Los bancos están en la mira de los ciberdelincuentes
Los bancos están en la mira de los ciberdelincuentes

El 92% de 191 entidades bancarias en América Latina y el Caribe reconocieron haber sido blanco de algún tipo ataque informático. Y en un 37% de los casos esos incidentes fueron exitosos. El dato surge un extenso informe de la Organización de los Estados Americanos (OEA) que analiza el estado de la ciberseguridad en la región y al que tuvo acceso Infobae.

Los resultados de este análisis se estarán debatiendo en el marco del Simposio de Ciberseguridad que organizó la OEA en Washington y que se llevará a cabo hasta el 28 de septiembre.

La puerta de entrada para los ciberataques

El 80% de los eventos de ciberseguridad reportados son producto de malware o códigos malicioso. En segundo lugar se destaca la violación de las políticas de "escritorio limpio" o clean desk. Cuando los archivos o documentos privados quedan a la vista de cualquiera se incrementan las chances de que información confidencial caiga en manos equivocadas y se utilice para orquestar un ataque.

Las tretas digitales también son una gran puerta de entrada. En un 57% de los casos, los ciberdelincuentes entran al sistema bancario a través de ataques de phishing, tal como se llama la estrategia de ingeniería social que recurre a mensajes o correos que simulan venir de una entidad reconocida o empresa para engañar al usuario y lograr que éste ofrezca credenciales privadas como contraseñas.

América Latina fue blanco de ataque en varias oportunidades. Una de las más reciente fue la de las entidades financieras en Chile donde se filtraron los datos de más de 69 mil datos de tarjetas de crédito y débito.

Los riesgos de seguridad a los que deben poner mayor atención las entidades bancarias son el robo de base de datos críticos; las credenciales de los usuarios con acceso privilegiado y la pérdida de información.

En ocasiones es difícil identificar el inicio de un incidente. Y aún cuando se pueda identificar el comienzo lo cierto es que puede originarse en muchos sitios en simultáneo. "Los incidentes pueden venir de diferentes regiones, pero lo que más nos importa es reconocer que esto es un problema transnacional. Internet es abierta, no tiene fronteras, por eso el problema hay que abordarlo de la misma forma", explicó a Infobae Belisario Contreras, gerente del Programa de Seguridad Cibernética en la OEA.

Tipos de incidentes digitales experimentados por los usuarios de los bancos.
Tipos de incidentes digitales experimentados por los usuarios de los bancos.

Cajeros automáticos

Los ataques a cajeros automáticos crecieron en el último tiempo. A comienzo de año se detuvo al cerebro de la banda conocida como Fin7 o Carbanak, acusada de robar cerca de USD 10 mil millones de cajeros. Los ciberdelincuentes se infiltraron en las redes de seguridad de más de 100 entidades en 40 países y lograron controlar los cajeros para que empezaran a entregar dinero de manera automática y sin freno.

No es el primer ataque de este tipo, pero sí de los más grandes. Y todo indica que estos incidentes podrían seguir avanzando si no se toman medidas adecuadas. Hace poco más de un mes, el FBI advirtió que un grupo de criminales informáticos estaría planeando un gran ataque a escala global a cajero automáticos para robar millones de dólares.

El malware Ploutus, que se ha utilizado en ataques a cajeros en diferentes regiones el año pasado, demostró ser tan efectivo que los ciberdelincuentes comenzaron a comercializar y exportar este software, incluso ofreciendo soporte para que se puedan llevar adelante los ataques.

"A principios de 2018, la firma de seguridad especializada en Internet de las Cosas Zingbox informó que las variaciones de malware Ploutus se estaba vendiendo bajo licencia a agrupaciones de delincuencia de Estados Unidos. Esta operación fue tan sofisticada que se informó que el sistema de licencias incluía servicios adicionales para el cliente, como capacitación a la fuerza laboral", se detalla en el informe.

Los sistemas de pago

Violaciones a los sistemas de pago como Swift y otras variantes locales, como el SPEI de México son moneda corriente también. Estos ataques aprovechan las deficiencias en las infraestructuras y los procesos de los sistemas de los bancos.

Así se orquestan los engaños con las autorizaciones de pago (OEA).
Así se orquestan los engaños con las autorizaciones de pago (OEA).

A fines de 2017 se identificó que el grupos de cibercriminales conocidos como los MoneyTaker estaban recopilando información sobre los sistemas de pagos transfronterizos utilizados en bancos de América Latina y América del Norte, posiblemente para lanzar futuros ciberataques.

Quiénes están detrás de estos ataques

En ocasiones todo comienza con una filtración que puede llegar a diseminarse hasta puntos impensados. Tal fue el caso de Wannacry. Los autores de ese atentado, conocidos como Shadow Brokers, publicaron técnicas de hackeo y exploits de Eternal Blue, una vulnerabilidad de Windows, y al poco tiempo ocurrió el mega ciberataque que afectó a empresas y organismos en más de 150 países.

A mediados de este año se habló de una ofensiva cibernética, originada en Corea del Norte que pone en riesgo los depósitos bancarios de usuarios en todo el mundo.

En mayo, un informe del FBI y del Departamento de Seguridad Nacional alertó sobre dos tipos de malware: una herramienta de acceso remoto conocida como Joanap y un gusano para bloquear mensajes de servidor conocido como Brambul. Se cree que son utilizado como parte de las actividades cibernéticas del Gobierno norcoreano conocidas como Hidden Cobra (Cobra Oculta).

En el caso de Fin7, mencionado anteriormente, la expansión del incidente en todo el mundo hizo que fuera necesario todo un operativo internacional para poder ponerle freno.

"Cuando las fuerzas policiales comenzaron a arrestar a miembros de Fin7 en marzo-agosto de 2018, se requirió la cooperación de Estados Unidos, Ucrania, Alemania y España, entre otros. En general, la distribución geográfica tanto de los bancos seleccionados, como de las personas que realizan los ataques, hace que sea difícil para que los bancos, por separado preparen defensas efectivas cuando actúan por su cuenta, y complica las gestiones de aplicación de la ley para rastrear y arrestar a los delincuentes después de un ataque exitoso", se remarca en el informe.

El costo económico

Además de la pérdida de dinero que significa un ciberataque para los clientes, también hay que tener en cuenta el riesgo potencial que implicaría si no se toman las medidas adecuadas para que esas credenciales robadas no puedan ser utilizadas en nuevos ataques.

A su vez, hay que considerar el costo financiero que estos incidentes tienen para los mismos bancos. Se estima que el costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades bancarias de la región América Latina para 2017 fue de USD$ 809 millones aproximadamente.

"En la deep web se pueden comprar herramientas para explotar vulnerabilidades desde USD 15 y un banco puede llegar a gastar millones de dólares en ciberseguridad. La relación es asimétrica", analizó Contreras.

Qué deben hacer los bancos para detener el avance de estos incidentes

Más del 90% de las entidades financieras analizadas implementaron los cortafuegos y las actualizaciones automatizadas de virus y sistemas. A su vez, el 85% de las entidades bancarias de la región utilizan tanto sistemas de detección o prevención de intrusiones (IDS e IPS), como procesos de monitoreo de amenazas y vulnerabilidades.

Sin embargo, todavía no están del todo preparados para anticiparse a delitos más sofisticados. El 49% de las entidades no está implementando herramientas de control y prevención que impliquen tecnologías de vanguardia como big data o machine learning que son cruciales para identificar patrones de ataque.

Un punto que se infiere es que aún no hay suficiente inversión en ciberseguridad: el presupuesto destinado a este sector en las entidades financieras es, en promedio, del 2,09% del EBITDA.

Los ataques de phishing son muy utilizados para acceder a contraseñas y otros datos personales de usuarios.
Los ataques de phishing son muy utilizados para acceder a contraseñas y otros datos personales de usuarios.

En el informe se concluye que es necesario mejorar la detección y prevención de incidentes; limitar y proteger los accesos de privilegio; integrar la seguridad al diseño de la arquitectura de red y conocer al adversario.

Dada la naturaleza de los ataques que no se circunscriben a un tipo de ataque ni a una sola región, resulta necesario establecer mecanismos de cooperación entre diferentes entidades. En este sentido se remarca el rol del Centro de Análisis e Intercambio de Servicios Financieros en Estados Unidos; el Centro del Delito Cibernético de Europol, en Europa y la Alianza de Defensa Cibernética en el Reino Unido.

El informe concluye que en América Latina se podría tomar estas iniciativas como ejemplo de cooperación entre los diferentes actores: sistemas financieros en sus diferentes formas y entidades reguladoras para poder abordar el problema del ciberdelito de manera integral.

Contreras remarcó la necesidad de incrementar la inversión en recursos humanos y financieros; además de apuntar a un trabajo de colaboración entre empresas y gobiernos de diferentes países. "Se deben tomar políticas en todos los niveles", concluyó.

MÁS SOBRE ESTE TEMA: