Retos de la seguridad de la información para el sector financiero

Por: Javier Diaz Evans

Major Account Manager – Finanzas Fortinet

49038b1f-07e7-477c-ae1d-60097937aca8 (1)

Para nadie es un secreto que así como existen personas tratando de proteger a las entidades financieras y a sus clientes, también hay individuos que pueden convertirse en delincuentes tratando de ingresar a los sistemas, a los correos empresariales y personales para obtener un beneficio propio o de terceros.

Muchas empresas han tenido incidentes por fallas en sus modelos de seguridad impactando sus objetivos estratégicos, los cuales afectan su prestigio y su valor, por lo que sus directivos y ejecutivos buscan continuamente estrategias efectivas para proteger la información.

El sector financiero soporta su modelo de negocio basado en la confianza. La confianza y la seguridad tienen relación, soportado en la percepción y en las experiencias o eventos que impactan dicha percepción. Los clientes basándose en la confianza, entregan su patrimonio al sector para que sea protegido y que genere rendimientos. Hace algunos años, la seguridad era física protegiendo el papel moneda y los documentos; en la actualidad, el patrimonio se desmaterializa y se convierte en un registro, un dato, en los sistemas de información del sector, lo que hace que la ciberseguridad se vuelva muy importante.

La confianza se basa en modelos de gobierno corporativo para una toma de decisiones adecuada, que vele por la generación de valor a todos los interesados y la revisión por parte de entes independientes, revisores fiscales o entes del gobierno como la Superintendencia Financiera, que avalen esa confianza. La seguridad se soporta en modelos y arquitecturas de seguridad.

El sector financiero enfrenta tres retos claros en los temas de ciberseguridad:

  • El cumplimiento, la implementación de controles que se alineen con las definiciones normativas y regulatorias.
  • Gestión de riesgos, orientada a hacer uso adecuado de los recursos, a los temas más críticos que pueden impactar la seguridad de la información.
  • La eficiencia, es cómo lograr generar más valor en la operación del modelo de seguridad con menos recursos.

Los modelos y las arquitecturas de seguridad evolucionan con la tecnología y con las nuevas amenazas. El sector financiero ha invertido grandes sumas de dinero en estrategias que ayudan a enfrentar los nuevos retos, pero olvidan que los modelos de seguridad y las arquitecturas deben comunicarse y sumar para gestionar los riesgos de forma efectiva. Aunque las decisiones de seguridad se han vuelto estratégicas, el modelo de gobierno de seguridad que vela por una adecuada toma de decisiones, una orientación, medición y monitoreo del modelo seguridad no tiene una madurez en las organizaciones debido a que las altas directivas no cuentan con las habilidades para comprender los temas de ciberseguridad y los responsables de los modelos de seguridad no tienen las habilidades para explicarles y poner en términos de negocio los retos de ciberseguridad.

Los gobiernos hacen uso de la normatividad y regulación para garantizar que las decisiones de sectores críticos no generen un riesgo mayor o impacte a los ciudadanos. Como palanca de control, estos límites ayudan a mitigar los riesgos pero afectan el crecimiento económico y la innovación. Casi siempre vemos regulaciones a sectores después de una crisis, ejemplos como Sarbanes Oxley en USA o las Circulares Externas de la Superfinanciera en Colombia.

El sector financiero es muy atractivo para los ciberdelincuentes porque ellos  pueden obtener valor por sus actividades delictivas. La cadena del cibercrimen inicia con el robo de información (datos de autenticación, información personal, información confidencial de las organizaciones) a través de amenazas como el phishing, hacking o malware. Posteriormente, alguien puede comprar dicha información, lo que puede representar un pago para el hacker. La información puede ser utilizada para llevar a cabo ataques más sofisticados como movimientos fraudulentos a cuentas mulas, espionaje industrial, amenazas avanzadas persistentes (APT, por su sigla en inglés). En términos de impacto económico, las pérdidas por crimen cibernético a nivel mundial se encuentran entre 300 billones a 1 trillón de dólares. Solo en fraudes bancarios, clonación y robo de credenciales, se estima que por cada 10 mil pesos que se muevan por una cuenta, 20 pesos se pierden por fraudes.

Las amenazas de seguridad de la información para el sector financiero, más relevantes en Colombia y Latinoamérica, son:

Robo de credenciales: Este tipo de ataque busca obtener los datos privados de los usuarios (usuario, contraseña, tarjeta, PIN) para hacer uso de los canales transaccionales. Dentro del robo de credenciales se encuentran las modalidades de Phisihing para los canales no presenciales (portales transaccionales) y el skimming para los canales presenciales (cajeros automáticos y POS).

Phishing: Es el método más común para obtener credenciales de canales no presenciales. Este método lleva a los usuarios a un sitio web que tenga la misma imagen del portal transaccional bancario, obtienen las credenciales del usuario, y finalmente los atacantes llegan al portal original.

Skimming: Es un ataque que a partir de elementos electrónicos, se logra obtener la información que se resguarda en la banda magnética de las tarjetas débito, crédito y el PIN (contraseña) con el fin de realizar transacciones fraudulentas.

Malware: Es un tipo de software desarrollado para infiltrarse o afectar un sistema informático. En la actualidad, el malware denominado Troyano bancario busca robar información sensible, generar transacciones fraudulentas o proveer acceso remoto y control a cibercriminales.

Amenazas avanzadas persistentes: Es un conjunto de procesos y herramientas que de forma sigilosa y continua, busca cumplir con algún objetivo en contra de naciones u organizaciones.

Los cibercriminales están logrando fácilmente sus objetivos a partir de abusar de la confianza y naturaleza del ser humano. Algo de interés de la persona puede ser la puerta para que abra un documento, acceda a un sitio y descargue un malware que le provee el acceso al atacante.

Los eventos publicados en medios últimamente como BBVA, JP Morgan, El robo del Siglo, SONY; ponen en duda la efectividad de los modelos de gobierno y arquitecturas de seguridad. La complejidad de las arquitecturas encubre la debilidad de los modelos de seguridad. El sector debe orientar sus esfuerzos a comprender que la ciberseguridad es un tema de riesgo empresarial, proveer herramientas a los miembros de junta para que entiendan las implicaciones legales de los riesgos cibernéticos y que tengan acceso a experticia en ciberseguridad. Por último, se debe lograr medir el daño de los eventos de ciberseguridad, lo que dará el conocimiento para que las decisiones de seguridad futuras sean más efectivas.