Una de las frases más utilizadas en el sector de la ciberseguridad es: «Existen dos tipos de empresas, las que han sido hackeadas y las que aún no saben que fueron hackeadas». Fue pronunciada por John Chambers, CEO de Cisco Systems, y se ve respaldada por el Informe de Riesgos Globales 2018 (WEF). En él se incluye, dentro de los cinco principales riesgos mundiales y en términos de probabilidad, dos factores ligados a la ciberseguridad: los ciberataques y el fraude, o el robo de datos, mostrando este informe claramente la importancia que la ciberseguridad está tomando a nivel global y que cobra especial relevancia para las tres industrias más atacadas en el mundo: la banca, el retail, Gobierno y otros servicios.
Y es que el sector financiero se posiciona como el principal objetivo de los ciberdelincuentes debido al alto beneficio que pueden llegar conseguir. Quienes realizan este tipo de ataques conocen las aplicaciones del sector, sus proveedores, a los usuarios de la red, el software con el que trabajan, todo… por lo que les es sencillo encontrar puntos débiles donde atacar.
Para entender la repercusión de estos ataques, un estudio del FMI indica que los ciberataques a bancos representan pérdidas cercanas al 9% de sus ingresos netos o, lo que es lo mismo, unos 100.000 millones de dólares.
Factores que aumentan el riesgo
El sector financiero tiene un reto con la transformación digital en varios pilares que son clave para su crecimiento: la nube, el internet de las cosas, el tráfico encriptado, la blockchain,… La integración de todas estas nuevas tecnologías impacta directamente con un incremento de los riesgos a los que se está expuesto y obliga a la aplicación de políticas de ciberseguridad.
En los últimos ataques a este sector se emplearon desde correos de spear phishing o código dañino para cajeros automáticos, hasta ataques de watering hole donde el atacante adivina u observa qué sitios web utiliza a menudo un grupo, e infecta a uno o más de ellos con malware. Los ataques de este tipo intentaron infectar en 2017 a más de 100 organizaciones, en 31 países diferentes.
Resulta complicado no resaltar el segundo trimestre de 2018, el cual puso nerviosos a los usuarios de servicios financieros, con 21,1% de ataques a bancos, 8,17% a tiendas on line y 6.43% a sistemas de pago, lo que comprende más de un tercio de los ataques en general.
Respecto a los ataques más importantes que sufre el sector financiero, hay que señalar ataques web, ransomware, servicios cloud, tráfico encriptado, malware bancario, malware en dispositivos móviles, ataque a cajeros automáticos, phishing,….
Las personas, el eslabón más débil en la ciberseguridad
De nada sirve disponer de la tecnología más avanzada del mercado para evitar ciberataques si el eslabón más débil de la cadena, el empleado o el cliente, desconoce los principales vectores de ataque que van a utilizar contra él. La proporción de phishing relacionado con sistemas de pago y tiendas virtuales representó alrededor del 16% para el primero y casi el 11% para el segundo en 2017, estando el 53% dirigido al sector financiero, con un total de 246 millones de intentos de los usuarios de visitar diferentes tipos de páginas de phishing (seis puntos porcentuales más que en 2016 y continúa en alza).
Desafíos a los que se enfrenta el sector
Para protegerse de este tipo de ataques, se requiere de la implementación de ciertas medidas en las compañías, es decir, medidas que promuevan una adecuada gestión del riesgo operacional, una mejora continua de los mitigadores y controles de las infraestructuras y plataformas con las que opera el sistema financiero, además de requerirse de mecanismos eficientes y seguros para el reporte e intercambio de información sobre los incidentes de ciberseguridad.
Otro de los puntos relevantes es el fomento de la cultura de ciberseguridad, ya que consigue reducir considerablemente las posibilidades de que un ataque sea satisfactorio. Independientemente del perfil del empleado (equipo directivo, departamento de sistemas de Información, administración, financiero, etc…) en toda compañía debe existir una cultura en ciberseguridad y deben conocerse todos los modos en que se puede ser víctima de un ciberataque pues, en el caso de la ciberseguridad, se necesita prevenir antes que curar.
Una de las opciones más directas para crear cultura es con formaciones que transmitan, a través de casos reales, los principales riesgos y vulnerabilidades a los que se expone la empresa, que enseñen cómo neutralizar la fuga de información o cómo afecta la ciberseguridad a las estrategias de negocio,… como la generada por Afi Escuela de Finanzas junto con la compañía especializada en ciberseguridad, Mnemo, Formación en Ciberseguridad y Ciberriesgo.
Carlos Juarros Huerga es gerente de ciberseguridad de Mnemo Evolution & Integration Services S.A.