La banca se enfrenta hoy a multitud de ataques por parte del cibercrimen. Trend Mico explica la evolución de estos delitos y advierte que pueden comprometer a socios, clientes y proveedores de las entidades financieras.
Los bancos y las organizaciones financieras han destacado constantemente que la seguridad es una de sus preocupaciones primordiales. Sin embargo, el sector y sus respectivos clientes siguen siendo -y se espera que sigan siéndolo- los principales objetivos de los actores malintencionados, a pesar de las nuevas normativas para reforzar aún más la ciberseguridad y la privacidad.
Además de las florecientes oportunidades de negocio que han abierto las empresas de e-commerce y tecnología financiera (Fintech), la constante conectividad de los dispositivos móviles supuso para los ciberdelincuentes el acceso para estudiar y observar las lagunas de seguridad, lo que sitúa a los usuarios y a las empresas financieras como blancos más fáciles para las transacciones fraudulentas y las brechas.
A continuación, Trend Micro enumera los ataques y amenazas en evolución que los ciberdelincuentes pueden utilizar para comprometer a las empresas financieras, a sus partners y proveedores, así como a sus clientes.
Del ataque físico al virtual
La manipulación física de los cajeros automáticos (ATM), las bombas de gasolina o las máquinas punto de venta (PoS) se ha venido produciendo desde principios de la década de los 2000 con el uso de «skimmers«, herramientas instaladas por agentes malintencionados para robar información bancaria de usuarios legítimos.
Esta información adquirida ilegalmente puede utilizarse para robar directamente dinero de bancos y empresas, o utilizarse posteriormente para su consolidación y monetización en el mercado negro del cibercrimen o underground.
Si bien Trend Micro, en sus investigaciones, señaló la disminución de la manipulación física de dispositivos por parte de los ciberdelincuentes, esta forma de ataque sigue prevaleciendo en varios países. Además, los ciberdelincuentes han incluido skimmer scripts y malware en su arsenal, lo que les permite reunir y robar fácilmente credenciales e información bancaria infiltrándose en la red e interceptando el tráfico de la misma. Esto también resulta más fácil cuando las propias máquinas se exponen en Internet para escudriñar y abrir brechas, inyectando malware, o se utilizan más para comprometer los sistemas operativos (OS).
A menudo, el OS utilizado por los bancos para sus máquinas está desactualizado y ya no recibe actualizaciones de seguridad ni revisiones, lo que las hace vulnerables a los ataques, que los agentes maliciosos pueden explotar para obtener mayores pagos.
Los bancos también están comenzando a reconocer medios rentables para prestar servicios y mantener los archivos almacenados con servicios en la nube. Sin embargo, aprovechar y mantener estas nuevas funciones puede ser desalentador y las malas configuraciones de estos programas de software y contenedores cloud son frecuentes cuando se utilizan por primera vez. Estos lapsus pueden dar lugar a fugas de bases de datos y procesos online, así como presentar a los agentes malintencionados una vía para vulnerar los sistemas de los bancos.
Ataques a las aplicaciones y redes bancarias
La banca online a través de los sitios web y app de los bancos se ha convertido en una característica básica tanto para los negocios offline como para las páginas de e-commerce. Como se mencionó en la investigación de Trend Micro sobre la reciente normativa de la Unión Europea (UE) para Banca Abierta u Open Banking, las técnicas arriesgadas empleadas por las empresas para recopilar datos, junto con los retrasos en la aplicación técnica de los protocolos de seguridad obligatorios, han aumentado las amenazas de ciberseguridad y ampliado las superficies de ataque para estas instituciones.
Los componentes de los websites y las aplicaciones pueden colocarse en la propia empresa, alojarse en otro lugar o en la nube, lo que requiere mantenimiento de la seguridad y customización. Las configuraciones erróneas en los entornos cloud, los informes de fallos no seguros, la información sensible en las direcciones URL, la inyección de scripts maliciosos y las interfaces de programación de aplicaciones (API) inseguras son solo algunas de las superficies de ataque que pueden pasar desapercibidas para el personal de la empresa; aperturas que los ciberdelincuentes pueden investigar para abusar de la intrusión.
Y si bien cada institución financiera puede tener sus propios procesos operativos, respectivamente, distintos, los ciberdelincuentes también pueden utilizarlos para manipular, atacar y comprometer a los bancos mediante incidentes de compromiso de procesos de negocio (BPC). Estas técnicas siguen siendo explotadas por agentes malintencionados para desviar el dinero de las instituciones y los usuarios legítimos mediante programas de malware, exploit kits e incluso herramientas de supervisión legítimas tras una intensa investigación y observación. Algunos de los mayores atracos a la banca online de los últimos años consistieron en este tipo de ataques de red basados en identificar brechas débiles en los procesos y plataformas para permitir transferencias de fondos a ciberdelincuentes.
Ataques a terceros y a la cadena de suministro
La creciente asequibilidad de Internet y la creciente gama de productos que los bancos ofrecen a los propietarios de pequeñas empresas allanaron el camino para las florecientes oportunidades para el retail, el marketing y ventas al consumidor. Sin embargo, muchas organizaciones financieras establecidas o pequeñas y medianas empresas (PYMES) subcontratan el diseño y desarrollo de apps, websites y API a empresas de FinTech, ya que a menudo no disponen todavía de personal interno para estas tareas.
Además, varias de esas instituciones financieras siguen dependiendo de terceros proveedores de servicios para el mantenimiento de sus redes y sistemas, así como para sus necesidades técnicas de servicio al cliente, como informes de fallos y errores. Estas debilidades percibidas han pintado a las PYMES como objetivos «fáciles» porque se considera que asignan una cantidad menor de recursos a la ciberseguridad, y tendrán más dificultades para hacer frente a las consecuencias de un ataque.