Ciberseguridad para entidades financieras

Las amenazas a la seguridad cibernética están en constante evolución y se están volviendo muy frecuentes en el mundo digital moderno. Todas las empresas, independientemente de su tamaño y la naturaleza de la industria, se encuentran bajo una amenaza continua de riesgos cibernéticos.

Si bien cada industria tiene su propio nivel de vulnerabilidad a las amenazas cibernéticas, el sector de servicios bancarios y financieros sigue siendo un objetivo fácil de los ataques cibernéticos. El sector financiero procesa y almacena datos extremadamente sensibles y valiosos, como datos de enrutamiento de verificación de información de identificación personal y algoritmos de inversiones y acciones.

Por lo tanto, cualquier violación de datos puede afectar gravemente las finanzas generales, la reputación de la marca y la lealtad del cliente.

Además, a medida que las organizaciones financieras evolucionan adoptando nuevos canales digitales, automatización y otras tecnologías avanzadas, están navegando por un panorama marcado por varios riesgos cibernéticos.

Por ello, las empresas Bancarias y Financieras deben esforzarse por preservar la confidencialidad e integridad de los datos para la máxima satisfacción de la clientela.

A continuación, presentamos algunas estadísticas y hechos que hablan sobre el estado de la ciberseguridad en el sector financiero.

Principales amenazas

Como organización financiera, tu empresa tiene mucha información valiosa en su poder relacionada con los datos de los clientes y sus propios datos confidenciales. Esto lo convierte en un objetivo para los ciberdelincuentes oportunistas. Estos ciberdelincuentes pueden implementar una variedad de ciberataques para infiltrarse en tu red y tus dispositivos.

A continuación, se muestran algunos de los tipos de ataques más comunes que se utilizan contra empresas de servicios financieros.

Ataques a aplicaciones web

Muchas organizaciones dependen de las aplicaciones web para sus operaciones comerciales, y Google Suite se encuentra entre las más populares. Estas aplicaciones facilitan a los empleados compartir archivos y colaborar. Sin embargo, estos servicios son vulnerables a los ataques debido a su facilidad de acceso y su dependencia de la entrada del usuario. Estos tipos de ataques pueden resultar en redireccionamientos no validados o enlaces que engañan a los usuarios para que hagan clic.

Bots

Los bots son esencialmente programas automatizados diseñados para completar tareas en línea. Muchas empresas del sector financiero utilizan bots con frecuencia. A menudo se utilizan para ayudar a mejorar el servicio al cliente. Sin embargo, hay buenos bots y malos.

Un bot malintencionado puede programarse para atacar a su institución directa o indirectamente; por ejemplo, puede usarse para enviar correo no deseado o para descifrar contraseñas mediante la fuerza bruta.

Ransomware

Ransomware es un tipo de malware que, una vez que infecta tu sistema, puede cifrar tus archivos o incluso tu sistema operativo (SO). Esto efectivamente lo bloquea detus documentos cruciales o de tu propio dispositivo. Se llama ransomware porque a menudo el criminal detrás del ataque no descifra tu sistema hasta que se paga un rescate. Este se ha convertido en uno de los tipos de ataques más denunciados contra empresas financieras.

Phishing

Los ataques de phishing son tan comunes como los ataques de ransomware. Estos ataques utilizan la ingeniería social para engañar a tus empleados para que realicen una acción que permita la instalación de malware en tu red.

Debilidades de la seguridad cibernética en banca y finanzas

En 2018, la industria financiera experimentó el 19% de todos los ciberataques e incidentes, lo que la convierte en la industria más objetivo del mundo.

La información de identificación personal y los datos financieros que poseen las organizaciones del sector bancario y financiero los convierten en objetivos obvios. Los ciberdelincuentes pueden monetizar este tipo de información rápidamente, vendiéndola en la web oscura o transfiriendo fondos de cuentas pirateadas a las suyas.

Por lo tanto, no sorprende que la industria esté sujeta a regulaciones de cumplimiento que tienen como objetivo fortalecer la resistencia cibernética y proteger los datos y el dinero de los consumidores.

A pesar del riesgo y las estrictas regulaciones, la industria bancaria y financiera aún experimenta debilidades de seguridad cibernética a medida que aumenta la frecuencia de los ataques.

Echamos un vistazo a los problemas más urgentes y las formas de superarlos.

Vulnerabilidades internas no intencionales

Una debilidad de la seguridad cibernética del sector bancario y financiero proviene de las vulnerabilidades internas. Aquí es donde el personal de una organización bancaria o financiera deja inadvertidamente a la empresa expuesta a ataques.

Casi dos tercios (29%) de los ataques analizados involucraron a personas con información privilegiada que cayeron en correos electrónicos de phishing.

De ellos, el 45% involucró estafas de compromiso de correo electrónico empresarial, también conocidas como ataques de whaling. Estos ataques hacen que los piratas informáticos se dirijan a las cuentas de correo electrónico de los miembros senior, como los directores ejecutivos, y defrauden a la empresa para que comparta información confidencial.

Otras causas comunes pueden ser la configuración incorrecta de sistemas y servidores.

Cómo puede mejorar la industria: cultura de formación y soluciones de software

Para superar esto, la ciberseguridad debe convertirse en una preocupación más allá del departamento de TI. El personal con acceso a la red en todos los niveles, desde el administrativo hasta el gerencial, debe estar debidamente educado y capacitado en su responsabilidad de mantenerlo a salvo de los ciberataques.

Las malas actualizaciones o la configuración de los servidores también pueden significar que la red es más vulnerable a ataques maliciosos destinados a defraudar a los internos.

Las soluciones de software, como el software de navegación web antiphishing, pueden ayudar a evitar que los correos electrónicos de phishing lleguen a las bandejas de entrada de los empleados. Además, TI puede implementar el filtrado de correo electrónico y enlaces con listas blancas y negras para bloquear a delincuentes conocidos.

Además, las organizaciones deben definir claramente cómo se espera que el personal interactúe con la red. La implementación de políticas para la ubicación y los dispositivos desde los que el personal puede iniciar sesión, así como el tipo de acceso que se les permite, ayudará a minimizar la amenaza.

Riesgo de la cadena de suministro

A menudo, las instituciones financieras contarán con una seguridad sofisticada, pero dependerán de proveedores externos, como los proveedores de servicios en la nube, para administrar el coste del cumplimiento.

Sin embargo, una violación de un tercero puede debilitar las defensas de la organización financiera ya que los datos se comparten entre los dos. Cualquier ataque a la red, más amplio o de otro tipo, puede dañar la reputación y dejar a las organizaciones sujetas a multas.

Cómo puede mejorar la industria: controles exhaustivos y segmentación

Al contratar a un proveedor externo, es fundamental considerar las implicaciones de seguridad cibernética. Solicita detalles sobre qué datos se compartirán, dónde se almacenarán, cómo los protegen y quién es responsable en caso de que ocurra una violación.

Dado que las repercusiones de no cumplir son tan altas, vale la pena investigar a cualquier tercero con el que estés considerando hacer negocios.

Algunas formas prácticas de garantizar que tus datos y tu red permanezcan seguros incluyen la implementación de la autenticación multifactor entre proveedores. Considerar el uso de servidores de salto o seguridad perimetral a nivel de red y software puede ayudar a aislar secciones de la cadena de suministro y contener una brecha dentro de ella en caso de que ocurra.

No contratar talento

La ciberseguridad es muy compleja y, como ocurre con cualquier industria, la banca y las finanzas están luchando por encontrar el talento necesario para mejorar la ciberresiliencia.

Según algunas estimaciones, para 2021 el número de puestos de ciberseguridad sin cubrir podría alcanzar los 3,5 millones. Por lo tanto, la competencia para atraer a los mejores candidatos será cada vez más dura.

Muchas organizaciones buscan contratar expertos en el campo con años de experiencia y las habilidades para comenzar a trabajar. Aunque en el clima actual de amenazas, este enfoque podría hacer que las industrias se queden detrás de las tácticas de los ciberdelincuentes.

Cómo puede mejorar la industria: soluciones automatizadas y subcontratación

Las organizaciones de la industria bancaria y financiera podrían utilizar soluciones automatizadas para combatir la falta de empleados en el sector de TI. Con el aprendizaje automático y la inteligencia artificial desarrollándose a gran velocidad, estamos viendo que más herramientas ingresan al mercado que pueden automatizar la ciberseguridad y el ciber cumplimiento. Estos ahora se han desarrollado hasta el punto en que pueden considerarse seriamente como una alternativa a algunos roles de TI.

Además, la brecha en el conocimiento que deja la falta de talento se puede llenar mediante la subcontratación a contratistas y socios como VARS de seguridad y proveedores. Estos terceros pueden ayudar a configurar dispositivos de seguridad y probar constantemente esas tecnologías para ayudar a cumplir con las obligaciones de cumplimiento normativo.

Gran población de usuarios

El problema de la brecha de talento se ve agravado por la gran y compleja población que accede a las redes bancarias y financieras. Desde los usuarios del lado del personal hasta los clientes que acceden a NetBanking, las organizaciones tienen que lidiar con una variedad de puntos de contacto y tienen poco control sobre cómo interactúan esos usuarios.

Además, estos puntos de contacto aumentados brindan a los ciberdelincuentes más oportunidades de atacar. Por ejemplo, los dispositivos personales de los usuarios podrían presentar una entrada fácil para los piratas informáticos que buscan violar las redes financieras, especialmente si los usuarios renuncian a funciones de seguridad como códigos de acceso.

Las regulaciones como PSD2 deberían hacer que los puntos de contacto como estos se vuelvan más seguros, pero la responsabilidad recae en las organizaciones bancarias y financieras para implementarlos.

Cómo puede mejorar la industria: Autenticación multifactor

Anteriormente mencionamos la importancia de implementar políticas para los usuarios de la red del lado del personal y esto puede contribuir de alguna manera a hacer que los puntos de contacto internos sean más seguros. Tecnologías como la autenticación multifactor podrían ayudar a garantizar que la interacción del usuario sea coherente al implementar pasos adicionales para el acceso. Además, puede formar parte del plan de gestión de identidad de tu organización para clasificar a los usuarios y otorgarles los derechos de acceso adecuados.

Además de esto, características como la autenticación basada en riesgos (RBA) pueden aplicar el nivel correcto de autenticación según las circunstancias del usuario, por ejemplo, si accede a la red de forma local o remota.

La tecnología segura solo es efectiva si todos los usuarios de la red la usan, por lo que es importante encontrar una solución que se integre con tus sistemas y aplicaciones actuales y sea fácil de usar.

Lagunas en la tecnología

Por último, los sitios web y las aplicaciones bancarias y financieras plantean una debilidad en la arquitectura de red más amplia.

Cuando se probaron, los investigadores encontraron que los sitios web bancarios y financieros eran los más vulnerables a la piratería. Los datos revelaron que el 80% de los probados eran vulnerables a ataques de secuencias de comandos entre sitios (XSS) donde los ciberdelincuentes pueden ejecutar código malicioso en un sitio web o aplicación. El script malicioso puede acceder a las cookies del usuario y otra información confidencial, así como reescribir el contenido de la página web.

Estas vulnerabilidades provocan desconfianza entre los usuarios, por lo que, para ser competitivas, las organizaciones deben considerar qué pueden implementar para proteger los sitios web y las aplicaciones.

Cómo puede mejorar la industria: pruebas y firewalls refinados

Las regulaciones PSD2 establecen que los proveedores de servicios de pago deben tener medidas para evitar la clonación de aplicaciones.

En las etapas de creación de la aplicación, los desarrolladores pueden probar y aprender del código fuente antes de que entre en funcionamiento para evaluar si podría ser vulnerable a los ataques.

Una vez en funcionamiento, la implementación de firewalls de aplicaciones web, ya sean solo software, dispositivos dedicados o firewalls de hardware modulares, ayudará a evitar el acceso no autorizado a áreas administrativas de sitios web o aplicaciones bancarias y financieras. Es crucial construir un firewall que cumpla con el nivel de seguridad requerido.

Futuro de la ciberseguridad de los servicios financieros

El panorama de las amenazas a la seguridad cibernética está cambiando para las fintech, los operadores tradicionales y otras organizaciones de servicios financieros. A medida que se acelera el ritmo de la disrupción digital y llegan al mercado nuevas tecnologías innovadoras, los del sector tienen que adaptarse. También deben colocar la confianza en el centro de cualquier agenda cibernética.

Bancos virtuales

Los puntos clave para la discusión sobre los bancos virtuales incluyen la velocidad del cambio, la experiencia del cliente, la fragmentación regulatoria y el ecosistema de proveedores.

Aquí, la velocidad es crucial. Esto se debe en gran parte a que el panorama de los servicios financieros se está volviendo cada vez más competitivo. Los operadores tradicionales ya no compiten entre sí, por ejemplo, ahora enfrentan un desafío directo de los bancos virtuales, las fintechs y otros disruptores digitales. Estos nuevos participantes en el mercado están orientados hacia las últimas tecnologías, son más flexibles y han construido su negocio desde cero de forma digital; tienen una ventaja como resultado.

Un cambio transformador importante en la plataforma de un banco solía llevar entre dos y cinco años. Pero ahora se enfrentan a jugadores sin sistemas heredados que actualizar y están marcando el ritmo. De repente, la gente habla de actualizar los sistemas bancarios cada cuatro o seis meses. Es comprensible que esto ejerza una presión considerable sobre la infraestructura de TI para los titulares.

Los disruptores digitales y los nuevos participantes en el mercado dependen completamente de la tecnología (ecosistemas habilitados para la nube, plataformas de banca digital, etc.) debido a que no tienen sucursales físicas. Como consecuencia, a menudo trabajan con varios socios tecnológicos. Si bien este enfoque aumenta la velocidad para los clientes, también agrega una complejidad creciente a la gestión del riesgo cibernético, que aún está en su infancia.

Para combatir esto, las instituciones financieras probablemente incorporarán la ciberseguridad en su estrategia digital más amplia e invertirán en ella en un nivel mayor hasta el punto en que se convierta en una parte central de cada adopción digital en todo el sector.

IA y mantenimiento de la seguridad

La IA está teniendo un impacto significativo en el sector de servicios financieros. La IA y los avances que aporta remodelarán todos los pilares del éxito en los servicios financieros. La tecnología hará que las operaciones sean lo suficientemente eficientes como para que el tamaño de los activos ya no sea suficiente para mantener las ventajas de costes. Mientras tanto, los ingresos no provendrán de la estandarización sino de los productos altamente personalizados y las interacciones personalizadas que la IA hace posible.

Las relaciones exclusivas con los clientes ya no serán un diferenciador, y que los clientes se quedarán con un banco, no porque sea difícil alejarse, sino porque los beneficios personalizados son mejores que cualquier otro.

También surge el problema de los bots. Específicamente que, si bien están diseñados para interactuar con el cliente y tomar decisiones basadas en algoritmos del tipo de ‘preguntas y respuestas’, el proceso de cómo gestionan esa interacción con el cliente debe ser transparente. La mejor práctica es un equilibrio entre el robot y lo físico, por ejemplo.

La seguridad y la privacidad están integradas en las aplicaciones de inteligencia artificial y bot desde el primer día, y todas las instituciones financieras deben demostrar integridad y solidez de la inteligencia artificial para minimizar la amenaza a la seguridad.

El panorama cambiante del riesgo

El papel de los encargados de gestionar el riesgo está cambiando. El rol del CISO ya no se detiene en “simplemente decirle a la junta cuántas vulnerabilidades se descubrieron el mes pasado”.

Muchas organizaciones han centralizado sus operaciones y riesgo de fraude: el riesgo de fraude es la segunda línea y las operaciones la primera. Sin embargo, a medida que se produce este cambio, se cuestiona cómo es un nuevo modelo operativo que se adapta a este cambio y cómo se gobernaría.

La tecnología también podría jugar un papel. Se necesita un cambio para permitir que el aprendizaje automático y los bots comprendan la actividad fraudulenta, pero que actualmente no son lo suficientemente inteligentes para hacerlo. Sin embargo, donde la tecnología puede y será utilizada con gran efecto es en la identificación de patrones de actividad fraudulenta; esto ya está siendo activado por varias organizaciones líderes.

Según una encuesta reciente, el 70% de las instituciones financieras han experimentado un incidente de seguridad en los últimos 12 meses. Se descubrió que el incumplimiento de los protocolos y procedimientos de seguridad por parte de los empleados es la causa principal de la mayoría de los incidentes.