Ciberataques financieros

Ciudad de México, 21 de agosto de 2019.

En mayo de 2018, se prendieron las alertas del sistema financiero nacional, ante una falla a gran escala en operaciones de la banca.

Días después, se confirmó lo que hasta ese momento ninguna autoridad había reportado con precisión: un hackeo estimado en alrededor de 400 millones de pesos al Sistema de Pagos Electrónicos Interbancarios (SPEI) del Banco de México, destacando como uno de los más grandes delitos cibernéticos conocidos en el país.

El incidente puso al descubierto vulnerabilidades tecnológicas del sistema financiero, así como la necesidad de robustecer el marco regulatorio en materia de ciberseguridad que, en ese momento, se tenía en el país.

Sin embargo, dicho ataque también trajo consecuencias favorables para el propio sistema financiero electrónico, pues, a partir de entonces, las disposiciones legales se volvieron más estrictas y las instituciones de este sector se dieron a la tarea de fortalecer sus mecanismos de ciberseguridad, con la finalidad de incrementar sus niveles de protección y evitar convertirse, de nueva cuenta, en un blanco vulnerable.

Ahora bien, ¿qué tan preparado está el sistema financiero digital de México para hacer frente a los ciberataques?

El año pasado, de acuerdo con el estudio “Estado de la ciberseguridad en el sistema financiero mexicano”, elaborado por la Organización de Estados Americanos (OEA), en conjunto con la Comisión Nacional Bancaria y de Valores (CNBV), todas las instituciones financieras en México identificaron algún evento en sus plataformas digitales que atentaba contra su ciberseguridad.

Del total de eventos, un 43% resultó exitoso. Los tres ataques más comunes fueron a través de: software malicioso o malware (56%), phishing (47%), que es la suplantación de identidad para obtener datos como contraseñas o números de tarjetas, y la violación de políticas de escritorio limpio (31%).

Además, 14.3 millones de mexicanos, que representan 31% del total de clientes de la banca del país, también fueron víctimas de delitos cibernéticos; la mayoría, a través de phishing, la instalación de software espía (malware o troyano) e ingeniería social.

Estos números no son, por supuesto, los más positivos para México. No obstante, si se comparan las cifras de nuestro país con las del resto de las naciones de Latinoamérica que incluye el documento de la OEA, en varios datos estadísticos de ciberseguridad nos encontramos un poco arriba de la media.

A raíz, principalmente, del ataque de 2018, se han presentado avances en materia de ciberseguridad. Por ejemplo, el documento destaca que, en el sector bancario (comercial o múltiple y de desarrollo) –que es el que suele estar a la vanguardia en estos temas, en México–, 100% de los bancos grandes contó con un gobierno de ciberseguridad, que puede resumirse como el conjunto de prácticas de la dirección ejecutiva, a fin de brindar una orientación estratégica, determinando los riesgos y garantizando el cumplimiento de los objetivos de ciberseguridad.

Además, la OEA reconoce al sector bancario nacional por sus esfuerzos en la identificación de sistemas y datos críticos, evaluación de riesgos de ciberseguridad, educación y concientización, gestión de amenazas y vulnerabilidades, y protección de datos personales.

Aun considerando lo anterior, los avances no han sido suficientes para cerrar las brechas existentes en materia de ciberseguridad, con respecto a países más desarrollados y, especialmente, frente al creciente nivel de riesgo al que constantemente se enfrenta el sector financiero.

La carrera contra la ciberdelincuencia

Históricamente, las instituciones financieras han sido el objetivo principal de los hackers, porque son las que mueven el dinero de las empresas y de los particulares. Aun cuando dicho sector suele tener medidas de ciberseguridad altas respecto al resto de las industrias, lo atractivo y el valor de los recursos que resguarda, hace que el interés por vulnerarlo se mantenga de manera importante.

Incluso, en ocasiones, parece que los delincuentes cibernéticos se están moviendo más rápido que las empresas, pues están empleando nuevas y más sofisticadas técnicas que llegan a superar los mecanismos de ciberseguridad de las instituciones.

Algo importante que se está haciendo por parte de varios grupos financieros, es compartir información entre ellos y generar inteligencia de lo que está sucediendo. Eso hace que el “músculo” contra los ataques cibernéticos se desarrolle más rápido y que la preparación y respuesta ante los incidentes sea mejor.

Es decir, si algo le pasa a algún grupo o institución financiera, la probabilidad de que le suceda a otro es alta. En ese sentido, el hecho de comunicar este tipo de situaciones de manera oportuna entre ellos ayuda, de manera significativa, a incrementar la generación de alertas tempranas y fortalecer los niveles de protección.

En la misma materia, es importante reconocer el rol que ha jugado la autoridad, estableciendo los mecanismos necesarios para que las instituciones financieras puedan interactuar y compartir información.

¿Qué hacer para fortalecer la ciberseguridad?

De acuerdo con la OEA, en 2018, el costo que representó la respuesta y recuperación para las entidades e instituciones financieras del país, ante ataques cibernéticos, fue de 107 millones de dólares.

A fin de prevenir incidentes y gastos generados por los mismos, la OEA también emitió algunas recomendaciones para mejorar la ciberseguridad de las instituciones que integran el sistema financiero nacional. Entre ellas, se encuentran las siguientes:

• Informar a la Alta Dirección de las empresas o instituciones sobre los riesgos de ciberseguridad detectados.
  
  Tener claro, en los niveles más altos de las organizaciones, las situaciones que se deben atender es algo fundamental para darle visibilidad a los problemas y tomar decisiones acertadas.
  
  Hasta la fecha, hay instituciones bancarias y financieras donde la función o el área de ciberseguridad no le reporta a la Alta Dirección, aun cuando ya es una obligación, por parte de la regulación, para este sector.
• No solo se debe trabajar en la construcción de barreras o perímetros seguros, sino que hay que trabajar en la detección de eventos, a través de un monitoreo constante y el registro de comportamientos anómalos.
  
  De esta forma, se podrá actuar de manera oportuna.
• Compartir información entre instituciones financieras para generar mayor inteligencia y que esto les permita estar mejor preparados, ante cualquier amenaza.
• Saber cómo proceder cuando se detecta algún incidente o la posibilidad de que ocurra. Es decir, se debe prever cómo se va a responder a un incidente, cómo se va a escalar, a quién se le va a reportar o, más allá de lo que exija la autoridad, si se tiene que reportar a los cuentahabientes y de qué forma hacerlo.

Finalmente, hay que señalar que estudios como el realizado por la OEA son muy útiles, pues ayudan a establecer comparativos y a conocer los temas en que debemos poner atención. Además, muchas veces, se trata de información gratuita, que puede ser aprovechada no únicamente por las instituciones financieras, sino también por otros sectores.

Aprovechar la gran cantidad de datos y diagnósticos disponibles servirá a los bancos e instituciones financieras, para atender temas como el de la ciberseguridad dentro de sus estructuras, y, con ello, a estar mejor preparados para aplicar un enfoque SEGURO-VIGILANTE-RESILIENTE, buscando prevenir, detectar y/o responder a los ataques y al mal uso de uno de sus activos más valiosos: la información.