Los hackers y la ciberinseguridad bancaria

A finales de 2013, un cajero automático de un banco en Kiev comenzó a dispensar efectivo en momentos aparentemente aleatorios del día; sin que nadie hubiera insertado previamente una tarjeta ni hubiera tocado un botón. Las cámaras mostraron que las pilas de dinero se las habían llevado clientes que parecían afortunados por estar allí en el momento adecuado. Pero la firma rusa de seguridad cibernética, Kaspersky Lab, llamada a Ucrania para investigar esos hechos, descubrió que la máquina errante era el menor de los problemas de aquel banco, porque aquel ataque cibernético había alcanzado a otros bancos en otros países.

Los riesgos tecnológicos y los ciberataques están afectando cada vez más al sector financiero, amenazando la integridad de los datos y la confiabilidad de las operaciones interbancarias en un sistema global interconectado. Es una de las conclusiones de los informes del Comité Conjunto de las agencias europeas de supervisión (Spring Risky Report) de abril de 2017 y de agosto de 2016 sobre riesgos y vulnerabilidades clave para el sistema financiero de la Unión Europea. Aunque no aportan datos concretos de incidencias y hackeos sufridos por los bancos de la UE, esas amenazas actuales quedan ejemplificadas por los casos de diversos bancos divulgados por la prensa internacional, que han afectado a SWIFT, la red internacional de pagos interbancarios. Una vulnerabilidad más que atañe directamente a la globalización de las transacciones bancarias y que hemos de diferenciarla claramente de los frecuentes desplomes tecnológicos de las Bolsas y los robos de algoritmos entre grandes grupos financieros.

En el caso del banco de Kiev, el informe de la firma rusa especializada Kaspersky Lab que publicó The New York Times, aseguraba que en realidad el ataque de los hackers había tenido lugar contra más de 100 bancos y otras entidades financieras en 30 países, de modo que podría considerarse en uno de los mayores robos bancarios jamás realizados y sin los signos habituales de un robo. Aunque la firma con sede en Moscú aseguró que se abstenía de nombrar a los bancos afectados debido a acuerdos de confidencialidad con esas entidades; y que llevaría tiempo evaluar las pérdidas. Las computadoras internas del banco de Kiev, utilizadas por los empleados que procesan las transferencias diarias y las contabilizan, habían sido penetradas por malware permitiendo a los ciberdelincuentes registrar cada uno de sus movimientos. Este software malicioso estuvo al acecho durante meses, enviando videos e imágenes que informaban a un grupo criminal - de rusos, chinos y europeos- cómo el banco llevaba a cabo sus rutinas diarias, según relataron los investigadores. Luego, el grupo se hizo pasar por agentes bancarios que no solo activaron varios cajeros automáticos, sino que también transfirieron millones de dólares de bancos en Rusia, Japón, Suiza, Estados Unidos y los Países Bajos a cuentas ficticias creadas en otros países.

Sin embargo, mayor eco internacional ha tenido el ataque cibernético al Banco central de Bangladesh en febrero de 2016, porque ilustra no solamente la vulnerabilidad en los sistemas informáticos internos de los bancos sino la vulnerabilidad de SWIFT, la red mundial utilizada para transferir fondos entre entidades financieras de todo el mundo Los piratas informáticos robaron 101 millones de dólares del Banco central en Dhaka, valiéndose de esta la red mundial de pagos y comunicación interbancaria. Precisamente para lograr el objetivo del acceso al sistema bancario global, los ladrones de bancos lograron cinco transferencias de la cuenta del Banco de Bangladesh en el Banco de la Reserva Federal de Nueva York a principios de ese mes. Irrumpieron en un banco con menores defensas, y luego en nombre de esa entidad sacaron dinero de un banco más grande. Posteriormente, los hackers realizaron ese ataque por segunda vez, en lo que se cree que fue un banco comercial en Vietnam. Según SWIFT, se detectó malware relativamente simple en los sistemas informáticos (bancarios) de sus clientes dirigidos a un lector de pdf utilizado para verificar los mensajes de estado de cuenta. Los hackers usaron el software malicioso para eludir los controles de riesgo primarios e iniciar procesos irrevocables de transferencia de fondos, mientras manipulaban declaraciones y confirmaciones que normalmente actúan como controles secundarios.

Al principio, el ataque cibernético en el banco central de Bangladesh fue calificado por SWIFT como "un problema operacional interno" para el banco. Si un cliente corporativo de un banco en Nueva York necesita pagar a un proveedor en Roma, el banco accede a la red SWIFT para conectar el banco correspondiente en Italia y hacer el pago; y los bancos confían tanto en la autenticidad de los mensajes de SWIFT que, por lo general, se procesan automáticamente. Según las investigaciones, Bangladesh se unió a la red Swift en 1995 y durante las siguientes décadas no fueron detectadas algunas prácticas arriesgadas del Banco central; que nunca cambió sus contraseñas SWIFT. Durante ese largo período, los piratas informáticos violaron los sistemas informáticos del banco, encontraron las credenciales de la terminal de acceso a la red y ordenaron las transferencias falsas de dinero. Pero el caso es cuando SWIFT supo que los hackers usaban un software que impedía la capacidad de los clientes de imprimir los registros de sus mensajes, emitió un parche de software, pero dejó en manos de los clientes la implementación de la actualización. Y los riesgos cibernéticos han persistido como se ha revelado en otros casos.

En mayo de 2016, otro ciberataque dirigido al banco Tien Phong de Vietnam alcanzó también a la red bancaria SWIFT; descubriendo el banco que las transferencias se realizaron con la infraestructura de un proveedor externo. La red SWIFT dijo no considerarse comprometida y se apresuró a instar a clientes a revisar los controles en su entorno de pago, junto con todos sus mensajes, pagos y canales de banca electrónica. Pero este caso ofreció como novedad que el encubrimiento del malware para el ataque revelaba un amplio conocimiento del software y de los sistemas utilizados para transferir el dinero; mostrando una versión troyana del lector de pdf, que puede detectar el examen de las transacciones fraudulentas y mostrar al personal bancario datos de diferentes.

Y de nuevo, en octubre de 2017, hackers actualizados lograron sustraer 60 millones de dólares del Far Eastern International Bank en Taiwán al infiltrarse en sus computadoras. Aunque se recuperó la mayor parte del dinero y se lograron dos detenciones en relación con el ciberataque, el banco admitió que los ciberdelincuentes plantaron malware en sus ordenadores personales y en los servidores para obtener acceso a su terminal de la red SWIFT. La explicación dada fue que el software malware logró hacerse con las credenciales necesarias para controlar la terminal y disponer de los fondos del banco. Para cuando el personal se percató de las extrañas transacciones, ya se habían transferido decenas de millones a bancos en los EEUU, de Camboya y de Sri Lanka. (Hackers nick $60m from Taiwanese bank in tailored SWIFT attack. 11Oct 2017)

Los agujeros cibernéticos de la red SWIFT

Lo cierto es que durante los años 2015 y 2016, la prensa internacional fue informando de una serie de ataques cibernéticos como los reseñados, que resultaron en robos exitosos de millones de dólares, revelando la vulnerabilidad de la red bancaria internacional SWIFT. Los ciberataques, perpetrados por grupos de piratas informáticos apodados con diversos nombres por los investigadores, explotaron las vulnerabilidades en los sistemas informáticos de los bancos interconectados, que cedieron el control de las credenciales para el acceso a la red mundial. Después hicieron posible el envío de solicitudes de transferencia de fondos por esa vía a otros bancos, que asumían la legitimidad de los mensajes y los fondos a cuentas controladas por los atacantes, como en el caso reseñado del Banco central de Bangladesh.

Los hackers se colaban por los agujeros en la red de Swift, llegó a sostener The Wall Street Journal. Y es que esa serie de ciberataques bancarios recientes  plantea serias dudas sobre la seguridad de SWIFT (conocidas siglas de the Society WorldwideInterbank Financial Telecomunication) con sede central en Bruselas,  que es la red interbancaria global que vertebra los servicios de pago para más de 11,000 entidades en todo el mundo, incluidos bancos y otras corporaciones empresariales, moviendo millones de órdenes de pago bancario diariamente alrededor del planeta. La Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) es una cooperativa que administra el servicio de mensajería internacional interbancaria desde su lanzamiento en 1977; y tiene el centro de operaciones en Culpeper, Virginia. En algunos medios internacionales se ha ironizado con la seguridad severa que se aplica en estas instalaciones; se cuenta que sus baúles se inspeccionan a su llegada por guardias armados que usan espejos para revisar debajo del chasis. Y esta seguridad interna incluye un escaneo de huellas digitales, una prueba de armas químicas y un escáner de iris en las áreas más restringidas. "Es como Fort Knox", dicen; pero ahí no es donde golpean los ladrones. El hecho es que la avalancha de ciberataques ha penetrado en los bancos a lo largo del perímetro menos defendido de SWIFT, socavando la confianza en esta red global dominante. Aunque esta red global siempre ha señalado a los bancos miembros como responsables de su propia defensa cibernética en gran parte, apoyándose en el caso de las antiguas contraseñas en el Banco central de Bangladesh.

Los análisis más documentados de la cultura y las prácticas de SWIFT, que incluyen entrevistas con cierto número de antiguos empleados, muestra que la red no seguía el ritmo de los avances de las innovaciones en la tecnología de información y sus retos. Últimamente esta red interbancaria ha endurecido sus estándares, incluyendo nuevas reglas para los clientes pero resulta complicado prevenir los ciberataques, en opinión de algunos expertos. Desde enero de 2018, las entidades financieras que utilizan SWIFT están obligadas a cumplir un nuevo marco de seguridad cibernética que pretende establecer una línea de base para la seguridad; y que requiere la aplicación de controles de seguridad tales como respuesta a incidentes, mayor formación de los empleados en materia de seguridad cibernética, autenticación de múltiples factores y detección de comportamientos anómalos. Aunque las innovaciones resultan significativas, sin embargo, el sector bancario sabe bien que, a pesar de la velocidad a la que los bancos puedan transformar la tecnología aplicada, los piratas informáticos siempre van un paso por delante.

La vulnerabilidad tecnológica de los bancos

Obviamente, dado que el sistema bancario se basa en la confianza pública, las altas direcciones de las grandes entidades bancarias son reacias a hacer públicos los diversos casos detectados de ataques cibernéticos, aunque no hayan tenido mayores consecuencias económicas.  Por tanto, resulta difícil evaluar la profundidad y el alcance real de los problemas de la ciberseguridad en el mundo bancario y financiero. Lo cierto es que la red bancaria internacional SWIFT se ha negado a revelar el número de ataques cibernéticos sufridos y a publicar algún informe sobre el nivel de penetración que los hackers han logrado alcanzar en esta red.

Ciertamente, la industria financiera ha tenido problemas para seguir el ritmo de la innovación tecnológica, especialmente por su estrecha relación con la ampliación de las reglamentaciones que rigen su funcionamiento. Si bien la tecnología heredada puede parecer solo un inconveniente para los consumidores, se ha convertido en un importante riesgo de seguridad para los bancos comerciales, las compañías de seguros y sus consumidores. Al mismo tiempo, los piratas informáticos se han aprovechado de las nuevas tecnologías que desarrollar el pirateo de estos sistemas bancarios heredados, provocando respuestas defensivas. Por ejemplo, se cita a la llamada autenticación de dos factores, que es una forma casi a prueba de balas para proteger las cuentas bancarias de los consumidores. Los bancos envían un código temporal al teléfono celular del consumidor antes de permitirles iniciar sesión, lo que significa que los piratas informáticos necesitarán acceso tanto a la computadora como al teléfono celular para obtener acceso a la cuenta. A pesar de la eficacia del método, varios bancos importantes no utilizan la autenticación de dos factores para proteger las cuentas bancarias de los consumidores. (Cyber Attacks and Bank Failures: Risks You Should Know.Investopedia, 21/1/2017)

Desde luego, a medida que los ciberataques continúan afectando a las empresas y organizaciones, son los bancos los que están bajo la creciente amenaza. No hay dudas de que el delito cibernético está en su punto más alto y no pasa un día sin que una organización sufra una brecha de seguridad o que los clientes de un banco importante hayan tenido un robo en sus cuentas. Si los bancos son un blanco preferido para los ciberdelincuentes, se debe a que el resultado puede ser más lucrativo: y los bancos tienen más dinero que la mayoría de las otras organizaciones. ¿Cuáles son las principales amenazas a las que se enfrentan los bancos hoy en día? Los expertos señalan que, si bien abundan las amenazas para los sistemas bancarios y sus clientes, una de las mayores amenazas y con frecuencia de las más difíciles de detectar, es la de los usuarios maliciosos, descuidados y comprometidos. Estos empleados, contratistas y socios ya se encuentran dentro del perímetro de seguridad de los bancos y disponen de acceso legítimo a sus datos confidenciales y sistemas de tecnología de la información. Cuando estos clientes internos abusan de su acceso privilegiado o son atacados por agentes externos, los datos valiosos se exponen fácilmente. A medida que los bancos continúan expandiendo el acceso en línea y mediante móvil, también expanden el área del ataque posible.

Proliferación de software malicioso

Paralelo al desarrollo de la tecnología de la información ha ido apareciendo en escena una extensa variedad de programas informáticos perniciosos que responden a propósitos antisociales o motivaciones complejas y diversas, a disposición de grupos o entidades que logran perturbar incluso las relaciones entre Estados. En los últimos años hemos conocido numerosas infracciones de alto perfil contra las principales entidades de servicios financieros; y el volumen y la complejidad de los ataques van en aumento. A medida que las instituciones financieras cambian a canales digitales como la banca en línea y las transacciones móviles, crecen los riesgos cibernéticos y crece la dimensión de las áreas a proteger.  Los delincuentes pueden enviar correos electrónicos de phishing (obtención fraudulenta de contraseñas y datos confidenciales de tarjetas de crédito)  o configurar sitios web falsos que engañan a los consumidores para que entreguen datos financieros confidenciales. En los últimos años han abundado las estafas mediante phishing sufridas por clientes de los principales bancos del Reino Unido.

También pueden aprovechar la información de los sitios de redes sociales para diseñar su camino socialmente en las cuentas a través del servicio al cliente. Combinado esto con el hecho de que los ataques exitosos contra bancos y firmas de servicios financieros brindan una forma rápida de monetizar los datos, y puede ver por qué los bancos y las instituciones financieras son objetivos tan populares. Desde hace tiempo se centra la atención en prevenir los ataques de denegación de servicio distribuida (conocidos por la siglas DDoS: el servidor se sobresatura de solicitudes de acceso quedando sencillamente fuera de servicio); una modalidad de ciberataques que ha paralizado en ocasiones a bancos como HSBC.

Más graves han sido los ataques mediante un tipo de software malicioso (malware) conocido  como ransomware que encripta los archivos de la entidad o los usuarios o bloquea el acceso a sus sistemas informáticos hasta que el usuario paga una tarifa al ciberdelincuente para liberarlos. El virus lanza una ventana emergente en la que nos pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual (bitcoins, por ejemplo). Esta estafa explota los errores humanos y las vulnerabilidades técnicas, ya que el malware a menudo se recibe por correo electrónico a través de archivos adjuntos infestados y/o enlaces que dirigen a los usuarios a un sitio web infectado. Según informa el sitio web de la Asociación de Banqueros Americanos (ABA), en mayo de 2016, las infecciones por ransomware habían causaron más de 1.6 millones de dólares en pérdidas en 2015 para individuos y empresas de todos los tamaños de los EEUU, según el FBI.

El impacto en los bancos y empresas puede ser devastador por las posibles pérdidas temporales o permanentes de información sensible o patentada, interrupción de las operaciones, pérdidas financieras derivadas de operaciones comerciales interrumpidas y restauración de sistemas y archivos, y daño potencial a la reputación de las instituciones. Para los altos ejecutivos de la banca es objeto de preocupación la piratería informática que alcanza al sistema financiero global aunque penetre por los bancos más pequeños. El caso del Banco central de Bangladesh provocó una reunión especial de la Comisión del Presidente Obama sobre la mejora de la ciberseguridad nacional, en la que altos ejecutivos bancarios debatieron la amenaza de los ciberataques, expresando su frustración por la dificultad del combate contra los hackers: las grandes empresas estadounidenses gastan millones de dólares defendiendo sus redes informáticas de las brechas de datos y las bombas digitales potencialmente destructivas. Pero los hackers logran alcanzarles simplemente apuntando hacia bancos más pequeños y menos defendidos para obtener acceso al sistema bancario global. (Jose Pagliery , Banking industry fears hackers can too easily attack the global financial system .18/5/2016)

Riesgos y vulnerabilidades clave del sistema financiero europeo

El mencionado informe del Comité conjunto de las agencias europeas de supervisión de agosto de 2016 sobre riesgos y vulnerabilidades clave para el sistema financiero de la UE, destacaba entre estos la creciente interconexión dentro del sistema financiero, además de apuntar el entorno de bajo crecimiento y bajo rendimiento y la baja rentabilidad de las entidades financieras. Y el informe de la primavera de 2017 se centra en los desafíos continuos de esos riesgos clave y particularmente la interconexión dentro del sistema financiero. Y a este respecto el informe destaca los crecientes desafíos planteados por los rápidos avances en las tecnologías de la información y la comunicación (TIC), incluidos los riesgos cibernéticos. Dado el conocimiento experto de los autores de este informe técnico, subrayamos algunas afirmaciones.

“Los riesgos tecnológicos están afectando cada vez más al sector financiero”, se constata. El cambio tecnológico rápido tendrá con el tiempo un impacto significativo en los modelos comerciales existentes de las instituciones financieras. Pero deja a muchos intermediarios financieros con sistemas básicos de tecnología de la información que envejecen y con la necesidad de participar en inversiones en tecnología, agravando aún más los problemas de rentabilidad. “El riesgo cibernético amenaza la integridad de los datos y la continuidad del negocio en un sistema financiero interconectado.” En este contexto, la atención de las entidades se centra en la demanda de seguro cibernético que se espera que crezca, mientras que los productos de cobertura cibernética son todavía relativamente nuevos en el mercado, con experiencias de suscripción limitadas y falta de datos históricos.

Dicho de otro modo, si se justifican y promocionan los derivados financieros (esas armas de destrucción masiva, que dijo Warren Buffet) para afrontas las pérdidas en las arriesgadas operaciones del casino financiero, este informe europeo apunta como medio para afrontar los riesgos cibernéticos, al contrato de aseguramiento, aunque a diferencia de otros tipos de seguro, existe una gran carencia de datos históricos que puedan utilizarse para calcular y fijar las primas de ese seguro cibernético.De ahí que el informe justifique que a menudo las compañías aseguradoras apliquen condiciones restrictivas en sus políticas para contener el riesgo de suscripción de ese seguro contra el riesgo cibernético bancario. Dado que los datos históricos no son suficientes, las aseguradoras podrían usar diferentes instrumentos para limitar los riesgos de suscripción; por ejemplo, se suelen incluir exclusiones contractuales o prescribir normas mínimas de la organización que establecerá el socio contractual como requisito previo para la cobertura del seguro. Al mismo tiempo, las aseguradoras complementan sus bases de datos con nuevos aspectos de riesgos que les permiten establecer un precio adecuado cuando cubren nuevas características de riesgo.

Lo cierto es que, según el citado informe de 2017, “para todo el sector financiero, el riesgo cibernético aparece como un riesgo importante y está en aumento”. El nivel y la naturaleza del riesgo difieren entre países, subsectores financieros y tipos de intermediarios. Actualmente los ataques de denegación de servicio, robo y / o manipulación de datos, software malicioso, desinformación e identificación falsa son las formas más relevantes”.

Más aún, reitera el informe que   “los riesgos operacionales relacionados con los riesgos de las TIC parecen estar en aumento en todo el sector financiero. Aprovechando el potencial de las innovaciones tecnológicas, la mejora de la experiencia del consumidor y la reducción de costes, las entidades financieras europeas han aumentado su dependencia de las plataformas de las tecnologías de la información y las redes de telecomunicaciones, haciendo que las preocupaciones sobre la conectividad y la tercerización sean más prominentes. La creciente digitalización de los canales de distribución y el apetito de los clientes por los servicios "siempre activos" presiona los sistemas para adaptarse, lo que debe estar respaldado por un fuerte cambio en las prácticas de gestión. Muchas entidades confían en el envejecimiento de los sistemas centrales de TI para los procesos de negocio centrales, y a menudo se necesitan más inversiones para mantener y reemplazar dichos sistemas.”

Según manifiestan las agencias europeas de supervisión del sistema financiero en el referido informe, las entidades financieras afrontan dificultades para hacer frente a la amenaza de intrusos que obtienen acceso no autorizado a sus sistemas y datos críticos. Por lo que los casos que hemos reseñado, y muchos otros no publicitados, ilustran la sofisticación de tales ataques a los sistemas de pago interbancarios y particularmente al sistema global SWIFT; y de los robos de cuentas en línea. Por lo que urge una mayor diligencia supervisora ​​y de control de las operaciones para afrontar estos riesgos cibernéticos.-