La banca ante el reto de la ciberseguridad. ¿Es posible mantener la seguridad?

  • Opinión

Carine Martins, de Stormshield

En los últimos años, el sector financiero y, en especial, la banca se han convertido en un ansiado objetivo para los ciberdelincuentes, con ataques que aumentan en número y sofisticación. ¿Está preparada esta industria para reprimir ciberamenazas provenientes de diferentes frentes?

Según el Instituto Nacional de Ciberseguridad (INCIBE), durante 2017 se resolvieron más de 123.064 incidentes de seguridad, un 6,77% más que el año anterior. De ese total, 2.425 fueron episodios de ransomware y más de 18.000 vulnerabilidades nuevas. Ante este panorama, no es de extrañar que la ciberseguridad sea considerada como la principal preocupación para los inversores de todo el mundo, por delante incluso de normativas como RGPD.  

Humano, software o hardware: cualquier punto débil es una puerta de entrada

"La Mayoría de los problemas de TI se encuentran entre el teclado y la silla". Detrás de la conocida frase del filósofo alemán Klaus Klages se esconde una realidad cotidiana: los usuarios finales y las prácticas deficientes suelen ser el eslabón más débil de la cadena de seguridad de TI. Por ello, los ciberdelincuentes suelen dirigir sus ataques contra empleados de banca, como se vio con el caso Carbanak en 2015, para infiltrarse en sus estaciones de trabajo a través de correos electrónicos personalizados (conocidos como "spear phishing") y, desde allí, ir escalando hasta hacerse con el control de los sistemas críticos del banco.

No obstante, y además de las dirigidas contra los trabajadores, existen otras tácticas de ataque que, para ejecutarse, requieren acceso físico a los ATMs (cajeros automáticos). Este es el caso de un método conocido como 'Jackpotting', el cual permite vaciar cajeros automáticos utilizando una llave USB y un ordenador. De igual modo, la adicción de dispositivos -denominados- Skimmers a los ATMs permiten copiar la información contenida en las tarjetas bancarias de los usuarios.

Los cajeros automáticos también pueden ser objetivo del malware. Así, algunos códigos maliciosos como Alice o Ripper pueden instalarse a través de la red a la que está conectada la máquina o directamente en su Sistema Operativo utilizando un puerto USB. Sin embargo, y a pesar de tan peligrosa diversidad, son, sin embargo, las puertas traseras las que más preocupan a los bancos.

Es un hecho, las brechas de seguridad o puertas traseras permiten el acceso a los sistemas de TI en una escala masiva y persistente. De ahí la necesidad de que las instituciones bancarias integren mecanismos de protección sofisticados como, por ejemplo, firewalls duales. Efectivamente, el uso de diferentes tecnologías aumenta sustancialmente las posibilidades de detectar flujos de datos maliciosos. Estas soluciones permiten aislar el sistema de TI del banco, al colocar mecanismos entre dicho sistema e Internet para verificar que los flujos de datos sean compatibles.

Regulaciones y recomendaciones para mantener la seguridad

A la luz de tan variadas amenazas, las distintas instituciones nacionales e internacionales, están tomando medidas para que los bancos optimicen su seguridad. En este sentido, entidades como la Autoridad Bancaria Europea (EBA) consideran prioritario la creación y el establecimiento de barreras que permitan combatir los ciberataques dirigidos contra la banca. Así, en el documento Directrices sobre la evaluación del riesgo de TIC en el marco del proceso de revisión y evaluación supervisora (PRES), este organismo recoge las principales pautas que deben seguir los bancos para mantener su seguridad o su estrategia en materia de TIC, entre otras.

Por su parte, desde el Centro Criptológico Nacional (CCN-CERT) se aboga por la formación del personal responsable de las TIC en todas las Organizaciones para luchar contra la ingenuidad, la ignorancia de buenas prácticas y la falta de concienciación sobre la necesidad de preservar la seguridad de la información.  

En lo que respecta a las regulaciones, al Reglamento General Europeo de Protección de Datos (RGPD), que instituye los requisitos de seguridad para las empresas desde el pasado 25 mayo, se unen otras como la Directiva NIS para la Seguridad de Redes y Sistemas de Información, efectiva desde el pasado 9 de mayo. De igual modo, ya existen otros textos vigentes, como el estándar PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago) para la protección de datos de tarjetas bancarias, u otros que están en proceso, como el Programa de seguridad del cliente (CSP) por Swift.

Sin embargo, ha sido la entrada en vigor el pasado mes de enero de la segunda Directiva de Sistemas de Pago (PSD2), la que ha hecho saltar la voz de alarma.

PSD2 estipula el desarrollo de la banca abierta (acceso abierto a cuentas de terceros) lo cual implica mayores medidas de seguridad. En este sentido, uno de los desafíos pasa por garantizar una autenticación para los clientes. Dicha autenticación ha de ser sólida pero también lo suficientemente simple como para no alejarlos, utilizando interfaces ergonómicas y eficientes. Un delicado equilibrio entre la máxima seguridad y la experiencia del usuario.

Carine Martins, Account Executive de Stormshield Iberia

 

TAGS Banca