Banca en México enfrenta riesgos, pero sin peligro inminente en ciberseguridad
No hay una amenaza de ciberseguridad inminente para las instituciones financieras de México, aunque sí existen algunos puntos de preocupación.
La startup de ciberseguridad SILIKN emitió hace unos días una alerta a bancos e instituciones financieras mexicanas, advirtiendo que podrían ser víctimas de un ataque para mediados de marzo.
Los perpetradores de esta ofensiva, según la misma organización, podrían ser “grupos cibercriminales rusos o unidades cibernéticas propias del gobierno de Rusia” que estén “en búsqueda de recursos económicos que puedan extraer de bancos europeos o estadounidenses y de las sucursales que tengan en otros países, especialmente las ubicadas en México y otros países de América Latina”; o bien “grupos cibercriminales no rusos que buscan aprovechar la coyuntura para obtener beneficios económicos”.
Reguladores en Europa y Estados Unidos han hecho advertencias similares a los bancos de sus respectivas regiones, pidiéndoles que se preparen ante posibles ciberataques de agentes rusos. También la posibilidad que se vulnere a los grandes bancos globales a través de sus sucursales en otros países ha sido propuesta por varios expertos de ciberseguridad y funcionarios extranjeros.
Si estas advertencias se hacen realidad, el riesgo podría extenderse también a bancos más locales. “Los ciberatacantes van a estar buscando bancos que estén menos protegidos. Quizá no atacaran los globales, sino […] bancos de América Latina que no tengan tanta protección, que no estén tan globalizados, no tengan tanta vigilancia y monitoreo […]. A lo mejor un banco regional de Nayarit, de Oaxaca, Sinaloa.”, advierte en entrevista Víctor Ruiz, fundador de SILIKN.
Sin embargo, para otros especialistas la amenaza a las instituciones financieras de México es menos clara. Aunque sí se prevé que hay grupos de cibercriminales tratando de contrarrestar las sanciones económicas contra Rusia, “no tenemos evidencia puntual de que vaya a haber un ataque a entidades financieras de México a nivel mundial”, apunta Juan Aguirre, senior manager de ingeniería para la firma de ciberseguridad Sophos en América Latina.
En caso que llegara a registrarse un ataque, no será porque “se haya empezado [a planear] ahorita [por la guerra entre Rusia y Ucrania]. Muy probablemente, [si sucede], es porque ya se tenía control de algunos dispositivos, servidores, instancias o computadoras […]. Lograr un ataque de la noche a la mañana al sistema financiero no es algo sencillo de hacer”, asegura Jorge Osorio, director de servicios de consultoría en la firma CSI Consultores en Seguridad e Información.
Lo anterior no significa que los riesgos de ciberseguridad a las instituciones financieras en México, particularmente a raíz de la guerra en Ucrania, sean cero. En términos generales, el panorama de la ciberseguridad en el país tiende a ser uno de los más débiles incluso dentro de la misma América Latina, con retrocesos importantes a raíz de la crisis sanitaria. A eso se debe sumar que ciertos miembros de la banca mexicana todavía tienen omisiones que podrían poner en riesgo sus activos y los de sus clientes.
Según Juan Aguirre, se pueden presentar errores como “no tener actualizados sus sistemas operativos o sus servidores, y especialmente en instituciones financieras pueden haber bases de datos que corren con software antiguo” y que podrían representar un punto vulnerable para ciberatacantes. También apunta que, como en otros sectores, puede haber omisiones en su cadena de suministro en la forma en “cómo mantienen sus comunicaciones con proveedores, o la falta de VPNs, que los atacantes pueden aprovechar para afectar la organización”.
Esta debilidad a lo largo de la cadena no solo aplicaría con proveedores externos, sino también con unidades dentro de la misma institución financiera. De acuerdo con Víctor Ruiz, “la banca [es un objetivo atractivo para los cibercriminales porque tiene] muchas áreas, muchos datos y muchos recursos económicos […]. Si los atacantes entran y ven que su sistema principal está blindado, a lo mejor se van por el área de seguros, de hipotecas. Tratarán de encontrar un hueco en alguna de ellas e ingresar desde ahí”.
Para Jorge Osorio, incluso si algunas de las mayores instituciones financieras de México tienen un sistema de defensa casi perfecto en materia de ciberseguridad, “el riesgo principal que enfrenta el sector es que cualquier grupo se va a mover siempre al ritmo del eslabón más débil […]. Si dentro del sector se dejan huecos en bancos de segundo piso, en fintech sin buenas auditorías, en instituciones pequeñas a las que se les aplique menor presión por su tamaño, se pueden convertir luego en grandes huecos. Un criminal no le va a apuntar al eslabón más fuerte. Buscarás al más débil”, y desde ahí se puede vulnerar al sistema como un todo.
Sistema financiero mexicano, robusto en materia de ciberseguridad
A pesar de estos riesgos, todos los especialistas están de acuerdo que la banca de México puede considerarse como relativamente robusta en sus políticas de ciberseguridad. De acuerdo con el senior manager de Sophos, “sus centros de operaciones de ciberseguridad [tienen] un gran afán para ganar capacidades de detección y respuesta […]. También están haciendo muy bien [en contratar y entrenar] personas que puedan sacarle provecho a las tecnologías [de defensa]”.
Por su lado, el consultor de CSI asegura que también se ha hecho un progreso muy importante en integrar eslabones que hace solo unos cuantos años representaban un enorme riesgo: las fintech. “Cuando no estaban reguladas, y aún así trabajaban con volúmenes de dinero importantes, representaban un riesgo. El incorporarlas bajo el mismo paraguas que sectores como entidades financieras y empresas crediticias demuestra un interés de homologar el ecosistema con los mismos requerimientos de ciberseguridad y protección de información”, afirma.
El fundador de SILIKN en cambio destaca la forma en la que muchas instituciones financieras mexicanas han reconfigurado sus presupuestos para ponerle más atención a las tareas de ciberseguridad, asegurando que “muchos sectores ni siquiera están enterados que no saben ni de qué se trata la ciberseguridad […]. Para los bancos, el gran acierto es que la ciberseguridad se ha vuelto algo prioritario […].Se están preocupando más que otros sectores, y están poniendo el ejemplo que, como empresa, así como tienes una división de ventas y una de marketing, legal, recursos humanos o administrativa, debes también tener una de ciberseguridad”.
Este marcar el paso es particularmente importante en el contexto de México, no solo porque las estrategias de ciberseguridad de las empresas tienden a ser carentes. El mismo gobierno se ha caracterizado por no prestarle suficiente atención a las tareas de ciberseguridad, ni de forma interna ni a la hora de crear una estrategia general de protección al ciberespacio desde donde se puedan coordinar agentes públicos y privados.