Nuevos riesgos para la protección de datos en el sector de los servicios financieros

La protección de datos sujetos a regulación se enfrenta a amenazas provenientes del uso de tecnologías informáticas, lo que tiene unos matices específicos en el sector de los servicios financieros.

Netskope, Threat Labs ha publicado un informe que expone la importancia del uso de aplicaciones personales y de genAI en el sector de los servicios financieros y que advierte del peligro que esto supone para los datos sujetos a normativas como el RGPD.

Estas conclusiones proceden del último informe de Netskope Threat Labs, que explora las últimas tendencias en ciberseguridad en el sector de los servicios financieros. El estudio se centró en tres amenazas principales que afectan al sector (el uso de aplicaciones personales, la inteligencia artificial generativa y las amenazas de ingeniería social), y muestra cuáles son los principales grupos de ciberdelincuentes que atacan al sector.

Aplicaciones personales

El 13 % de los trabajadores de servicios financieros suben datos confidenciales a aplicaciones personales en la nube. Como medida de prevención, el 83 % de las organizaciones están implementando controles, a pesar de lo cual sigue habiendo empresas potencialmente vulnerables.

Es muy preocupante que el 74 % de las infracciones de las políticas de datos de aplicaciones personales implique la subida de datos personales y financieros regulados. Google Drive y OneDrive se situaron en tercer y cuarto lugar, respectivamente, como destinos más populares para subir archivos, publicar o enviar datos a redes sociales personales, almacenamiento en la nube, correo web y aplicaciones de IA generativa.

Todo esto demuestra la importancia del conocimiento contextual dentro de la política de seguridad, que ayuda a diferenciar entre instancias corporativas y personales de aplicaciones que abarcan entornos corporativos y personales.

IA generativa

El 95 % de las empresas de servicios financieros utilizan aplicaciones de genIA. ChatGPT sigue siendo la aplicación genAI más utilizada en los servicios financieros, pero su adopción se ha estancado. Microsoft Copilot experimentó un rápido crecimiento a lo largo del año, al igual que Google Gemini, Anthropic Claude, Quillbot, Gamma (el asistente de escritura) y Gamma (el asistente de presentaciones).

Las infracciones de las políticas de datos en las aplicaciones genAI estaban relacionadas básicamente con una mezcla a partes iguales de propiedad intelectual, código fuente y datos regulados. El 90 % de las entidades del sector bloquean activamente al menos una aplicación genAI, y el número de aplicaciones bloqueadas por entidad no deja de crecer.

El uso de estrategias más matizadas, como la prevención de pérdida de datos (DLP) y la formación de usuarios en tiempo real, ha ido ganando popularidad este año, y el uso de DLP para controlar la GenAI ha pasado del 35 % al 52 % en el sector a lo largo del año.

Amenazas de ingeniería social

Casi 1,5 de cada 100 usuarios del sector de los servicios financieros son víctimas de un intento de phishing o de descarga de malware cada mes. De cada 1000 usuarios, 9,8 son víctimas de un engaño para descargar malware, mientras que 4,7 visitan una página de phishing. La conocida plataforma de intercambio de código GitHub ha sido la aplicación en la nube más popular para distribuir malware.

Casi la mitad de los ataques de phishing rastreados suplantaban a aplicaciones en la nube y entidades bancarias. Microsoft fue la marca más suplantada en los ataques de phishing en la nube, mientras que DocuSign y Adobe también se utilizaron con frecuencia para robar credenciales de inicio de sesión de otros servicios.

El SEO «poisoning» (obtener páginas de phishing en los resultados de los motores de búsqueda) está demostrando ser una técnica eficaz para engañar a los empleados del sector financiero y que descarguen malware.

Al comentar los resultados, Ray Canzanese, director de Threat Labs de Netskope, dijo: «La información personal y financiera sensible que gestionan las organizaciones del sector de los servicios financieros las convierte en un objetivo principal para los delincuentes, que dependen en gran medida de la ingeniería social para introducirse en ellas. El phishing y el malware se han vuelto muy frecuentes; de hecho, casi el 1,5 % de los usuarios tropieza con una página de phishing o descarga malware cada mes. Esta alta tasa de ataques subraya la importancia de contar con estrategias sólidas contra la suplantación de identidad y el malware en el sector».

«En lo que respecta a la inteligencia artificial generativa y las aplicaciones personales, ambas suponen un riesgo importante para las organizaciones de servicios financieros que quieren proteger la información personal y financiera sensible que gestionan», continúa Canzanese. «A medida que la adopción de la inteligencia artificial generativa continúa creciendo, las organizaciones siguen tratando de ponerse al día mediante la implementación de nuevos controles como la prevención de pérdida de datos (DLP) y la formación de usuarios en tiempo real para reducir así los posibles riesgos».