Hacia finales de abril pasado salió a la luz que el sistema financiero de México fue víctima de un ciberataque en el cual cibercriminales robaron una cifra cercana a los 300 millones de pesos.

Al principio, el Sistema de Pagos Electrónicos Interbancarios (SPEI) del Banco de México comenzó a reportar algunas degradaciones en el servicio de transferencias interbancarias. Y si bien inicialmente no se reconoció que el problema de fondo era un ataque informático, las inconsistencias en las declaraciones obligaron a las autoridades a reconocer que todo fue consecuencia de un ciberataque.

Una sola institución reconoció la explotación de una vulnerabilidad en el servicio Web que conecta sus sistemas con SPEI, aunque aseguró que el incidente no afectó a ninguno de sus clientes.

Luego, a medida que la investigación fue avanzando se conoció públicamente que los atacantes lograron realizar transferencias no autorizadas hacia cuentas creadas para este propósito y cuentas de usuarios legítimos. Posteriormente, en una compleja red de participantes, parte de esos fondos habrían sido extraídos en distintas localidades a través de cajeros automáticos o ventanillas. Fuentes como El Financiero revelaron que los atacantes contactaron a usuarios de cuentas legítimas para transferir parte del dinero robado y también para que contribuyeran al proceso de retirar el dinero, a cambio de un pago por su participación.

Desde WeLiveSecurity dialogamos con el investigador en seguridad del laboratorio de ESET Latinoamérica, Miguel Ángel Mendoza, acerca de lo que dejó este hecho sin precedentes en México para conocer su opinión sobre los hechos y reflexionar acerca de lo pasará de aquí en adelante.

¿Cuáles son las recomendaciones que le puede dar tanto al banco central como a los bancos para mantener sus sistemas protegidos?

“La ciberseguridad no solo debe cimentarse en la tecnología, sino que debe apoyarse en otros pilares que van desde las regulaciones hasta aspectos operativos. Por ello, resulta indispensable contar con procesos, personal y tecnología necesaria para hacer frente a las amenazas y ataques” consideró el especialista.

“Desde el punto de vista operativo, los bancos e instituciones financieras pueden crear equipos de respuesta a incidentes para colaborar, coordinar e intercambiar información, así como contar con planes de contingencia y manejo de situaciones críticas”, afirmó.

En cuanto a los recursos humanos, la “concientización es una actividad fundamental para minimizar riesgos, ya que el personal informado, capacitado y concientizado representa una línea de defensa” explicó. Además, también resulta necesario aplicar controles de seguridad para el personal, antes, durante y al concluir la relación laboral.

En el ámbito tecnológico, Miguel Ángel comentó que “la revisión continua a la infraestructura tecnológica es básica como una medida proactiva, por ejemplo, mediante evaluaciones de vulnerabilidades y pruebas de penetración a profundidad, así como la creación de inteligencia para la detección temprana de amenazas y reconocimiento de patrones”.

Además, el marco regulatorio en torno a la ciberseguridad para la banca implica el cumplimiento de las legislaciones y regulaciones vigentes, así como el desarrollo y aplicación de otras iniciativas necesarias para el sector.

En el mundo, ¿cuáles son las tendencias en materia de ciberataques a la banca?

Sin duda, los ataques a la banca van en aumento, aunque bajo diferentes modalidades. Según explicó el investigador, “los primeros ataques registrados se enfocaban en técnicas de Denegación de Servicio (DoS) con el objetivo de dejar fuera de operaciones a las instituciones, aunque luego se enfocaron en el uso de códigos maliciosos (junto con otras herramientas) en la infraestructura tecnológica para llevar a cabo robos cibernéticos; incluyendo cajeros automáticos que pueden ser comprometidos para la extracción del dinero”.

¿Cuál es el costo de un ciberataque para una institución financiera?

“Es difícil cuantificar los costos de un ciberataque para alguna institución financiera, ya que el impacto no solo es económico, sino que intervienen otros elementos que dificultan la ponderación, tales como el daño a la imagen y reputación de las organización, la perdida de la confianza en la institución e incluso la pérdida de potenciales clientes. Por lo tanto, el costo de un ciberataque para una institución podría representar una cifra bastante mayor al monto extraído por los atacantes”, explicó Mendoza.

¿Hace falta regulación en México?

Según considera el investigador, “nunca se tienen las regulaciones suficientes, ya que tanto la tecnología como las amenazas avanzan con mayor rapidez que las legislaciones y las regulaciones, por lo que generalmente existe una brecha. Otro problema que existe relacionado con las regulaciones es que muchas veces existen pero no se cumplen del todo, aunque sean obligatorias; especialmente cuando existen directrices que se presentan como opcionales”.

Por esta razón, sucesos como el que sufrió el sistema financiero de México contribuyen a revisar el marco regulatorio para adecuarlo con base en la actualidad y las necesidades en materia de seguridad, o en su defecto, desarrollar nuevas regulaciones y legislaciones. Pero no porque las regulaciones actuales sean obsoletas o inadecuadas, sino más bien porque las leyes o regulaciones son perfectibles, y sucesos de esta naturaleza nos lo muestran a través de las lecciones aprendidas.

“Si quisiéramos ver el lado positivo de este tipo de incidentes, podríamos indicar que contribuyen a evidenciar la relevancia que tiene la ciberseguridad en estos tiempos y la importancia de atender el tema desde distintas perspectivas, ya que como mencionábamos anteriormente, no solo se trata de cuestiones tecnológicas”, comentó el experto.

A partir del ciberataque a los bancos, las empresas demostraron un interés sin precedentes para con el tema de la ciberseguridad. Teniendo esto en cuenta, ¿cuáles son los aspectos en los que debe hacer especial hincapié una empresa u organización para estar “protegida”?

La seguridad al 100% no existe, por lo que siempre está latente el riesgo por mínimo que sea. En este contexto, todos los trabajos en materia de seguridad se enfocan en minimizar riesgos asociados a la información y otros activos. Para lograr la mitigación de riesgos, se aplican controles (tecnológicos, administrativos o físicos), para reducir la probabilidad de ocurrencia de un incidente, o bien, minimizar el impacto que puedan generar.

Sobre la base de estas ideas, los aspectos básicos que debe considerar una organización para estar cada vez más protegida están relacionados con: procesos, personal y tecnología. Es decir, la aplicación de medidas con distintos enfoques, desde cuestiones operativas, administrativas, técnicas o tecnológicas, hasta legales y regulatorias.

Además, la estrategia no solo debería enfocarse en intentar blindarse, ya que como mencionamos anteriormente, siempre existe un riesgo latente. Por ello, además de pensar en medidas defensivas, es importante considerar elementos reactivos para saber de forma precisa la manera de operar en caso de contingencia, además de enfoques ofensivos, para intentar descubrir las vulnerabilidades en la infraestructura tecnológica, antes de que pudiese realizar un atacante. Las medidas proactivas resultan igualmente necesarias, por lo que se trata de una mezcla de enfoques.

Por lo tanto, la resiliencia operativa (habilidad de una organización para perseguir su misión en circunstancias adversas), también es necesaria, ya que tiene como propósito mantener los procesos de negocio y los servicios que soportan de manera directa la misión de la organización. Considerar la resiliencia operativa para atender la capacidad de los procesos y servicios críticos, en busca de mantenerlos disponibles ante los eventos inesperados e indeseados, es parte de la implementación de la seguridad desde un enfoque holístico y transversal a todos los procesos críticos de la organización.

Según datos del tercer informe anual sobre ciber-resiliencia en las organizaciones elaborado por Ponemon, la segunda mayor dificultad que tienen las empresas a la hora de elaborar un plan formal de ciber-resiliencia es la falta de profesionales con conocimientos suficientes en el tema de la ciberseguridad. ¿Qué opinión le merece?

Diversos análisis apuntan a un déficit de profesionales especializados en materia de ciberseguridad, por lo que podría tratarse de una de las principales razones por la cuales se dificulta el desarrollo de programas de seguridad de la información. En este sentido, es conveniente que la industria invierta más recursos en la formación y retención de talentos, así como en programas que busquen desarrollar más profesionales en el área.

Además, la academia juega un papel fundamental para la formación de personal especializado en temas de seguridad, una tarea nada sencilla si consideramos que los planes de estudio actuales en algunas universidades, consideran la ciberseguridad únicamente como asignaturas de algunas profesiones, o bien, dejando esta capacitación para las certificaciones y diplomados. Es importante mencionar también  que comenzaron a presentarse carreras profesionales completamente enfocadas en seguridad, por lo que se debería alentar esta tendencia.

Varios especialistas coincidieron en que el blockchain pudo prevenir el ciberataque a los bancos porque hubiese hecho más difícil la manipulación de datos y hubiese permitido rastrear de dónde provienen las transacciones. ¿Qué opina?

Probablemente pudo prevenir ataques de este tipo, aunque es necesario mencionar que ninguna tecnología es infalible. Por sus características, la cadena de bloques permite la validación de transacciones, de forma que aquéllas no autorizadas probablemente pudieran ser rechazadas. A pesar de ello, la transición hacia este tipo de tecnologías apenas comienza y pasará algún tiempo para que los medios actuales puedan operar de forma completa con mecanismo de esta naturaleza. Y si bien el uso del blockchain podría representar una alternativa para mitigar este tipo de ataques, sin duda surgirán otros.

Qué el 14% de los CEO en México crean que es inevitable ser víctimas de un ciberataque: ¿Habla de organizaciones más conscientes o todavía falta mucho?

El porcentaje nos habla de la conciencia que se adquiere acerca de la necesidad de la ciberseguridad, pero en el marco de un escenario adverso a partir de lo que sucedió. Sin embargo, esto dista de las acciones para enfrentar la problemática por varias razones, especialmente los recursos.

Por ejemplo, un resultado del ESET Security Report 2018 muestra que únicamente 1 de cada 10 empresas que participaron en el estudio considera la implementación de una solución de seguridad para móviles. Mientras cada día se identifican nuevas vulnerabilidades y desarrollan nuevas amenazas en los dispositivos móviles. En otras palabras, mientras que los riesgos aumentan, las tecnologías de seguridad son poco utilizadas, por lo que la brecha, lejos de reducirse, se ve acrecentada.

Por lo tanto, aunque cada vez se adquiere más conciencia sobre la ciberseguridad, incluso quizá por los ataques de alcance global que han acaparado los medios, aún falta un camino largo por recorrer. El objetivo que se persigue es el desarrollo de la cultura de ciberseguridad, pero para ello se requiere tiempo, recursos y esfuerzos. Las iniciativas que actualmente se realizan están encaminadas hacia ese objetivo.

Juan Manuel Harán