La vulnerabilidad de la seguridad financiera: cómo proteger la gestión bancaria
El sector bancario se encuentra en una encrucijada crucial en su lucha contra los ciberataques
Los cibercriminales siempre están en busca del eslabón más débil para infiltrar sistemas. Este patrón ha evolucionado en las últimas dos décadas cuando los clientes de la banca online comenzaron a ser los primeros objetivos antes de que los actores de amenazas se trasladaran a atacar a los propios bancos. Después, los robos digitales a bancos se volvieron comunes, particularmente con campañas como Carbanak, que tuvieron mucho éxito a la hora de atacar bancos más pequeños y monetizar los ataques. Sin embargo, los desarrollos más recientes apuntan a una tendencia en la que las bandas cibernéticas han cambiado su enfoque hacia los proveedores, utilizando agentes externos para dirigirse a los empleados del banco.
Concretamente, en nuestro país, el sector bancario se enfrenta en 2024 a múltiples desafíos y está experimentando significativas evoluciones. Uno de los principales enfoques es el cumplimiento del Reglamento de Resiliencia Operativa Digital (DORA) que será implementado en 2025 por la Unión Europea. Las entidades financieras están realizando grandes esfuerzos para equilibrar la innovación con la regulación en un entorno digitalizado. Al mismo tiempo, las entidades financieras se enfrentan a un panorama donde deben implementar la IA de manera segura y transparente para poder aprovechar sus beneficios sin comprometer en ningún momento la seguridad.
Los sistemas de TI de terceros que proporcionan servicios a los bancos se han convertido en objetivo prioritario debido a la falta de control directo sobre ellos. Los grandes bancos tienen fácilmente más de 50.000 proveedores, y es difícil entender su complejidad y los accesos a sus datos. A su vez, a medida que los empleados se vuelven más autosuficientes tecnológicamente, algunos están comenzando a usar aplicaciones de TI en la sombra, así como software de terceros que pueden no estar regulados y autorizados por los departamentos de TI, aumentando de esta forma las vulnerabilidades y la superficie potencial de ataque.
Las grandes empresas dedicadas a la banca tienen los sistemas de gestión de riesgos de terceros más maduros del mundo, de modo que se posicionan como un ejemplo a seguir. A la hora de abordar la ciberseguridad de sus infraestructuras, el bloquear instantáneamente los puntos de acceso comprometidos en caso de una brecha permite prevenir un acceso no autorizado a través de un proveedor afectado y limitar de este modo una potencial repercusión.
A su vez, los bancos pueden fortalecer sus controles de prevención de fraude y mejorar los sistemas de monitoreo para detectar actividades inusuales. Estos deben realizar evaluaciones de riesgos regularmente de sus proveedores externos para identificar posibles debilidades de seguridad y fallas de cumplimiento. Para afrontar la realidad del mercado es crucial disponer de una estrategia de respuesta a incidentes que aumente precisamente la ciberresiliencia y garantice prácticas robustas de ciberseguridad.
El riesgo de terceros siempre ha sido un foco para los reguladores, pero con los desarrollos recientes en ataques a la cadena de suministro como el ataque de SolarWinds, y las vulnerabilidades que han impactado el ecosistema de la cadena de suministro, los reguladores han impulsado masivamente la inversión en resiliencia operativa, específicamente en el panorama de la gestión de riesgos de terceros.
La implementación de nuevos reglamentos impactará significativamente la ciberseguridad de los bancos en España al establecer estándares mínimos de resiliencia operativa, requerir evaluaciones regulares de riesgo y obligar a una supervisión estricta de los proveedores de servicios TIC. Por ejemplo, la Ley de Resiliencia Operativa Digital (DORA). Esto supondrá un cambio significativo para los programas de gestión de riesgos de terceros para todas las instituciones financieras, entre las que se incluye el sector bancario. De esta forma se espera abordar el riesgo de proveedores externos mediante acuerdos contractuales estrictos, incluyendo cláusulas de finalización, monitoreo de sus estándares de cumplimiento, revisión de la estrategia de acceso para los proveedores, así como pruebas de resiliencia. DORA está destinada a integrar la gestión de riesgos de terceros en las prácticas generales dentro de un banco.
Las autoridades europeas de supervisión (ESA) también planean designar proveedores críticos de telecomunicaciones y tecnología y supervisar sus prácticas de gestión de riesgos. A medida que el panorama regulatorio en toda Europa se vuelve cada vez más estricto, existe la posibilidad de que estas autoridades supervisoras puedan obligar a los bancos a terminar contratos con un proveedor específico que no cumpla, no sea ciberseguro y pueda representar una amenaza para toda la industria financiera.
¿Quién es realmente el enemigo?
ShinyHunters y otros cibercriminales están aumentando sus ataques contra empleados que trabajan desde casa, explotando sus protocolos de seguridad más débiles para infiltrarse en los sistemas de la empresa. Los infostealers, que se ocultan como aplicaciones crackeadas o falsas, se están utilizando para atacar a los trabajadores remotos y las prácticas de dispositivos personales (BYOD, Bring Your Own Device, por su siglas en inglés) dentro de las organizaciones. Un ejemplo de esto es Lumma Stealer, que es un ladrón de información basado en suscripción que ha estado disponible a través de un modelo de Malware-as-a-Service (MaaS) y se comercializa como un servicio SaaS. Se han observado múltiples casos en la industria a finales de octubre de 2023 donde las credenciales fueron infiltradas por este infostealer de administradores de contraseñas que se usaban en dispositivos personales. Este tipo de ataques se han vuelto extremadamente comunes en la última década.
Habrá un creciente escrutinio sobre el sector financiero para mantener medidas de seguridad para los empleados que trabajan desde casa en un modelo BYOD. Tales medidas deben incluir la implementación de una estrategia de Zero Trust, por ejemplo, proporcionando navegadores empresariales seguros a empleados remotos o contratistas, exigiendo autenticación multifactor, y estableciendo políticas de red adecuadas para permitir el acceso solo a usuarios y contenido fiables.
Los cibercriminales suelen ser oportunistas y no quieren invertir un esfuerzo adicional en atacar regiones o geografías específicas. Si vemos a un actor de amenazas esforzándose en atacar una organización o región específica, sugiere que la motivación real puede no ser siempre el cibercrimen, sino algo más, como atacantes de Estados nación que se aprovechan de estos ataques para fines de espionaje o sabotaje.
En definitiva, el sector bancario se encuentra en una encrucijada crucial en su lucha contra los ciberataques, enfrentando tanto amenazas emergentes como requisitos regulatorios crecientes. La evolución de las tácticas de los cibercriminales, que ahora apuntan a proveedores y empleados remotos, subraya la necesidad de una ciberseguridad más robusta y adaptada a las nuevas realidades digitales. Mientras que la implementación de regulaciones como DORA y el enfoque en la resiliencia operativa serán esenciales hacia la mitigación de riesgos, pero también demandan una vigilancia continua y una adaptación constante por parte de las instituciones financieras. La integración de estrategias de Zero Trust y la mejora en la gestión de riesgos de terceros serán fundamentales para proteger los activos críticos y asegurar la continuidad operativa.
Marc Sarrias es Country Manager de España y Portugal para Palo Alto Networks
Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días
