribuyeran al proceso de retirar el dinero, a cambio de un pago por su participación.
“Es difícil cuantificar los costos de un ciberataque para alguna institución financiera, ya que el impacto no solo es económico, sino que intervienen otros elementos que dificultan la ponderación, tales como el daño a la imagen y reputación de las organizaciones, la pérdida de la confianza en la institución e incluso la pérdida de potenciales clientes. Por lo tanto, el costo de un ciberataque para una institución podría representar una cifra bastante mayor al monto extraído por los atacantes”, de acuierdo a Mendoza.
Desde el Laboratorio de Investigación de ESET Latinoamérica, nos comparten algunos puntos clave a tener en cuenta cuando se hable de seguridad en el sistema financiero:
- Contemplar todas las áreas involucradas: La ciberseguridad no debe cimentarse únicamente en la tecnología, sino que debe apoyarse en otros pilares que van desde las regulaciones hasta aspectos operativos. Por ello, resulta indispensable contar con procesos, personal y tecnología necesaria para hacer frente a las amenazas y ataques.
- Prever y minimizar los riesgos: Desde el punto de vista operativo, los bancos e instituciones financieras pueden crear equipos de respuesta a incidentes para colaborar, coordinar e intercambiar información, así como contar con planes de contingencia y manejo de situaciones críticas. Las evaluaciones de riesgos son de gran utilidad para prever posibles escenarios adversos y actuar en consecuencia.
- Contar con personal preparado: La concientización es una actividad fundamental para minimizar riesgos, ya que el personal informado, capacitado y concientizado representa una línea de defensa. Además, resulta necesario aplicar controles de seguridad para el personal, antes, durante y al concluir la relación laboral.
- Actualizar la infraestructura tecnológica: En el ámbito tecnológico, la revisión continua a la infraestructura es básica como una medida proactiva, por ejemplo, mediante evaluaciones de vulnerabilidades y pruebas de penetración a profundidad, así como la creación de inteligencia para la detección temprana de amenazas y reconocimiento de patrones.
- Acatar las reglas de la industria: El marco regulatorio en torno a la ciberseguridad para la banca implica el cumplimiento de las legislaciones y regulaciones vigentes, así como el desarrollo y aplicación de otras iniciativas necesarias para el sector.
- Implementar la resiliencia operativa: (habilidad de una organización para perseguir su misión en circunstancias adversas), también es necesaria, ya que tiene como propósito mantener los procesos de negocio y los servicios que soportan de manera directa la misión de la organización. Considerar la resiliencia operativa para atender la capacidad de los procesos y servicios críticos, en busca de mantenerlos disponibles ante los eventos inesperados e indeseados, es parte de la implementación de la seguridad desde un enfoque holístico y transversal a todos los procesos críticos de la organización.
Cada vez se adquiere más conciencia acerca de la necesidad de la ciberseguridad, en el marco de un escenario adverso, como el que ocurrió con la banca mexicana. Sin embargo, se requieren más esfuerzos y recursos para enfrentar la problemática. Por ejemplo, uno de los resultado del ESET Security Report 2018, muestra que únicamente 1 de cada 10 empresas considera la implementación de una solución de seguridad para móviles.
Mientras cada día se identifican nuevas vulnerabilidades y desarrollan nuevas amenazas en los dispositivos móviles. En otras palabras, mientras que los riesgos aumentan, las tecnologías de seguridad son poco utilizadas, por lo que la brecha, lejos de reducirse, se ve acrecentada.
“Si quisiéramos ver el lado positivo de este tipo de incidentes, podríamos indicar que contribuyen a evidenciar la relevancia que tiene la ciberseguridad en estos tiempos y la importancia de atender el tema desde distintas perspectivas, ya que no solo se trata de cuestiones tecnológicas. Los aspectos básicos que debe considerar una organización para estar cada vez más protegida están relacionados con: procesos, personal y tecnología. Es decir, la aplicación de medidas con distintos enfoques, desde cuestiones operativas, administrativas, técnicas o tecnológicas, hasta legales y regulatorias.”, concluyó Mendoza.