El eslabón más débil en la seguridad bancaria es el factor humano
- Endpoint
Los bancos están en riesgo debido al acceso remoto, una característica peligrosa que a menudo deja la puerta abierta a usuarios externos. Casi la mitad utilizan contraseñas de diccionario en el perímetro de la red, pero todos tienen una política de contraseñas débiles en su red interna.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Positive Technologies ha presentado el informe 'Bank Attacks 2018', que detalla que los bancos han acumulado barreras formidables para evitar ataques externos, pero fallan al defenderse de los atacantes internos. Ya logren romper el perímetro con ingeniería social, vulnerabilidades en aplicaciones web o la ayuda de expertos, tan pronto como los atacantes acceden a la red interna encuentran un terreno amigable que no está mejor asegurado que las empresas de otras industrias.
Teniendo acceso a la red interna de bancos de clientes, los investigadores de Positive lograron acceder a aplicaciones financieras en el 58% de los casos, y en el 25% pudieron poner en peligro las estaciones de trabajo utilizadas para la gestión de cajeros automáticos. Mover dinero a cuentas controladas por delincuentes a través de transferencias interbancarias, el método favorito de los grupos Lazarus y MoneyTaker, fue posible en el 17% de los bancos testados.
También en el 17% de los bancos, los sistemas de procesamiento de tarjetas estaban mal defendidos, lo que permitiría a los atacantes manipular el saldo de las cuentas de las tarjetas. El grupo Carbanak, conocido por su capacidad de atacar casi cualquier aplicación bancaria, habría podido robar fondos de más de la mitad de los bancos testados. De media, un atacante que pueda llegar a la red interna de un banco necesitaría solo cuatro pasos para obtener acceso a sistemas bancarios clave.
El informe señala que los bancos tienden a hacer un mejor trabajo que otras compañías para proteger su perímetro de red. En los últimos tres años, los investigadores pudieron acceder a la red interna del 58% de todos los clientes, pero solo al 22% de los bancos. Sin embargo, este número sigue siendo preocupante, teniendo en cuenta la gran motivación financiera de los atacantes y la incapacidad de muchos bancos para auditar la seguridad del código durante las etapas de diseño y desarrollo. En todos los casos de prueba, el acceso fue facilitado por vulnerabilidades en aplicaciones web.
Los bancos están en riesgo debido al acceso remoto, una característica peligrosa que a menudo deja la puerta abierta a usuarios externos. Los más comunes son los protocolos SSH y Telnet, que están presentes en el perímetro de la red de más de la mitad de los bancos, así como los protocolos para el acceso al servidor de archivos, que se encuentran en el 42% de los bancos.
Sin embargo, el eslabón más débil en la seguridad del banco es el factor humano. Los atacantes pueden eludir fácilmente el perímetro de red con la ayuda del phishing, que se puede enviar a los empleados del banco tanto en su trabajo como en sus direcciones de correo electrónico personales. En las pruebas de Positive Technologies, los empleados en el 75% de los bancos hicieron clic en los enlaces de los mensajes de phishing, y el 25% introdujeron sus credenciales en un formulario de autenticación falsa. También en el 25% de los bancos, al menos un empleado ejecutó un archivo adjunto malicioso en su PC de trabajo.
Por otra parte, casi la mitad de los bancos utilizaban contraseñas de diccionario en el perímetro de la red, pero todos ellos tenían una política de contraseñas débiles en su red interna. Las contraseñas débiles son establecidas por los usuarios en aproximadamente la mitad de los sistemas. En un número aún mayor de casos, los investigadores encuentran cuentas predeterminadas que quedan después de su uso para tareas administrativas, incluida la instalación de bases de datos, servidores web y sistemas operativos. Una cuarta parte de los bancos usaron la contraseña "P@ssw0rd". Otras contraseñas comunes incluyen "admin", combinaciones de teclado que se asemejan a "Qwerty123", contraseñas en blanco y contraseñas predeterminadas como "sa" y "postgres".