La industria bancaria y financiera bajo el asedio de los cibercriminales
Las instituciones financieras han asumido ahora un papel aún más activo en la creciente convergencia de la tecnología de la información, TI y la tecnología operacional, OT.
La necesidad de dispositivos inteligentes conectados 24x7, ha llevado a la industria a adaptarse, especialmente con la adopción más amplia de Internet de las Cosas (IoT) entre las empresas y usuarios. Lamentablemente, esta conexión permanente con sus respectivas cuentas financieras ha sido considerada por los ciberdelincuentes como una oportunidad propicia para obtener beneficios a expensas de las empresas legítimas.
Los bancos y las organizaciones financieras han destacado constantemente que la seguridad es una de sus preocupaciones primordiales. Sin embargo, el sector y sus respectivos clientes siguen siendo -y se espera que sigan siéndolo- los principales objetivos de los actores malintencionados, a pesar de las nuevas normativas para reforzar aún más la ciberseguridad y la privacidad. Además de las florecientes oportunidades de negocio que han abierto las empresas de e-commerce y tecnología financiera (FinTech), la constante conectividad de los dispositivos móviles supuso para los ciberdelincuentes el acceso para estudiar y observar las lagunas de seguridad, lo que sitúa a los usuarios y a las empresas financieras como blancos más fáciles para las transacciones fraudulentas y las brechas.
A continuación, Trend Micro enumera los ataques y amenazas en evolución que los ciberdelincuentes pueden utilizar para comprometer a las empresas financieras, a sus partners y proveedores, así como a sus clientes.
Ataques a la infraestructura bancaria
La manipulación física de los cajeros automáticos (ATM), las bombas de gasolina o las máquinas punto de venta (PoS) se ha venido produciendo desde principios de la década de los 2000 con el uso de "skimmers", herramientas instaladas por agentes malintencionados para robar información bancaria de usuarios legítimos. Esta información adquirida ilegalmente puede utilizarse para robar directamente dinero de bancos y empresas, o utilizarse posteriormente para su consolidación y monetización en el mercado negro del cibercrimen o underground.
Si bien Trend Micro, en sus investigaciones, señaló la disminución de la manipulación física de dispositivos por parte de los ciberdelincuentes, esta forma de ataque sigue prevaleciendo en varios países. Además, los ciberdelincuentes han incluido skimmer scripts y malware en su arsenal, lo que les permite reunir y robar fácilmente credenciales e información bancaria infiltrándose en la red e interceptando el tráfico de la misma. Esto también resulta más fácil cuando las propias máquinas se exponen en Internet para escudriñar y abrir brechas, inyectando malware, o se utilizan más para comprometer los sistemas operativos (OS). A menudo, el OS utilizado por los bancos para sus máquinas está desactualizado y ya no recibe actualizaciones de seguridad ni revisiones, lo que las hace vulnerables a los ataques, que los agentes maliciosos pueden explotar para obtener mayores pagos.
Los bancos también están comenzando a reconocer medios rentables para prestar servicios y mantener los archivos almacenados con servicios en la nube. Sin embargo, aprovechar y mantener estas nuevas funciones puede ser desalentador y las malas configuraciones de estos programas de software y contenedores cloud son frecuentes cuando se utilizan por primera vez.
Estos lapsus pueden dar lugar a fugas de bases de datos y procesos online, así como presentar a los agentes malintencionados una vía para vulnerar los sistemas de los bancos.
Ataques a las aplicaciones y redes bancarias
La banca online a través de los sitios web y app de los bancos se ha convertido en una característica básica tanto para los negocios offline como para las páginas de e-commerce. Como se mencionó en la investigación de Trend Micro sobre la reciente normativa de la Unión Europea (UE) para Banca Abierta u Open Banking, las técnicas arriesgadas empleadas por las empresas para recopilar datos, junto con los retrasos en la aplicación técnica de los protocolos de seguridad obligatorios, han aumentado las amenazas de ciberseguridad y ampliado las superficies de ataque para estas instituciones. Los componentes de los websites y las aplicaciones pueden colocarse en la propia empresa, alojarse en otro lugar o en la nube, lo que requiere mantenimiento de la seguridad y customización. Las configuraciones erróneas en los entornos cloud, los informes de fallos no seguros, la información sensible en las direcciones URL, la inyección de scripts maliciosos y las interfaces de programación de aplicaciones (API) inseguras son solo algunas de las superficies de ataque que pueden pasar desapercibidas para el personal de la empresa; aperturas que los ciberdelincuentes pueden investigar para abusar de la intrusión, así como la investigación de objetivos de alto valor para actividades más perversas.
Y si bien cada institución financiera puede tener sus propios procesos operativos, respectivamente, distintos, los ciberdelincuentes también pueden utilizarlos para manipular, atacar y comprometer a los bancos mediante incidentes de compromiso de procesos de negocio (BPC). Estas técnicas siguen siendo explotadas por agentes malintencionados para desviar el dinero de las instituciones y los usuarios legítimos mediante programas de malware, exploit kits e incluso herramientas de supervisión legítimas tras una intensa investigación y observación. Algunos de los mayores atracos a la banca online de los últimos años consistieron en este tipo de ataques de red basados en identificar brechas débiles en los procesos y plataformas para permitir transferencias de fondos a ciberdelincuentes.
Ataques a terceros y a la cadena de suministro
La creciente asequibilidad de Internet y la creciente gama de productos que los bancos ofrecen a los propietarios de pequeñas empresas allanaron el camino para las florecientes oportunidades para el retail, el marketing y ventas al consumidor. Sin embargo, muchas organizaciones financieras establecidas o pequeñas y medianas empresas (PYMES) subcontratan el diseño y desarrollo de apps, websites y API a empresas de FinTech, ya que a menudo no disponen todavía de personal interno para estas tareas. Además, varias de esas instituciones financieras siguen dependiendo de terceros proveedores de servicios para el mantenimiento de sus redes y sistemas, así como para sus necesidades técnicas de servicio al cliente, como informes de fallos y errores.
Estas debilidades percibidas han pintado a las PYMES como objetivos "fáciles" porque se considera que asignan una cantidad menor de recursos a la ciberseguridad, y tendrán más dificultades para hacer frente a las consecuencias de un ataque. A menudo se considera que las PYMES están vinculadas indirectamente o forman parte de una cadena de suministro más amplia o de un consorcio de organizaciones empresariales. Para los ciberdelincuentes, las PYMES son sus puertas traseras para atacar a marcas más prominentes que pueden conducir a un importante tesoro de datos de clientes, información de empleados, cuentas bancarias de propietarios de negocio, información y archivos de propiedad exclusiva o un tiempo de inactividad en las operaciones.
Con bancos y otras organizaciones financieras abriendo sus sistemas para dar cabida a nuevos servicios online y transacciones rentables -como las estipulaciones para las recomendaciones financieras impulsadas por la ley de Banca Abierta de la UE-, los negocios online, las aplicaciones móviles y la continua conectividad de los bancos a Internet permiten a los ciberdelincuentes estudiar continuamente sus respectivas facetas técnicas y de recursos humanos para detectar abusos y ataques.
La investigación de Trend Micro sobre la preparación de los bancos y las compañías financieras para la Directiva Revisada de Servicios de Pago (PSD2) demostró que, incluso en la actualidad, estas aplicaciones y sitios web tienen problemas de seguridad al exponer la información del banco y los clientes. Los ciberdelincuentes pueden aprovecharse de la inexperiencia de las empresas de FinTech en la detección y el manejo de transacciones fraudulentas, dejando a los clientes y consumidores vulnerables a los ataques. El business email compromise (BEC) y los ataques de phishing son solo algunas de las técnicas que los ciberdelincuentes pueden utilizar para explotar la confianza que los clientes, el banco y los empleados de FinTech que ahora comparten.
Conclusión
La tendencia a integrar los activos offline presenta mejoras en los procesos y ampliaciones de los servicios impulsadas por la recopilación y el análisis de “big data": facilitar las transacciones para optimizar los flujos de la cadena de suministro, mejorar el rendimiento y transformar la producción. Para las instituciones financieras, asegurar la optimización, la sostenibilidad y la conveniencia online han enfatizado el papel de la mejora de la seguridad con cada paso. En caso de que se produzca un compromiso, los bancos no solo tienen que defenderse de las réplicas más siniestras de los ataques de ciberseguridad, sino que también tienen que protegerse, dada su reputación establecida, para mantener la confianza de sus clientes. Los ataques online y offline amenazan constantemente a las instituciones bancarias y financieras, y a medida que el uso de la tecnología crece y se desarrolla, se presentan simultáneamente más oportunidades de negocio y de ciberdelincuencia. Como parte de la "vieja guardia" que se ve obligada por la tecnología a innovar y seguir desarrollándose, la concienciación en seguridad, la vigilancia y la integridad siguen siendo constantes sólidas en el sector en todo momento.