El ciberataque a la conexión del Sistema de Pagos Electrónicos Interbancarios (SPEI) en abril y mayo pasado cambió los controles de seguridad que los bancos aplican internamente a sus empleados.
Correos falsos y phishing ético, entre otras herramientas, son utilizadas para conocer qué tan confiable son sus trabajadores y cómo reaccionan ante una amenaza.
Los directores de seguridad de firmas como Banorte, Santander y Finamex ejemplificaron que en el pasado Mundial de Rusia 2018 se enviaron mails apócrifos ofreciendo ligas para ver los partidos en tiempo real, en los cuales se buscaba que el empleado rechazara la amenaza que, en un caso hipotético representaría la puerta de entrada de un cibercriminal a información de un banco.
“Adoptamos una metodología de reto. Cada mes inyectamos 30 mil correos phishing cercanos a su realidad. Se critica a veces porque dicen que está muy cercano a su vida cotidiana, pero el atacante lo está haciendo”, dijo el director ejecutivo de seguridad de la información de Banorte, Ricardo Morales.
En el pasado foro de Ciberseguridad en el sector financiero organizado por Telmex, el director de riesgo informático y operacional de Santander, Raúl Gómez, añadió que un grave problema que enfrentan es concientizar a su personal de la importancia de mantener elevados los estándares de seguridad.
“Un buen tip es retar a la gente, hacer ejercicios de phishing ético. Estar mandando mensajes que puedan considerar sospechosos pero están controlados para ver su respuesta y decirles ‘esto es un caso típico de lo que te he estado preparando para que sepas responder y lo abriste’”, dijo.
Aprendizaje. Para los encargados de la ciberseguridad de las principales instituciones financieras, el hackeo al SPEI confirmó todas sus alertas sobre que un gran ataque podría ocurrir en el sistema mexicano y a partir de ese episodio, que oficialmente tuvo un costo de 300 millones de pesos, los directivos de los bancos han empezado a invertir en seguridad.
“En el pasado pudimos pensar que esto era una película y que no iba a suceder. Ahora hemos visto que somos vulnerables”, dijo el director de tecnología de información de Casa de Bolsa Finamex, José Luis Cisneros.
Sin embargo, los especialistas destacan que el riesgo reputacional impide que haya colaboración entre bancos ante un tema de la magnitud de los ciberataques.
Mientras los cibercriminales utilizan redes sociales o plataformas colaborativas, los bancos se rehúsan a compartir información sobre posibles amenazas.
Sin embargo, por ley las instituciones financieras estarán obligadas a hacerlo e incluso actualmente colaboran en plataformas anónimas reportando cualquier incidencia que represente una amenaza.