Cuando la banda de cibercriminales Carbanak penetró la infraestructura de un centenar de bancos de todo el orbe, efectuó transferencias fraudulentas y tomó el control de la red de cajeros (ATM). Una "operación sin precedentes" que ocurrió durante dos años y ocasionó pérdidas por US$ 1,000 mlls.
El ataque que fue descubierto en el 2015 por Kaspersky Lab muestra el nivel de complejidad que supone identificar la vulneración de los sistemas de los bancos. "Suele transcurrir cerca de 200 días para determinar que una infiltración (de esa talla) efectivamente ha sucedido", dice Juan José Calderón, gerente de Data Center y Seguridad de Level 3 Perú.
Ante el riesgo constante de sufrir un ataque cibernético , las instituciones financieras de todo el mundo invierten miles de millones para blindarse de hackers maliciosos.
Las instituciones locales no son la excepción. El presupuesto que BBVA destina en seguridad informática ha crecido sustancialmente en los dos últimos años, "con incrementos de orden de 100% anual". El Banco de Crédito del Perú menciona, de su lado: "Permanentemente hacemos inversiones para proteger nuestras redes".
Perú se ubica entre los líderes en malware bancario . El secuestro de data proliferará y las entidades financieras deberán cuidarse de empleados deshonestos.
Los atacantesPero son los cibercriminales locales los que atacan principalmente las entidades bancarias del país, seguidos de sus pares latinos (entre los que destacan los brasileños). A nivel de Sudamérica, Perú es segundo en desarrollo de malware bancario: sus atacantes desarrollan herramientas para uso interno pero además las venden al exterior, anota Fabio Assolini, analista de investigación sénior de Kaspersky Lab.
Así, los ataques contra los usuarios de la banca en línea se basan en la ingeniería social donde los cibercriminales suplantan la identidad del banco mediante correos electrónicos, provocando que las víctimas revelen sus datos en alguna página de phishing o ejecuten archivos alertadas por supuestos cierres de cuenta o similares.
La otra cara de la monedaPero los ataques directos contra los bancos son altamente sofisticados. Se usa Amenazas Persistentes Dirigidas (APT, por sus siglas en inglés). Eso supone según Assolini un estudio de inteligencia previo al ataque. Luis Budge, gerente de Seguridad y Prevención de Fraude de BBVA, complementa: dichas técnicas (que usaron los delincuentes de Carbanak) facilitan el robo sistemático de la información (o secuestro en busca de un rescate) siendo difícil de detectar.
Pero –según Pablo Ramos, de ESET Latinoamérica – ya se observa con frecuencia otras modalidades: ataques de denegación de servicio a los 'sites' de las entidades. Ese fue el caso de tres bancos griegos a los que se les solicitó el pago de un rescate en bitcoins: las transacciones online fueron interrumpidas.
El detalle es que, al igual que cualquier otra, la amenaza ha evolucionado. "Los ataques DDoS ahora apuntan a las aplicaciones para clientes, usuarios y proveedores", dice el vocero de Level 3.
IntensificaciónPero entre aquellos ataques que prometen acrecentarse está la extorsión que incluye el secuestro de información para liberarla a cambio de un pago.
Los ataques de malware PoS (en los puntos de venta) y ATM (en los cajeros automáticos) también amenazan con proliferarse a lo largo del año, según Kaspersky Lab.
Otro pronóstico desalentador: el aumento de ataques a empresas, instituciones financieras y usuarios mediante empleados deshonestos que manejan nuestro dinero, y datos. Mecanismo que le garantizará el éxito de los atacantes, que comenzarán a robar dinero de los propios bancos (sus activos), mas no el de las cuentas de los clientes.
Las empresas de seguridad informática lo definen como un lío entre el gato y el ratón: cada vez que se incorporan nuevas medidas de seguridad, los criminales buscan burlarlas creando ataques sofisticados a los que nuevamente cabe blindarse. Hoy el reto para la banca es estar un paso adelante
Las claves
LAS VALLAS LOS PROTEGENLos bancos mejores protegidos emplean tecnologías para impedir la fuga de datos y políticas que controlan los accesos internos. Sumado a auditorías internas frecuentes. Según ESET, para hallar eventuales puntos débiles en sistemas internos como sitios web, otras entidades ejecutan pruebas de penetración periódicas. También están las que cuentan con un sistema basado en la gestión de respuestas a incidentes, enfatizan desde EMC.