Hackers atacan la banca en México por su vulnerabilidad
En los últimos cinco años los cibercriminales han encontrado una manera efectiva, acelerada y baja en costos para obtener grandes cantidades de dinero atacando al sector financiero en América Latina, incluido México, aun cuando se trata de ejecutar ataques más complejos y que requieren más tiempo.
“Los sistemas de pago tanto en Latinoamérica como en México se han convertido en el nuevo objetivo de los atacantes al mirar que es realmente fácil realizar transacciones fraudulentas derivadas de una explotación de vulnerabilidades en un servicio web”, afirmó Miguel Ángel Mendoza, investigador en seguridad del laboratorio de ESET Latinoamérica.
Luego de ocho años de intentos, los ‘cibercriminales’ dieron en el clavo a través del vector de ataque llamado explotación de vulnerabilidades, con el que lograron aprovecharse de las fallas en los sistemas del sector financiero, como las violaciones registradas con respecto al Sistema de Pagos Electrónicos Interbancarios (SPEI) en México realizadas por grupos con las características de Amenaza Persistente Avanzada (APT, por sus siglas en inglés).
El Financiero publicó el 14 de mayo que durante los ataques realizados en abril, se habría registrado un robo por alrededor de 400 mdp, del que Banorte fue el banco más afectado con un monto de 150 millones de pesos.
“Hemos visto que los cibertaques en la actualidad son dirigidos y se han enfocado en la extracción de dinero. Se trata de métodos complejos con los que obtienen mayores cifras de manera más rápida que si se hiciera con campañas de phishing o técnicas de Denegación de Servicio (DoS) (otras modalidades de ataque), ya que los resultados serían más lentos y bajos”, explicó el especialista.
En 2018, el 92 por ciento de las instituciones bancarias en Latinoamérica sufrió ciberataques, de acuerdo con datos de la Organización de Estados de Americanos (OEA). México, Uruguay, Chile y Ecuador se encuentran entre los países que se han visto más afectados ante este tipo de violaciones. Se desconoce la cifra total de pérdidas en la región.
En el caso de México, si bien el SPEI no fue violado de manera directa, los ciberatacantes vulneraron la infraestructura por medio de la cual los bancos se conectan al sistema web.
“Eso no significa que siempre vaya a ser así, probablemente después puedan encontrar la manera de hacerlo. Hasta el momento se han identificado deficiencias en cómo se llevan a cabo las operaciones, ya sea por el mismo proceso de la institución, en la infraestructura tecnológica o a través de un ataque a la cadena de suministros del proveedor de servicios”, detalló el investigador.
Una realidad inapelable, de acuerdo con estudios de ESET, es que las vulnerabilidades se han convertido en una de las principales puertas de accesopara los cibercriminales, quienes saben que el riesgo de ser detenidos en la región es muy bajo.
De la mano de este reporte, los ataques a la infraestructura de bancos se perfilan como una tendencia que irá en aumento con modos de actuar más sofisticados, según estimaciones del Foro Económico Mundial.
¿Por qué? Básicamente, México y el resto de América Latina se encuentran desprotegidos tanto en materia legislativa como en materia de ciberseguridad en diversos sectores digitales.
Por tanto, es necesario que dentro de la gobernanza digital en la región se proponga:
Un marco legislativo eficaz para cubrir el campo, y a su vez que lo bancos se blinden con presupuestos significativos en ciberseguridad, seguridad física, controles de operación y confianza.
“Específicamente se necesita una estandarización para lograr un mismo nivel de seguridad en la infraestructura web, procesos y operaciones mediante Centros de Ciberseguridad y equipos de respuesta a incidentes altamente capacitados”, dijo Mendoza.
El registro de estos incidentes en Europa ha ido a la baja a partir de la implementación de su Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).
“Cuando salió esta ley, todos se vieron obligados a crear herramientas y cambiar sus avisos de privacidad incorporando medidas que implicaban todo cumplimiento. Se necesita entonces una ‘GDPR’ en México para que toda entidad bancaria sepa cómo responder”.
Los cibertaques que parecían extraordinarios se han vuelto comunes y ya representan uno de los tres mayores riesgos para la economía global, por lo que deberán ser parte prioritaria de la agenda de gobiernos e instituciones bancarias.