Como demostramos en Escudo Digital jornada a jornada, todos los días hay brechas de seguridad de empresas e instituciones, aunque no todas tienen la misma gravedad. Uno de los objetivos más sensibles -y también codiciados por los ciberdelincuentes- son los bancos, por la cantidad de datos -e importancia- que pueden almacenar estas entidades. En estos casos los actores de amenazas buscan obtener el máximo impacto y también beneficio económico.
"Las instituciones financieras son un objetivo atractivo para los ciberdelincuentes, ya que creen que un éxito en la brecha de una institución financiera puede ser más lucrativo que atacar a cualquier otro negocio. Para empeorar las cosas, estas instituciones han tenido dificultades en los últimos años para asegurar adecuadamente su infraestructura contra los ciberataques modernos", explica Richard de la Torre, Technical Marketing Manager de Bitdefender.
Desde 2019, con los cambios geopolíticos y la 'democratización' de los ataques de ransomware a nivel global gracias al ransomware as a service (RaaS) las entidades bancarias y financieras se han convertido en un objetivo aun más recurrente para los amigos de lo ajeno digitales.
Entidades de distintos países como Banco de Venezuela, el Banco de Brasilia, Bank of Zambia, la china ICBC y otras se han enfrentado a estas amenazas en los últimos años, con resultados dispares.
"Los actores de amenazas también saben que el sector bancario no puede permitirse ningún tiempo de inactividad en sus operaciones, lo que hace que sea más probable que paguen rescates para restaurar los servicios a sus clientes lo más rápido posible", añade de la Torre.
Pero los ataques de malware, phishing, ingeniería social, etc son el pan de cada día para el sector financiero, ya que las credenciales bancarias siempre son 'un caramelo' para los cibermalos. La firma Carnegie Endowment for International Peace ha elaborado una interesante línea de tiempo con muchos de estos ciberataques desde 2008 hasta 2022.
Pese a estas amenazas constantes, según el Fondo Monetario Internacional (FMI), más de la mitad de los bancos centrales no disponen de una estrategia cibernética nacional o de una guía de ciberseguridad adecuada para el sector financiero.
Esto es especialmente preocupante, ya que en los últimos años, con la ampliación hacia nuevos servicios y herramientas digitales, en la práctica los bancos cada vez tienen 'más puertas' por las que los atacantes pueden entrar.
"La rápida digitalización de las instituciones financieras hace que el compromiso de credenciales sea aún más atractivo al crear un suministro prácticamente interminable de identidades a las que apuntar", opina Anastasia Sotelsek, Principal Sales Engineer de CyberArk.
En la misma línea opina el responsable de Bitdefender: "Las instituciones financieras han sido forzadas a una transformación digital a medida que más clientes y empresas aumentan su dependencia de pagos sin contacto, lo que las ha llevado a asociarse con procesadores de pagos digitales como PayPal, Venmo y otros, lo que supone un aumento en los ataques a la cadena de suministro. En general, las instituciones financieras han aumentado involuntariamente su superficie de ataque al intentar satisfacer mejor las necesidades de sus clientes".
Los bancos y las entidades financieras son gigantes que caminan muy despacio y cuya modernización ha costado bastante en comparación con otros sectores. Esta 'lentitud' a la hora de implementar ciertas tecnologías o actualizarse también los hace vulnerables a las ciberamenazas.
"Uno de los principales vectores de ataque por parte de los ciberdelincuentes que tienen como objetivo obtener información sensible suele ser la explotación de las vulnerabilidades presentes en los sistemas informáticos de las instituciones objetivo, bien porque todavía no han sido parcheados o porque no se han actualizado a las últimas versiones disponibles en el mercado", explican para Escudo Digital Raquel Puebla e Itxaso Reboleiro, analistas de ciberseguridad de Innotec Security Part of Accenture.
Pero, quizás, como ocurre en la mayoría de las empresas e instituciones, el mayor peligro lo representan las personas que abren 'la puerta' a los piratas informáticos, algo que en la mayoría de los casos ocurre de manera involuntaria y sin percatarse de ello.
"El factor humano sigue siendo uno de los puntos débiles de las organizaciones, por lo que los atacantes continúan desarrollando técnicas cada vez más sofisticadas con las que tratan de engañar a sus víctimas para lograr el acceso inicial a sus dispositivos, donde posteriormente pueden ejecutar cargas útiles de malware que infecten por completo los sistemas. Así, la falta de capacitación en ciberseguridad y de concienciación sobre ciberamenazas pueden conducir a un error humano que derive en una brecha de seguridad", comentan desde Innotec Security Part of Accenture.
De la Torre también abunda en que "los bancos están sintiendo el impacto de la falta de habilidades en ciberseguridad y a menudo les resulta difícil adquirir el talento necesario para implementar y gestionar medidas de ciberseguridad adecuadas. Todos estos factores combinados han dado como resultado una tormenta perfecta que deja a muchas instituciones financieras susceptibles a una brecha".
Probablemente la mayor filtración de datos ocurrida en estos años ha sido la de First American Corp, que supuso el compromiso de más de 885 millones de registros financieros y personales vinculados a transacciones inmobiliarias. El fallo vino por un error de diseño de su página web. Es decir, la vunerabilidad se produjo por un despiste o error interno, no por la injerencia de un hacker.
Otro incidente bastante significativo fue el de Equifax. La conjunción de diversas prácticas poco adecuadas llevó al bureau de crédito estadounidense en septiembre de 2017 a filtrar datos de 147 millones de clientes. Se estima que un 40% de los ciudadanos estadounidenses sufrieron de alguna manera esta brecha. La firma aun está lidiando con diversas sanciones económicas y demandas colectivas.
Un caso igualmente llamativo fue el de Capital One, que supuso el compromiso de 100 millones de solicitudes de tarjetas de crédito. En esta ocasión la atacante fue la ex ingeniera de software de Amazon Web Services, Paige A. Thompson, quien accedió ilegalmente a uno de los servidores de AWS que almacenaban los datos. Esta hacker no ocultó la autoría e incluso presumió de su 'captura' en redes sociales.
Lamentablemente, que se produzca una brecha de seguridad relativa a un banco no solo depende de estas entidades, sus empleados o clientes. A veces, los cibermalos logran entrar aprovechándose de terceras empresas.
"Estas vulnerabilidades pueden manifestarse en forma de sistemas operativos o software sin parches, debilidades de seguridad en proveedores de terceros, proveedores de servicios o partners que tienen acceso a los sistemas financieros o sistemas heredados con características de seguridad inadecuadas", alerta el experto de Bitdefender.
Puebla y Reboleiro destacan como lo más atractivo para los atacantes pueden ser las vulnerabilidades de 'día cero' o zero day, un auténtico maná para los piratas informáticos cuando son descubiertas. "Son aquellas desconocidas por el fabricante y, por tanto, no cuentan con medidas de mitigación que permitan proteger los sistemas frente a ellas. Teniendo en cuenta que por lo general las entidades bancarias cuentan con elevados niveles de seguridad, explotar un fallo que no resulta conocido puede ser una opción probable".
De la Torre añade que explotar estas vulnerabilidades de terceros "permite a los actores de amenazas implantar malware o establecer conexiones de comando y control que luego les permiten comprometer otros sistemas dentro de la organización. La institución financiera queda vulnerable al ransomware, la exfiltración de datos, los ataques de denegación de servicio y otras formas de acciones maliciosas diseñadas para paralizar la capacidad de la organización para hacer negocios".
Qué hacer ante una brecha de seguridad bancaria
En estos incidentes es muy importante conocer si la brecha de seguridad y la consiguiente filtración de datos ha afectado a detalles de clientes y empleados o solo a documentos internos de la entidad.
Además, en el primer caso puede resultar bastante preocupante si se han filtrado detalles de pago, como datos de las tarjetas de crédito, o documentos como DNIs o pasaportes. Los ciberdelincuentes podrían usar esta información para todo tipo de ciberdelitos, complicando muchos las cosas a los clientes y trabajadores.
"Se considera especialmente sensible la información que exponga datos bancarios como tarjetas de crédito, CVV y fechas de caducidad correspondientes, así como documentos de identidad y claves de acceso a la banca electrónica, ya que proporciona a los atacantes la completa capacidad de acceder a las cuentas de los usuarios y manejar el capital disponible en ellas", advierten desde Innotec Security Part of Accenture.
A las muy malas los actores de amenazas pueden llegar a hacer cuantiosas transferencias, abrir cuentas bancarias, pedir préstamos, montar sociedades o hacer compras a nombre de las personas a las que usurpan sus identidades. Esto puede suponer graves pérdidas financieras, un daño al honor o a la intimidad, una limitación de derechos, discriminación, etc.
Según explica la Agencia Española de Protección de Datos (AEPD) en su página web, los responsables de tratamiento de datos de estas organizaciones deben realizar tareas específicas que permitan "resolver la brecha, minimizar sus consecuencias y evitar que vuelva a ocurrir en el futuro".
Estos responsables también deben recabar una serie de datos concretos para valorar la necesidad de notificar a la autoridad de control y afectados.
Así, tienen que averiguar el medio por el que ha ocurrido el agujero de seguridad, su origen (externa o interna) e intencionalidad, la categoría de datos, el volumen de datos afectados (tanto en registros como en usuarios), categoría de afectados (clientes, empleados, socios, etc) y, por último, toda la información temporal relativa a la brecha (origen y fin, cuándo fue detectada, cuándo se resolvió, etc).
"Algunas formas de pérdida de datos son más costosas de remediar cuando se ven comprometidas, por lo que las organizaciones deben ser conscientes de qué activos sensibles priorizar para minimizar el daño. Por ejemplo, la pérdida de información de identificación personal (PII) del cliente final suele ser la más costosa en comparación con otro tipo de datos", matiza Sotelsek.
Desde Bitdefender insisten en que "es crucial contar con capacidades de detección y respuesta extendida que puedan, por ejemplo, identificar qué archivos fueron el objetivo en un ataque. Con esta información, las instituciones financieras pueden determinar la sensibilidad de los documentos expuestos, el volumen de datos expuestos, la duración de la exposición, si los datos se hicieron accesibles externamente, si los datos estaban cifrados y quién tenía el nivel de seguridad necesario para acceder a los datos en primer lugar".
"En función de estos factores, la institución financiera puede categorizar la gravedad de la brecha como baja, moderada, alta o crítica. Una brecha de baja gravedad puede tener un impacto mínimo y se puede manejar con procedimientos estándar de respuesta a incidentes", añade. Las brechas de inferior gravedad serían aquellas en las que se exponen datos generales de las entidades.
"En contraste, una brecha crítica requeriría una acción inmediata y exhaustiva para contener, investigar y mitigar el daño, junto con posibles consecuencias legales y regulatorias", apostilla de la Torre.
La AEPD explica que si la brecha de seguridad constituye un riesgo para los derechos y las libertades de las personas se debe notificar ante el organismo en un plazo máximo de 72 horas desde que se tenga constancia. Para ello en su sede electrónica cuentan con un formulario modelo.
En el caso de que la brecha no sea encontrada por una persona de la entidad, sino por un particular o por un investigador de seguridad, existen otras recomendaciones diferentes.
"A los efectos de no ser víctima involuntaria de los eventuales efectos legales que puede tener el acceder de forma inconsentida a documentación confidencial de una empresa (con independencia de que se encuentre disponible a través de Internet), una situación como la descrita requiere una gestión adecuada y responsable, que puede consistir en alertar a la propia compañía afectada, a través de los canales habilitados para ello", explica Francisco Pérez Bes, socio de Derecho Digital en Ecix Tech y Embajador de la National Cyberleague de la Guardia Civil.
"O bien el que ha hallado la brecha puede ponerse en conocimiento del CERT competente, a los efectos de que sea éste quien contacte con la empresa a los efectos de informarle y de subsanar la filtración. Bajo ningún concepto debe aprovecharse este hallazgo para explotar la vulnerabilidad o utilizar la información localizada con fines de interés propio, ya que ello puede estar tipificado como ilícito en la normativa aplicable", concluye este experto.