Ciberataque a bancos en México y los desafíos a la ciberseguridad


Tras el ciberataque masivo en los bancos en México, nos planteamos qué puede hacer la ciberseguridad para ayudar a la industria?

Hacia fines de abril de 2018, se reveló que el sistema financiero de México fue víctima de un ataque cibernético en el que los cibercriminales robaron más de 300 millones de pesos.


Inicialmente, el Sistema Interbancario de Pagos Electrónicos (SPEI) del Banco de México comenzó a reportar algunas anormalidades en el servicio de transferencias interbancarias. Y aunque inicialmente no se reconoció que el problema subyacente era un ataque cibernético, las incoherencias en las declaraciones obligaron a las autoridades a reconocer que efectivamente se trataba de un incidente así.


Una sola institución notó la explotación de una vulnerabilidad en el servicio web que conecta sus sistemas con SPEI, aunque informó que el incidente no afectó a ninguno de sus clientes.


Luego, a medida que avanzaba la investigación, se hizo público que los atacantes lograron realizar transferencias no autorizadas a cuentas creadas para este propósito a partir de cuentas legítimas. Para tener en sus manos el dinero, los ciberdelincuentes tuvieron que pasar por varios pasos, incluida la extracción de algunos de los fondos mal adquiridos de los cajeros automáticos en diferentes lugares. Fuentes como el periódico mexicano El Financiero revelaron que los atacantes contactaron a algunos de los clientes de los bancos para transferir parte del dinero robado y también para contribuir al proceso de retiro del dinero, a cambio de un pago por su participación.

WeLiveSecurity habló con Miguel Ángel Mendoza, Investigador de Seguridad del Laboratorio de Investigación de Malware de ESET Latinoamérica, sobre este evento sin precedentes en México para comprender mejor el incidente y reflexionar sobre lo que sucederá a continuación.

WeLiveSecurity: ¿Cuáles son las recomendaciones que puede brindar tanto al banco central como a los bancos para mantener sus sistemas protegidos?

Miguel: la ciberseguridad debe basarse no solo en la tecnología, sino también en otros pilares que abarcan desde regulaciones hasta aspectos operativos. Por lo tanto, es esencial contar con los procesos, el personal y la tecnología necesarios para enfrentar amenazas y ataques.


Desde el punto de vista operativo, los bancos y las instituciones financieras pueden crear equipos de respuesta a incidentes para colaborar, coordinar e intercambiar información, así como contar con planes de contingencia para manejar situaciones críticas.


En términos de recursos humanos, la concienciación es una actividad fundamental para minimizar los riesgos: el personal debe estar informado, capacitado y ser consciente de los peligros que representa una importante línea de defensa. Además, también es necesario aplicar controles de seguridad para el personal, antes, durante y al final del contrato de trabajo.

Desde una perspectiva tecnológica, la revisión continua de la infraestructura tecnológica es básica como una medida proactiva, por ejemplo, mediante evaluaciones de vulnerabilidad y pruebas de penetración en profundidad, así como la detección temprana de amenazas a través del reconocimiento de patrones y la creación de inteligencia.

Además, el marco regulatorio en torno a la ciberseguridad bancaria implica el cumplimiento de las leyes y normativas vigentes, así como el desarrollo y la aplicación de otras iniciativas necesarias para el sector.


¿Cuáles son los métodos utilizados en términos de ciberataques contra los bancos?


Sin lugar a dudas, los ataques a los bancos están aumentando, aunque con diferentes métodos. Los primeros ataques registrados se centraron en las técnicas de denegación de servicio (DoS) con el objetivo de dejar fuera de servicio a las instituciones, pero luego se enfocaron en el uso de códigos maliciosos (junto con otras herramientas) en la infraestructura tecnológica para llevar a cabo robos cibernéticos, incluyendo comprometer Cajeros automáticos para extraer su dinero.


¿Cuál es el costo de un ciberataque para una institución financiera?

 Es difícil cuantificar los costos de un ciberataque para cualquier institución financiera: el impacto no es solo económico, y otros elementos dificultan su ponderación, como el daño a la reputación de la organización, la pérdida de confianza en la institución, e incluso la pérdida de clientes potenciales. Por lo tanto, el costo de un ciberataque para una institución podría representar una cifra considerablemente más alta que la cantidad extraída por los atacantes.

¿Necesita más regulaciones financieras en México?
 Nunca tiene suficientes regulaciones, ya que tanto la tecnología como las amenazas avanzan más rápido que las leyes y regulaciones, por lo que generalmente hay una brecha. Otro problema es que las regulaciones no siempre se implementan, incluso si son obligatorias, especialmente cuando hay pautas que se presentan como opcionales.

Por esta razón, eventos como el sufrido por el sistema financiero en México nos ayudan a reexaminar el marco regulatorio y ayudar a adaptarlo en función de las necesidades de seguridad actuales o, en su defecto, a desarrollar nuevas reglamentaciones y legislación. No porque las regulaciones actuales sean obsoletas o inadecuadas, sino porque las leyes o regulaciones nunca son perfectas, y los eventos de esta naturaleza muestran qué lecciones se pueden aprender.


Si quisiéramos buscar el lado positivo de este tipo de incidente, podríamos indicar que contribuyen a resaltar la relevancia de la ciberseguridad y la importancia de abordar el problema desde diferentes perspectivas, porque como mencionamos anteriormente, no se trata solo de tecnología. cuestiones.


Dirigiendo nuestra atención a los bancos afectados por el ciberataque, las compañías mostraron un interés sin precedentes en el tema de seguridad cibernética. Teniendo esto en cuenta, ¿cuáles son los aspectos que una empresa u organización debería estar especialmente interesada en "proteger"?


El 100% de seguridad no existe, por lo que el riesgo siempre está presente, aunque sea mínimo. En este contexto, todo el trabajo de seguridad se centra en minimizar los riesgos asociados con la información y otros activos. Para lograr esto, se aplican controles (tecnológicos, administrativos o físicos) para reducir la probabilidad de que ocurra un incidente o para minimizar el impacto que pueden generar.

Con base en estas ideas, los aspectos básicos que una organización debe considerar como mejor protegidos se relacionan con: procesos, personal y tecnología. Es decir, la aplicación de medidas con diferentes enfoques, desde operativos, administrativos, técnicos o tecnológicos, hasta cuestiones legales y regulatorias.

Además, la estrategia no solo debe enfocarse en tratar de protegerse: como mencionamos antes, siempre hay un riesgo. Por lo tanto, además de pensar en medidas defensivas, es importante contar con un plan reactivo para saber exactamente cómo operar cuando ocurra el inevitable incidente de seguridad. Además de otros enfoques proactivos, intente descubrir las vulnerabilidades en la infraestructura tecnológica antes de que pueda utilizarse para lanzar un ataque. Ambas medidas son igualmente necesarias, por lo que es una mezcla de enfoques.


Por lo tanto, también es necesaria la resiliencia operativa (la capacidad de una organización para llevar a cabo su misión en circunstancias adversas), ya que tiene el propósito de mantener los procesos y servicios comerciales que respaldan directamente la misión de la organización. Considerar la resiliencia operacional para abordar la capacidad de procesos y servicios críticos, para mantenerlos disponibles frente a eventos inesperados y no deseados, es parte de la implementación de la seguridad desde un enfoque holístico y transversal a todos los procesos críticos de la organización.

Según datos del tercer informe anual sobre ciberresiliencia en organizaciones preparado por el Instituto Ponemon, la segunda mayor dificultad que tienen las empresas al desarrollar un plan formal de ciberresistencia es la falta de profesionales con suficiente conocimiento en el campo de la ciberseguridad. ¿Qué piensas sobre esto?

Varios análisis apuntan a una escasez de profesionales especializados en ciberseguridad, por lo que podría ser una de las principales razones por las que es difícil desarrollar programas de seguridad de la información. En este sentido, es crucial que la industria invierta más recursos en la capacitación y la retención del talento, así como en los programas que buscan desarrollar más profesionales en el área.


Además, la educación superior juega un papel clave en la capacitación de personal especializado en temas de seguridad, una tarea que no es para nada simple si consideramos que los currículos actuales en algunas universidades consideran la ciberseguridad solo como temas relacionados con profesiones específicas, o dejando esta capacitación. solo para certificaciones y diplomas. También es importante mencionar que las carreras profesionales completamente enfocadas en la seguridad han comenzado a aparecer, por lo que esta tendencia debe ser alentada.

Varios expertos han sugerido que blockchain podría haber sido capaz de prevenir ataques cibernéticos en los bancos porque habría dificultado la manipulación de datos y habría permitido rastrear de dónde provienen las transacciones. ¿Qué piensas?

Probablemente hubiera podido evitar ataques de este tipo, aunque es necesario mencionar que ninguna tecnología es infalible. Debido a sus características, la cadena de bloques permite la validación de transacciones, por lo que aquellos que no están autorizados podrían ser rechazados. A pesar de esto, la transición hacia este tipo de tecnologías recién está comenzando y le tomará un tiempo a la industria poder operar completamente con este tipo de mecanismo. Y aunque el uso de blockchain podría representar una alternativa para mitigar este tipo de ataque, sin duda surgirán otros.


¿Qué pasa con el 14% de los CEOs en México que creen que es inevitable que sean víctimas de un ataque cibernético: ¿Hablas de organizaciones más conscientes o sigues perdiéndote mucho?El porcentaje nos dice sobre la conciencia de la necesidad de ciberseguridad, pero en el contexto de un escenario adverso basado en lo que sucedió. Sin embargo, esto está lejos de las acciones para enfrentar el problema por varias razones, especialmente recursos.

Por ejemplo, el informe de seguridad de ESET 2018 muestra que solo 1 de cada 10 empresas que participaron en el estudio consideró la implementación de una solución de seguridad móvil, mientras que cada día se identifican nuevas vulnerabilidades y se desarrollan nuevas amenazas en los dispositivos móviles. En otras palabras, mientras aumentan los riesgos, las tecnologías de seguridad son poco utilizadas, por lo que la brecha, lejos de reducirse, aumenta.

Por lo tanto, aunque existe una conciencia cada vez mayor de la ciberseguridad, tal vez incluso a causa de los ataques a escala global que los medios han destacado, todavía queda un largo camino por recorrer. El objetivo es el desarrollo de la cultura de seguridad cibernética, pero esto requiere tiempo, recursos y esfuerzos. Las iniciativas que se están llevando a cabo actualmente están dirigidas a este objetivo.


Publicar un comentario

0 Comentarios