En los últimos dos años la ciberseguridad se ha vuelto mucho más compleja. El ecosistema en el que las instituciones financieras deben navegar se han vuelto entornos más agresivos y con amenazas mucho más sofisticadas. La información de clientes y entidades está más expuesta que nunca y la defensa de sus sistemas se ha convertido en un reto técnico y legal. Frente al riesgo sistémico de hackeos de toda índole, la industria financiera busca métodos para blindarse. ¿Qué deben tener en cuenta?
Lo que significa la ciberseguridad
Desde la irrupción del covid con periodos de confinamiento y la tendencia al teletrabajo, los ataques a bancos y entidades financieras se han multiplicado. El exceso de confianza de muchos usuarios ha favorecido la usurpación de identidades a través de la clonación de tarjetas móviles robando miles de pequeñas cantidades en todo el mundo. Entidades como JPMorgan, Equifax (y el robo de información de más de 200 millones de clientes) Bankia, Adeslas y otros tantos tuvieron que hacer frente a ataques que según el Departamento del Tesoro de Estados Unidos, han costado más de 590 millones de dólares en pagos de rescates informáticos solo en el primer trimestre de 2021.
Ofrecer sistemas financieros seguros no es un servicio más. Se trata de una obligación que el sector financiero debe poner en práctica y que además, debe contar con la implicación de elementos internos como externos. Algunos aspectos a destacar son la creación de una unidad específica y especializada en la gestión de riesgos SI y CS, establecer controles para mitigar riesgos, generar mecanismos de autenticación -a ser posible multifactoriales y biométricos – procesos de retención y destrucción de información – para evitar que cualquier tipo de documento entre en la deep web – y establecer una comunicación fluída y transparente con usuarios, autoridades y terceras partes que puedan verse involucradas.
¿Qué atacan los hackers?
El principal objetivo de los hackers es el acceso a sistemas, impidiendo que los usuarios puedan tomar el control de sus finanzas (ATO, Account Takeover, en inglés) y provocando graves pérdidas económicas para la institución, por no hablar del impacto reputacional, provocando a su vez desconfianza en los mercados y una caída de su valor.
Las empresas de ciberseguridad son más frecuentes y tienen como principales objetivos la monitorización de algunos aspectos que se pueden encontrar en la deep web, desde la detección de credenciales – alertando de datos confidenciales que pongan sobre la pista a los expertos- la localización de dominios fraudulentos que se emplean para realizar los ataques o sitios maliciosos y dispositivos que quieran suplantar la identidad de los usuarios, la identificación de documentos confidenciales o el descubrimiento de campañas orquestadas de hackeo.
Algunas obligaciones: cómo aplicar la ciberseguridad
Los expertos recomiendan algunas buenas prácticas que incluyen desde las más básicas, como realizar copias de seguridad, monitorizar la marca y vigilar cualquier actividad anómala, la protección de puntos finales (incluyendo cajeros automáticos por ejemplo) hasta la creación de un equipo específico de ciberseguridad con una división dedicada a ello, ya sea un equipo interno o externo. A este respecto, aplicar la GRC (o gobernanza, gestión de riesgos y cumplimiento) ayuda a automatizar modelos y tener un mayor control de lo que ocurre en la entidad.
Profundizando en tareas más concretas, los equipos de ciberseguridad velan a través del análisis de vulnerabilidades, pen-testing (consiste en atacar diferentes entornos para encontrar y prevenir posibles fallos en el mismo), con modelos Zero Trust (sistemas exhaustivos de verificación), con la aplicación de modelos de SOC (monitorización en tiempo real de los sistemas) o con sistemas de snapshot (parecidos al backup pero con capacidad para clonar servidores y con un mejor tiempo de respuesta) entre otras opciones.
Estas estrategias requieren no solo de enfoques ágiles sino de una constante autoevaluación a través de exámenes del nivel de madurez de sus sistemas de seguridad. Este modelo de ciberseguridad implica el análisis de indicadores CISO (número de dispositivos no identificados dentro de la red, tiempo de resolución de incidentes, vulnerabilidades detectadas, costes) y contar con una buena estructura dedicada a la gestión de riesgos en terceros.
¿Qué más se puede hacer? La defensa como ataque
Uno de los puntos en los que muchas entidades financieras están poniendo el foco es en la llamada Threat Intelligence, o inteligencia de las amenazas. Las entidades pueden crear escenarios ficticios en los que poner en práctica sus mecanismos de defensa imitando los TPP de los ataques y entrenando a sus equipos ante posibles amenazas. Esta experiencia genera conocimiento, previsión y nuevas tácticas para hacer frente a casos reales. Algunos ejemplos del sector financiero que ya lo han incorporado son el CBEST del Banco de Inglaterra, el TIBER-EU del Banco Central Europeo y el TIBER-NL en Países Bajos.
Otro punto fuerte en materia de ciberseguridad es la gestión de identidades con roles de accesos, autorizaciones y administradores, sumando a la existencia de sistemas de IAM del que deriven otras capas de seguridad como el Single SignOn o inicio de sesión único o autenticación vía tokens.
Los empleados: otra columna de la ciberseguridad
Pese a que los ciberataques han aumentado considerablemente en los últimos dos años, muchas – cerca del 80% – de las grietas en seguridad que se producen en las empresas son originadas por fallos o errores humanos. ¿Cómo trabajar en este campo? Ante todo, la formación. Los empleados deben estar al tanto de las técnicas y amenazas a las que están expuestos, desde links fraudulentos que llegan vía SMS a su teléfono de empresa, emails con ransomware, evitar el uso de pen drives o discos duros externos hasta los cambios habituales de contraseñas, factores de autenticación o aprender cómo bloquear un dispositivo en caso de ataque.
Coberturas de ciber riesgo
Ante este entorno hostil, son muchas las empresas especializadas en las coberturas de ciberseguridad que incluyen garantías ante la pérdida de red, por interrupciones totales o parciales, gastos legales frente a terceros en caso de ataques, contagio de virus o violaciones de privacidad o cobertura para los altos ejecutivos entre otras muchas posibilidades.
