En un año, los ataques cibernéticos contra las instituciones financieras pasaron de uno a cuatro por trimestre, lo que representó afectaciones por 784.7 millones de pesos, reveló el Reporte de Estabilidad Financiera del Banco de México (Banxico) a diciembre de 2019.
Además, hubo una diversificación en cuanto a los servicios afectados, “desde transferencias electrónicas hasta cajeros automáticos”, reconoce el Banxico.
Los medios de ataque fueron variados, pues se observó la vulneración de software, operaciones fraudulentas ejecutadas por terceros laborando al interior de la institución, robo de contraseñas, abuso de deficiencias en la validación de saldos y vulneración de equipos de telecomunicaciones, entre otros.
Los ataques se enfocaron en vulnerar sistemas conectados a los bancos que no fueron desarrollados por las instituciones sino por algún tercero, como los canales de banca móvil y los provistos por corresponsales o empresas fintech asociadas con los bancos.
El documento reconoce que los ciberdelincuentes muestran amplio conocimiento de protocolos y sistemas de interconexión para acceder a cuentas y servicios de transferencia de los bancos.
Para los hackers y ciberdelincuentes atacar un banco representa un retorno de inversión, señaló Eloy Ávila, director de Tecnología en Darktrace para América.
“Desafortunadamente, las amenazas hacia las instituciones bancarias nunca desaparecerán por completo, deben existir controles efectivos para desalentar estos ataques desde un punto de vista criminal, pero cada institución necesita una estrategia de seguridad integral que evolucione con la empresa moderna y los códigos de ataque cambiantes”, subrayó.
Los hackers son oportunistas y quieren maximizar sus ganancias o impacto con un trabajo mínimo, indicó el directivo.
“Cuando alrededor de 300 millones de pesos fueron robados de los bancos mexicanos, éstos se convirtieron en un objetivo más atractivo para los hackers, las debilidades conocidas en el SPEI probablemente trajeron más actores cibernéticos al campo de juego”.
Surgimiento criminal
Roberto Martínez, analista senior de Seguridad de Kaspersky, explicó que hay un surgimiento de grupos cibercriminales locales, regionales y globales, ya que al existir huecos legales, el costo-beneficio de estas actividades puede ser mayor que el riesgo al que se enfrentan.
Para hacer frente a estos ataques, Martínez aconsejó que el primer paso a dar por parte de las instituciones consiste en orientar sus esfuerzos de forma más estratégica, apoyándose en información de inteligencia que les permita conocer a sus adversarios, así como las técnicas, herramientas y procedimientos que utilizan para realizar sus ataques.
“Esto los colocará en una mejor posición para detectar de forma temprana y responder adecuadamente a un compromiso de seguridad”, manifestó.
Miguel Ángel Mendoza, especialista en Seguridad Informática de ESET Latinoamérica, agregó que otro inconveniente radica en que las regulaciones no se cumplen por completo, a pesar de que tienen el carácter de obligatorias, incluso algunas directrices se presentan como opcionales y por tal razón no son acatadas.
Enemigo en casa
De las afectaciones por 784.7 millones de pesos registradas durante 2019, el incidente que representó un mayor golpe a la banca mexicana fue el de un fraude realizado por personal de terceros que trabajaba dentro de la institución bancaria.
El acto consistió en que inyectaba operaciones apócrifas de depósito de intereses a cuentas de cheques a través de un archivo para carga por lote desde un ambiente en desarrollo. Esta acción se repitió por tres días.
La afectación causada a esta institución de banca de inversión fue de 462 millones de pesos.
“Los empleados tienen las claves del reino y el conocimiento íntimo de los procesos internos, además de la ubicación de los datos”, comentó Ávila.
Por lo que las soluciones de seguridad deben considerar lo que entra y sale de la empresa así como lo que sucede en el interior.
El directivo de Darktrace dijo que para detectar una amenaza interna, las instituciones financieras deben buscar herramientas de seguridad cibernética que puedan aprender patrones de comportamiento para empleados y personal de terceros.
Por su parte, Mendoza advirtió que los bancos que contratan a terceros deben contemplar en sus políticas sanciones en caso de incumplimiento a las normas.
“La aplicación de controles técnicos que permitan identificar anomalías es otra práctica necesaria para guardar evidencias y rastrear actividades fraudulentas”.