La banca en América Latina, donde México juega un papel primordial, se ha convertido en uno de los blancos favoritos de los ataques cibernéticos patrocinados por gobiernos (Estados), y los números que arroja la Secretaría General de la Organización de Estados Americanos (OEA), el Foro Económico Mundial, el Grupo de Acción Financiera Internacional (GAFI) y la Federación Latinoamericana de Bancos (Felaban) son alarmantes: 37 por ciento de las instituciones financieras de la región reportan que en 2017 fueron víctimas de incidentes exitosos, y el principal objetivo de los ataques fueron: Motivos Económicos, aseguran 79 por ciento de las entidades bancarias víctimas.
En un documento presentado el pasado martes en Washington D.C. por la OEA denominado Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe, del cual Excélsior tiene copia, se menciona que a mediados de 2018, “los ataques a Bancos de México y Chile dejaron en claro que los servicios financieros de América Latina son ya el blanco preferido de los delincuentes cibernéticos extranjeros y respaldados por Estados”.
Un tema a destacar es que según el documento, donde participa el Programa de Ciberseguridad de la OEA adscrito a la Secretaría del Comité Interamericano contra el Terrorismo (CICTE), 49 por ciento de las entidades bancarias aún no están implementando herramientas, controles o procesos usando tecnologías digitales emergentes, tales como big data, machine learning o inteligencia artificial, las cuales resultan muy importantes a la hora de prevenir ciberataques o determinar patrones sospechosos asociados a fraude, entre otras capacidades de detección.
En 72% de las entidades bancarias, la junta directiva recibe reportes periódicos acerca de indicadores y gestión de riesgos de seguridad digital. Sin embargo, 60% del personal que reporta considera que convencer a la alta dirección de invertir en soluciones de seguridad digital es medianamente complejo, a pesar de la relevancia que tienen las inversiones, especialmente en materia de prevención y desarrollo de capacidades contra el cibercrimen”.
Luis Almagro, secretario general de la OEA, afirma que 92 por ciento de las entidades bancarias manifiestan que identificaron algún tipo de evento(ataques exitosos y no exitosos) de seguridad digital.
Los eventos más identificados fueron el código malicioso o malware (80% del total de entidades bancarias), la violación de políticas de escritorio limpio (clear desk, 63%) y el phishing dirigido para tener acceso a sistemas del banco (57%). Destaca además la detección de eventos con frecuencia diaria de malware y phishing dirigido para tener acceso a sistemas del banco, en 24 y 22% de las entidades bancarias que los identificaron, respectivamente”.
Almagro afirma que, según los datos, el presupuesto en seguridad digital se invierte en 43% en plataformas y medios tecnológicos; 22% en recursos humanos; 22% en servicios tercerizados; y 13% en generación de capacidades. En promedio, el presupuesto asignado a un miembro promedio del equipo de seguridad digital fue de 19 mil 437 dólares en 2017, valor que varía dependiendo del tamaño de la institución financiera.
Con los valores obtenidos del estudio se estima que el costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades bancarias en América Latina para 2017 fue de 809 millones de dólares, aproximadamente.
EL TEMA DEL SPEI
Para Troels Oerting, director del Centro de Seguridad Cibernética del Foro Económico Mundial (WEF), y Sean Doyle, investigador líder y quien encabeza el proyecto Gobernanza y Política del Centro de Seguridad Cibernética del WEF, ambos participantes en el estudio de la OEA, a mediados de 2018 los Bancos en México fueron blanco de grupos con las características de Amenaza Persistente Avanzada, respaldadas por Estados.
Violaciones a los sistemas de pago, como SWIFT, o las variantes nacionales, como el SPEI de México, ocurre en todas las regiones y es ahora es tendencia. Estos ataques aprovechan las deficiencias de la arquitectura y los procesos de los sistemas de los bancos y, en general, no son el resultado de deficiencias de la infraestructura de pagos. Más bien, en cada uno de los incidentes, los clientes (bancos) sufrieron por primera vez violaciones de seguridad”, aseguran.
Se destaca el caso de Bancomext, que en enero pasado frustró un ciberataque a través de la red Swift, el sistema de control de tráfico aéreo para enviar dinero a todo el mundo, el cual no se dio a conocer públicamente.
Según se comentó en Washington, un técnico de nivel medio detectó actividad inusual en la cuenta de Standard Chartered Plc., que utiliza el Bancomext para transferencias internacionales, y se reportó inmediatamente.
Autoridades de Bancomext se enteraron después que piratas informáticos sospechosos de ser de Corea del Norte habían tratado de desviar más de 110 millones de dólares, lo que obligó al prestamista de Reino Unido a suspender temporalmente las operaciones en su plataforma de pago internacional. Hoy se sigue investigando.
Los delincuentes cibernéticos están organizados, bien financiados y no tienen limitación geográfica. Ya no necesitan ingresar a una sucursal, ni siquiera al país en el que se encuentra su blanco. Los delincuentes atacarán el banco que proporcione el mayor retorno de inversión, independientemente de dónde esté ubicado. Por tanto, todos los bancos deben asegurarse de tener suficientes recursos técnicos, personal capacitado y procedimientos apropiados para defenderse, y garantizar que el negocio sea lo suficientemente resiliente. En América Latina y en todo el mundo, la resiliencia cibernética requiere un compromiso desde el nivel de junta directiva hasta el nivel de sucursal”, agregan los especialistas.
EL CASO CARBANAK
La cara del cibercrimen en América Latina, e inclusive en el mundo, tiene un nombre en 2018: Fin7, delincuentes informáticos también conocidos como Carbanak. Se ha determinado que Fin7 ha robado al menos mil millones de dólares a operadores financieros entre 2013-2016, antes de ampliar sus objetivos a otros sectores en 2016-2018.
Cuando las fuerzas policiales comenzaron a arrestar a miembros de Fin7 en marzo-agosto de 2018, se requirió la cooperación de EU, Ucrania, Alemania y España, entre otros países. En general, la distribución geográfica tanto de los bancos seleccionados como de las personas que realizan los ataques, hace que sea difícil para que las instituciones financieras, por separado, preparen defensas efectivas, y complica las gestiones de aplicación de la ley para rastrear y arrestar a los delincuentes después de un ataque exitoso.
Además de ser un objetivo para grupos delictivos internacionales, los bancos latinoamericanos también deben enfrentar a atacantes sofisticados locales. Los ataques a cajeros automáticos son un área en la que se encuentran entre los líderes mundiales”, se señala en el estudio de la OEA.
Los logros generados por latinoamericanos con cajeros automáticos, como la familia de malware Ploutus, han demostrado ser tan efectivos y adaptables que los delincuentes latinoamericanos decidieron comercializar con éxito este software para exportación, y en EU ya hay huella de ello.
*JVR