Ciberseguridad en el sector financiero

Septiembre de 2018
Sin lugar a duda, la ciberseguridad es una de las cuestiones del panorama tecnol贸gico actual que m谩s est谩 resonando en el 谩mbito econ贸mico y social del mundo desarrollado. Enfrentar los riesgos de ciberataques elevar谩 los costes de operaci贸n, pero tambi茅n ayudar谩 a restaurar la confianza de los clientes.

Uno de los puntos de inflexi贸n m谩s claros en ciberseguridad fue el famoso ciberataque Wannacry en 2017, que afect贸 severamente a bancos, servicios sanitarios y redes de transporte de m谩s de 150 pa铆ses.

El cibercrimen est谩 cambiando el concepto que ten铆amos sobre la ciberdelincuencia ya que ahora el cibercriminal puede estar a miles de kil贸metros de nosotros. El campo de estudio conocido como 芦journey to crime禄 estudia los trayectos de los delincuentes para cometer sus fechor铆as. El investigador Andy Brumwell analiz贸 los trayectos de casi 260.000 infractores, lo que ha permitido saber, por ejemplo, que existe una clara tendencia a delinquir a una distancia prudencial de sus viviendas (ni demasiado cerca, por si los reconocen, ni demasiado lejos, para que el gasto y el esfuerzo no sean elevados). La irrupci贸n de internet ha posibilitado que los delincuentes encuentren a sus v铆ctimas, casi sin gasto y sin esfuerzo, a miles de kil贸metros de distancia, ampliando enormemente el mercado de v铆ctimas potenciales.

Casos reales de ciberataques

Si acudimos a las estad铆sticas oficiales veremos que la cibercriminalidad no deja de crecer a帽o tras a帽o. Las estad铆sticas se帽alan que las tres industrias m谩s atacadas en el mundo son, por orden, la banca, el retail, Gobierno y otros servicios, lo que posiciona al sector financiero como el principal objetivo de los ciberdelincuentes.

Existen ejemplos recientes como la cadena de ciberataques recibidos por el sistema bancario peruano en agosto de 2018. Como consecuencia, tuvieron que suspender temporalmente sus servicios al verse afectadas al menos seis entidades financieras.

Tampoco se puede olvidar que, en agosto de 2018, saltaron las alarmas en todo el mundo cuando se filtr贸 un informe interno del FBI dirigido a los bancos. El informe ten铆a como objetivo advertir a los bancos para que extremasen las precauciones y medidas de seguridad ante un posible ciberataque coordinado a cajeros autom谩ticos de todo el mundo. La estrategia del robo consist铆a en sustraer millones de d贸lares clonando tarjetas bancarias.

M谩s cerca, y tambi茅n en agosto de 2018, el Banco de Espa帽a sufri贸 un ciberataque que lleg贸 a materializarse y que imped铆a el acceso a su web desde servidores externos. A la vez, un equipo de investigadores de seguridad de IBM X-Force revelaba que el troyano bancario BackSwap (capaz de cambiar el n煤mero de cuenta del destinatario de las transferencias bancarias, as铆 como robar las claves de acceso al banco de la v铆ctima) tiene a nuestro pa铆s en el punto de mira, al detectarse que en la lista de objetivos de este malware se encuentran seis de los principales bancos espa帽oles.

C贸mo afecta al sector financiero

Estos 煤ltimos casos recuerdan que el 40% de los ataques web est谩n dirigidos a la obtenci贸n de informaci贸n, siendo las aplicaciones web patrocinadas por el sector p煤blico y el financiero las que mayor n煤mero de ataques reportaron en 2017.

Entre los principales tipos de ataque orientado que est谩n sufriendo los mercados financieros se encuentran los siguientes:

  • Accesos no autorizados a los sistemas financieros
  • Corrupci贸n de la informaci贸n
  • Interrupci贸n de los sistemas
  • Accesos no autorizados a las cuentas
  • Manipulaci贸n de los l铆mites de operaci贸n
  • Propiciar errores en el c谩lculo de m谩rgenes
  • Borrado, modificaci贸n de registros de liquidaci贸n de 贸rdenes
  • Env铆o de informaci贸n falsa mediante spoofing (suplantaci贸n de identidad)
  • Manipulaci贸n de los algoritmos de c谩lculo de 铆ndices
  • Manipulaci贸n de los protocolos de intercambio de informaci贸n financiera
  • Hackeo y control de los sistemas de trading

Contar con un Programa de Ciberseguridad provee a la organizaci贸n de un instrumento para la gesti贸n adecuada de la seguridad de sus activos de informaci贸n que, alineado con la estrategia corporativa, convierte a la seguridad en un habilitador de negocio y genera la transformaci贸n del riesgo en oportunidades.

Medidas de protecci贸n para evitar ciberataques

Si bien las nuevas regulaciones para enfrentar los riesgos de ciberataques elevar谩n los costos de operaci贸n, tambi茅n ayudar谩n a restaurar la confianza de los clientes. Por tanto, es importante disponer de un plan estrat茅gico para recoger el an谩lisis general de riesgos del sector financiero sobre las principales infraestructuras (incluidas las tecnol贸gicas) e implantar medidas de protecci贸n para prevenir, evitar y mitigar los ciberataques:

  • Desarrollar y evaluar un programa de seguridad de la informaci贸n corporativa o transformar el existente.
  • Identificar y gestionar las amenazas a las que se enfrenta el negocio.
  • Aplicaci贸n de regulaciones, normas y est谩ndares internacionales de seguridad de datos personales y privacidad, as铆 como las tendencias tecnol贸gicas como el c贸mputo en la nube.
  • Elevar el nivel de la seguridad de la informaci贸n a un nivel certificable bajo diferentes est谩ndares internacionales
  • Dise帽ar planes de continuidad de negocio y de recuperaci贸n de desastres, enfocado a los riesgos a los que se est谩 expuesto.
  • Administrar los accesos y las identidades de manera eficiente y efectiva.
  • Proteger la confidencialidad, integridad y disponibilidad de los datos.
  • Fomentar la educaci贸n y cultura de ciberseguridad entre los usuarios finales, y el personal de las propias instituciones que, a trav茅s de una capacitaci贸n continua, redunde en una participaci贸n activa para mitigar los riesgos de ciberataques.
  • Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros, promoviendo el aprovechamiento de las tecnolog铆as de informaci贸n para prevenir, identificar, reaccionar, comunicar, tipificar y hacer un frente com煤n ante las amenazas presentes y futuras.

Como dijo hace unos a帽os Gene Spafford, destacado experto en seguridad inform谩tica: 芦En general, la gente no est谩 interesada en pagar m谩s por tener m谩s seguridad. Al principio, los cinturones de seguridad costaban 200$ y nadie los compraba禄.

Esta ingeniosa frase nos hace recordar que, aunque el sector se encuentra cada vez m谩s concienciado, las inversiones en ciberseguridad contin煤an siendo insuficientes existiendo una alta exposici贸n al riesgo de los negocios del sector financiero. Asimismo, resulta fundamental la formaci贸n en la materia de todos los agentes involucrados.

Para conseguirlo, existen soluciones y compa帽铆as que nos ayudan a proteger nuestra informaci贸n y cursos innovadores que nos permiten aprender a blindarnos ante los ciberdelincuentes o, lo que es lo mismo, hacer que ese cintur贸n de seguridad pase a ser un gran aliado para la continuidad del negocio.

En este contexto, el curso de especializaci贸n en Ciberseguridad y Ciberriesgos, que imparte Afi Escuela junto con MNEMO, compa帽铆a especializada en ciberseguridad, hace que los alumnos aprenden a controlar los principales riesgos a los que se expone la compa帽铆a y a generar estrategias en ciberseguridad.

Carlos Juarros Huerga es gerente de ciberseguridad de Mnemo Evolution & Integration Services S.A.