Como ya explicamos en nuestra Guía de supervivencia contra ciberatracos millonarios, es evidente que este tipo de atracos están evolucionando a una velocidad cada vez más difícil de seguir. En el caso de las entidades bancarias esta evolución es más preocupante si cabe: se encuentran con un malware cada vez más sofisticado, ataques targetizados, muy bien coordinados y, en definitiva, totalmente profesionalizados. De hecho, según el informe Verizon Data Breach Report 2016, la industria financiera ocupa el puesto número 1 en incidentes de seguridad con pérdida de datos confirmada. No sólo son objetivo frecuente de los ataques, sino que además la tasa de éxito es elevada.
La industria financiera ocupa el puesto número 1 en incidentes de seguridad con pérdida de datos confirmada- Verizon Data Breach Report 2016
A pesar de que sigue siendo necesario proteger de forma férrea los datos personales de los clientes, el verdadero desafío en materia de seguridad para las entidades bancarias se encuentra ahora mismo en proteger la información de la propia empresa, que se ha convertido en objetivo preferente para los ataques. Los cibercriminales son conscientes de que el riesgo que corren es mayor: son atracos que requieren más planificación, tiempo y recursos, pero que reportan más dinero en un solo ataque.
Qué pueden aprender las entidades de ciberatracos pasados
En febrero de 2016, el Banco Central de Bangladesh sufrió un ciberataque mediante un malware creado específicamente para este atraco. El malware intentó hacer trasferencias fraudulentas desde la cuenta que el Bangladesh Bank tenía en el Banco de la Reserva Federal de Nueva York; la mayoría de estas transferencias pudieron ser bloqueadas, pero los atacantes consiguieron hacerse con un botín de 81 millones de dólares. Otros ejemplos similares son el ataque sufrido por el Tien Phon Bank, un banco comercial vietnamita, a finales de 2015 (aunque consiguieron detener todas las transferencias a tiempo) o el ciberatraco del Banco Austro a principios de 2015, donde los criminales consiguieron hacerse con 9 millones de dólares.
La duda que plantean este tipo de ataques es: ¿es posible combatir un malware del que aún no se sabe nada? Sí, si se cuenta con soluciones de seguridad avanzadas con capacidades predictivas, que permitan detectar patrones de comportamiento anómalos y dar la voz de alarme antes de que se produzca el ataque.
Las tácticas de ataque más comunes y cómo prevenirlas
Hay diversas tácticas utilizadas habitualmente en ciberatracos que desafortunadamente están marcando tendencia:
- Phising: En el caso de las entidades financieras, lo lógico es dirigir el ataque (directa o indirectamente) hacia empleados con acceso a las finanzas de la entidad.
- Troyanos bancarios: Los hackers hacen uso de ellos para poder controlar los equipos de personas clave en la organización y acceder la información que necesitan: credenciales de acceso, permisos, etc.
- Keyloggers: Es otra puerta de acceso a contraseñas y credenciales que lleva directamente hasta el núcleo de las finanzas de entidad.
- Ataques contra el sistema SWIFT: es el tipo de ataque más sofisticado y el que más pérdidas económicas genera. La plataforma SWIFT es utilizada por la mayoría de entidades financieras a nivel mundial para realizar transferencias bancarias; los últimos ciberatracos a bancos han aprovechado vulnerabilidades en esta plataforma para acceder a las entidades.
Pero, ¿qué pueden hacer las entidades financieras para prevenir este tipo de ataques?
- El conocimiento es poder: es crucial contar con herramientas de seguridad avanzadas que proporcionen visibilidad ilimitada de todo lo que sucede en el parque informático, tanto de los procesos como de los datos intercambiados en esos procesos. Un control total del perímetro de seguridad es la única forma predecir y detectar instantáneamente comportamientos anómalos, para neutralizar los ataques antes de que se produzcan.
- Contar con herramientas ENR que permitan asegurar los end points. En línea con el punto anterior, las herramientas ENR ofrecen un panorama completo del comportamiento de los end points, que en muchas ocasiones son la vía de acceso de los atacantes ya que tradicionalmente han sido considerados más vulnerables. Además, este tipo de soluciones sacan partido de esta visibilidad total de todo lo que ocurre dentro del perímetro para anticiparse a las amenazas o emprender acciones de respuesta que detengan los ataques.
- Herramientas de seguridad avanzadas que clasifiquen adecuadamente la información: además de garantizar el cumplimiento de la normativa vigente sobre protección de datos, contar con herramientas que clasifiquen correctamente los datos de la entidad es también una cuestión de protección. Esta clasificación impide que los servicios cloud externos tenga acceso a información crítica para la entidad (credenciales de acceso al núcleo financiero, por ejemplo) pero sí a los datos de clientes que necesitan para una correcta prestación del servicio.