¿Puede estar una crisis financiera a un solo clic?

Sin duda las entidades financieras han sido históricamente pilares del sector económico más buscado por los delincuentes, debido a que un incidente les puede dar acceso a manejar grandes cantidades de dinero y puede generar un gran impacto social o reputacional, permitiendo al atacante obtener sus principales motivadores en un solo ataque.

A estas características descritas anteriormente se suma que el sector financiero es de las industrias donde la transformación digital ha llegado con mayor fuerza y rapidez. Existen bancos en todo el mundo que ofrecen facilidades de operaciones financieras a través de sitios web, pagos automáticos, aplicaciones móviles o mensajes de texto, entre otras. Entregando así, a los delincuentes una variedad de fuentes para perfeccionar los ataques hacia los usuarios del sistema o directamente hacia las entidades.

Esta combinación de factores ha aumentado la calificación del riesgo de los incidentes cibernéticos considerablemente, llevando esto a las mesas directivas de todas las entidades y a que los organismos de control de los países exijan a sus entidades financieras el cumplimiento de varios requisitos de control para la mitigación de esta amenaza. Esto debido no únicamente a la inminente amenaza, sino a la dependencia tecnológica del sector, aumentando la posibilidad de generar una crisis financiera con un clic.

Según estudios de las entidades de control de los sistemas financieros, los incidentes cibernéticos han generado costos por cerca de un billón de dólares, posicionando este riesgo como el de mayor costo para el sector financiero, por encima de los desastres naturales o del terrorismo.

Uno de los grupos criminales que en los últimos años ha sobresalido por el perfeccionamiento en los ataques a la banca es “Lazarus”, quienes están ubicados en Corea del Norte, según datos e información de inteligencia de agencias como el FBI. Este grupo ciberdelincuente se ha distinguido por métodos muy avanzados técnicamente y por generar un alto impacto mediático en sus operaciones, donde sobresalen el robo de las películas de Sony en 2014, el robo de 81 millones de dólares al banco de Bangladesh en 2016 y los ataques a las olimpiadas de 2016.

Desde 2016 el US-CERT (Equipo de respuesta de emergencias computacionales) alertó sobre ataques de Lazarus a las redes de cajeros electrónicos en todo el mundo, mediante una característica común en estas redes: el uso de Windows XP que permitía acceder a la red interna, buscando redes ocultas.

Y desde finales de 2017 este tipo de incidentes llegó a Latinoamérica, impactando principalmente al Banco Nacional de Comercio Exterior (Bancomext) de México en enero y al Banco de Chile en mayo. Ambas entidades aceptaron pérdidas de 25 millones de dólares; pero no fueron las únicas entidades afectadas en cada uno de los países, por lo que se cree que el impacto fue mucho mayor.

Los ataques tiene en común el grupo que lo realizó y el método usado en ambos incidentes; evidenciando problemas de seguridad no sólo a nivel técnico sino de respuesta de incidentes en las entidades de la región. En ambos casos los equipos de seguridad de las entidades fueron víctimas de un ataque inicial que sólo tenía como objeto distraer del real ataque a las finanzas de las entidades. En el caso de Bancomext se desplegó un malware que afectó el funcionamiento de los equipos administrativos, mientras que en el caso de Banco de Chile fue un ataque a los equipos de las sucursales que obligó a apagar miles de terminales.

Lo anterior se evidenció en el informe de la organización de estados americanos (OEA), que indica que el 92% de las entidades de la región han sido víctimas de un incidente cibernético, donde cerca del 37% de estos ataques afectaron las finanzas de la organización, resaltando que las entidades ya tienen este riesgo como uno de los más altos y que se realizarán las inversiones necesarias para mitigarlo en un corto plazo.

Estas cifras y los estudios realizados evidencian las debilidades de uno de los sectores económicos más críticos para los países, revelando un riesgo inminente de crisis social y económica que puede ser generada por el no aseguramiento de los procesos de transformación digital y que aunque se está tomando conciencia de esto, las medidas de control y mitigación no se toman de forma ágil y han dado pie para que grupos criminales aprovechen, saquen provecho económico y generen desconfianza en el sistema financiero.

 

Diego Samuel Espitia Montenegro

Chief Security Ambassador

ElevenPaths – Telefonica Cybersecurity Unit