La ciberseguridad en el ámbito de los servicios financieros es un asunto extremadamente complejo donde, a la necesaria capacitación de las empresas de adaptarse a un abrumador volumen legislativo –con normas que a veces se solapan entre sí–, se suma el reto de hacer frente al aumento constante de las amenazas desde departamentos de TI que tienen una alta intensidad de trabajo y que sufren un déficit de expertos en ciberseguridad de nueva generación. Pese al incremento y mejora de la atención a los protocolos y medidas de seguridad, muchas organizaciones son objeto de avanzadas y persistentes amenazas, fraudes, sofisticadas campañas de phishing e intentos de acceso a sus datos PII (Información Personal Identificable, que permite distinguir y rastrear la actividad de una persona) o a otros tipos de IP sensibles.
Índice de temas
Los ciberataques alcanzan niveles récord y no se prevé que disminuyan a corto plazo
Los cibercriminales se hacen más fuertes en los momentos convulsos, como el que estamos viviendo. La tenacidad en sus tácticas —y sus frecuentes éxitos— crecen al mismo tiempo que la agitación geopolítica, las crisis sociales y los problemas medioambientales.
El periodo 2021 fue especialmente devastador en cuanto a ciberataques y el sector de los servicios financieros fue uno de los más afectados. La rápida digitalización de esta industria, unida a la capacidad de los ciberdelincuentes de evitar ser descubiertos y sancionados, ha propiciado el ingente incremento de los ataques. Las campañas de piratería respaldadas por algunos países se han incrementado a nivel mundial, haciendo que fuera más difícil para muchos gobiernos responder al phishing y al ransomware.
Desafortunadamente, las previsiones a corto plazo no son muy prometedoras, porque no se espera que el volumen de ciberataques disminuya. El reciente informe Navigating Cyber 2022 llevado a cabo por FS-ISAC, el reconocido centro de análisis e intercambio de ciberinteligencia de los servicios financieros, resalta que, las principales amenazas que seguirán incrementándose a lo largo de este año serán los ataques de terceros, vulnerabilidades de zero-day y el ransomware. Por lo tanto, las organizaciones tendrán que redoblar sus esfuerzos para reforzar la seguridad y proteger sus negocios y clientes.
Las estafas BEC y los ataques de ransomware a través de tácticas de phishing
Un estudio de PhishLabs desveló que el 33,8% de los ataques de phishing en el primer trimestre de 2021 estaban dirigidos a entidades financieras, y esa cifra aumentó hasta el 61,3% en el cuarto trimestre. Este tipo de malware se ha vuelto muy sofisticado gracias a correos electrónicos bien diseñados y mensajes cada vez más creíbles. Esto hace que sea difícil para los empleados diferenciar los emails maliciosos de los inocuos. De hecho, los ataques BEC (por sus siglas en inglés: Business Email Compromise) camuflados como correos enviados por la alta dirección siguen engañando a muchos trabajadores, ya que el ciberdelincuente se hace pasar por uno de sus jefes y les pide que lleven a cabo acciones financieras concretas, como puede ser una transferencia de dinero a número de cuenta diferente al habitual.
Por otra parte, se sabe que los mensajes de phishing también pueden contener ransomware que encripta o bloquea los sistemas informáticos hasta que se cumplan las exigencias del ciberdelincuente. Estos ataques se apoderan rápidamente de las redes gracias a un simple clic del empleado en un enlace o en un archivo adjunto malicioso. El ransomware puede ser especialmente gravoso para las empresas financieras, ya que cualquier interrupción de sus operaciones implica enormes pérdidas.
Cumplimiento de la estricta normativa
Normativas como la RGPD y la LOPDGDD en España imponen a las empresas una amplia serie de obligaciones y límites en lo que se refiere a recoger, almacenar y gestionar datos de terceros, ya sean empleados, clientes o proveedores. Además, las entidades financieras y de crédito, por la propia naturaleza y sensibilidad de los datos que manejan, también deben tener en cuenta otras normativas específicas relacionadas con la Ley LSSICE que regula la venta de productos y la prestación de servicios a través de Internet; PCI DSS, que regula todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjeta o datos sensibles de autenticación, y otras leyes específicas del sector bancario y fiscal. Por lo tanto, cumplir con todas estas normas supone una carga importante para los equipos de TI y de Seguridad de la Información que, además de carecer de personal suficiente, tienen que ser capaces de desarrollar estrategias de gestión de riesgos que no impongan limitaciones al desarrollo del negocio.
Teniendo en cuenta que el déficit de talento en seguridad ronda los casi tres millones de profesionales a nivel mundial, mantener, supervisar y documentar continuamente las prácticas de cumplimiento supone un esfuerzo importante para las entidades financieras. Asimismo, estar al día de los cambios y las apostillas de las normativas de seguridad y privacidad de datos también supone un gran reto para los departamentos tecnológicos.
La nube y los servicios en línea fomentan los ciberataques
Como la mayoría de las empresas, también las empresas de servicios financieros están viviendo una profunda transformación digital y, por eso, cada vez utilizan más sistemas cloud y proveedores de servicios gestionados (MSP) para aumentar sus capacidades de gestión en remoto. Los sistemas de trabajos y los datos críticos residen ahora también en la nube, para permitir que empleados y clientes puedan conectarse y operar desde múltiples lugares y dispositivos. Esta hibridación de los procesos desdibuja el perímetro de seguridad tradicional de las infraestructuras bancarias y financieras, y añade una capa de complejidad respecto a la protección de la información crítica. Esto se convierte en una ulterior tarea para las áreas de TI, que también tienen que lidiar con los acuerdos de almacenamiento y gestión en la nube para determinar las responsabilidades y las prácticas de seguridad, y así evitar sorpresas.
La resiliencia cibernética es necesaria en toda la cadena de suministro
No todas las empresas de servicios financieros conocen a fondo cómo sus socios manejan la seguridad. Se trata de un descuido muy peligroso, ya que un ataque a un proveedor externo puede tener un efecto dominó, especialmente en lo que se refiere a los servicios compartidos. Así es como surge la necesidad imperiosa de obligar a todos los partners de la cadena de suministro a que tomen las medidas de seguridad adecuadas para proteger los datos y evitar vulnerabilidades.
Cómo las entidades de servicios financieros pueden priorizar y gestionar los riesgos de ciberseguridad
Dada la complejidad de este entorno de alto riesgo, la siguiente pregunta lógica para los CISO y sus equipos es: ¿cómo podemos gestionar nuestro riesgo con el mayor rigor?
En este sentido, existen tres aspectos clave para mejorar el nivel de visibilidad, control y protección:
1. Identificar y gestionar las vulnerabilidades
Modernizar los procesos de detección y gestión de vulnerabilidades depende de la capacidad de maximizar la automatización e incrementar la eficiencia de las herramientas que se utilizan. Escanear y validar las vulnerabilidades de sistemas y redes externas (conectados a Internet) e internas basadas en IP es un punto de partida fundamental, así como clasificar los riesgos de seguridad a través de un proceso de puntuación.
2. Definir y proteger a los datos de alto valor añadido
Las empresas son conscientes de que almacenan datos muy sensibles en ordenadores, servidores en la nube, servers de sus instalaciones, dispositivos móviles, etc. Pero para que esta información quede realmente protegida, es imprescindible clasificarla correctamente. Para hacerlo, las entidades tienen que ser capaces de definir dónde se almacenan los diferentes datos -tanto si son estructurados como no estructurados-, cómo se utilizan y por dónde fluyen.
3. Colaborar de forma segura y conforme a las normas
Trabajar con empleados (usuarios internos) y con terceros (usuarios eternos), ya sean clientes, socios u otros partners comerciales, requiere que las empresas del ámbito financiero presten la máxima atención a la forma en la que se comparten los datos y los archivos. Por eso, la protección de las transferencias de archivos financieros mediante soluciones MFT ofrece un control total y capacidades de auditoría sobre cómo se mueve la información confidencial y quién puede acceder a ella. Además, las soluciones de Digital Rights Management (DRM) permiten revocar el acceso de terceros a los datos enviados en caso de ser necesario.
