Nuevas tecnologías volvieron los ciberataques 'un juego de niños'
En la década de los 90 generar ciberataques que dieran acceso a cuentas bancarias requerían de altos conocimientos de programación.
En la actualidad, enviar un correo electrónico con una apariencia respetable es suficiente para obtener datos bancarios y entrar en la práctica fraudulenta del 'phising'.
'Ser ciberpirata es ahora fácil', asegura Tamas Gaidosch experto en ciberseguridad para el Fondo Monetario Internacional, el motivo está en el avance de las de las tecnologías y el que ahora solo se requieren conocimientos básicos de tecnología.
El sector financiero es el más vulnerable a estos ataques por las ganancias que el éxito de estos ataques pueden generar, pero también el que más riesgos conlleva para los atacantes, pues es el vigilado con más atención.
No obstante, debido a la dependencia que tienen las instituciones de este sector a un grupo pequeño de sistemas técnicos, solo es necesario que los ciber piratas sepan reconocer los blancos más prometedores de estos para que sus ataques se vuelvan exitosos, generalizados y sistémicos, comenta Gaidosch en un artículo publicado este junio por el FMI.
Un ejemplo de ello está en los ciberataques a cinco instituciones bancarias en México – Banorte, Inbursa, Banjército, Casa de Bolsa la Huasteca Potosina y KUSPI- entre abril y mayo de 2018.
Vulnerabilidades en los programas que generaban las órdenes de transferencias electrónicas permitió a los hackers depositar cerca de 300 millones de pesos provenientes de los recursos de los bancos a cerca de 836 cuentas en diferentes estados de la república mexicana, según un reporte de Banco de México publicado el 21 de junio.
Los principales sospechosos son empleados bancarios que pudieron haber tenido acceso a las plataformas que permitían la liberación de las transferencias, de acuerdo con los reportes de Marco Arturo Rosales, jefe de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas de la PGR.
Anteriormente, Luis Ramírez, director de estrategias corporativas de IT Lawyers, firma especializada en asesoría y análisis de problemas de seguridad de diversas instituciones financieras, declaró al periódico Reforma que los autores de los ciberataques "trabajaron para firmas que hacen los aplicativos o software, o para las instituciones financieras afectadas y tienen acceso a los sistemas del SPEI", es decir, conocían las debilidades de los sistemas.
Gráfico explicativo de los ciberataques a bancos en México en abril y mayo de 2018. Fuente: Banxico
De ser así, no es extraño que uno de los requerimientos que haya solicitado del Banco de México a las instituciones bancarias tras los ciberataques fuese una carta donde se asegure que los programas ya no presentan códigos maliciosos y se subsanaron las brechas de seguridad detectadas. Esta, firmada por los directores generales, el máximo responsable de sistemas y un auditor externo que haya revisado el código de los aplicativos de los bancos.
A nivel internacional las pérdidas directas causadas por ciberataques a las instituciones financieras son difíciles de medir, sin embargo, el FMI estima un promedio de pérdida por ataque de 4.7 millones (94 millones de pesos), 40% de estos llevados a cabo en Estados Unidos.
Por su parte, el Centro para Estudios Estratégicos estima que solo en 2017 el cibercrimen costó a nivel mundial una cifra alrededor de 445 mil millones de dólares (8.7 billones de pesos).
Y si bien no se cuenta con datos del gasto que hacen las instituciones financieras en el mundo a nivel de ciberseguridad, la banca mexicana asegura tener un gasto de 2 mil 400 millones de pesos en seguridad y monitoreo cibernético, de acuerdo con Marcos Martínez, presidente de la Asociación de Bancos de México (ABM).
No obstante, la posible cercanía de los sospechosos con los programas que ejecutan las ordenes de transferencias electrónicas de pago de los bancos golpea uno de los puntos más sensibles de las instituciones financieras: la confianza.
La pérdida de confianza en el sector financiero después de un ciberataque es uno de los costos más altos que deben pagar y por el cual se esfuerzan tanto en conservar ya que es la base de todo el sector.
MÁS INFORMACIÓN:La industrialización de la ciberdelincuencia, Tamas Gaidosch, 2018.
MÁS INFORMACIÓN: Informe presentado a la Comisión Permanente del H. Congreso de la Unión sobre la situación del SPEI. Banxico, 2018.
MÁS INFORMACIÓN: Riesgo cibernético para el sector financiero. Documentos de Trabajo de investigadores del FMI, 2018.