¿Qué pueden aprender las empresas de los ciberataques a SWIFT?

¿Qué pueden aprender las empresas de los ciberataques a SWIFT?

Al igual que las bacterias mutan para hacer frente a los potentes antibióticos, las amenazas cibernéticas están constantemente cambiando para explotar nuevas vulnerabilidades. Y de la misma forma que los antibióticos deben evolucionar, nuestros sistemas para proteger la seguridad digital, tanto personal como de empresas o de gobierno, han de cambiar con los tiempos y ser igualmente activos, robustos e innovadores.

5c8b44653b000070066d50ea

Foto: REUTERS

Al igual que las bacterias mutan para hacer frente a los potentes antibióticos, las amenazas cibernéticas están constantemente cambiando para explotar nuevas vulnerabilidades. Y de la misma forma que los antibióticos deben evolucionar, nuestros sistemas para proteger la seguridad digital, tanto personal como de empresas o de gobierno, han de cambiar con los tiempos y ser igualmente activos, robustos e innovadores.

Sirvan como recordatorio la noticia reciente sobre los cibercriminales que robaron 81 millones de dólares en fondos del banco central de Bangladesh, o los perpetrados en Ecuador y en algún otro país. Estos robos descarados son una muestra de que los chicos malos nunca duermen y de que lo que antes estaba suficientemente bien en términos de seguridad digital, ahora ya no lo es. Pero entre todos ellos, hay que destacar el ciberataque a la red bancaria SWIFT. Para llevar a cabo este descarado atraco, digno de la mejor película de cine negro, los ladrones digitales se colaron en el que se creía era el sistema de mensajería financiera más seguro del mundo, conocido como SWIFT, una cooperativa de origen belga propiedad de varios bancos miembros y que utilizan actualmente unas 11.000 instituciones financieras de todo el mundo.

El ataque a SWIFT no responde a un nuevo tipo de ataque informático, pero revela un astuto esquema que combina varios métodos de ataque existentes de una manera única, sofisticada y retorcida. SWIFT señala que los ladrones robaron credenciales de operador legítimas que les permitieron enviar mensajes en apariencia auténticos que fueron utilizados para realizar transferencias fraudulentas. Después, instalaron software malicioso en los ordenadores del banco, lo que les permitió manipular las impresoras y ocultar el rastro de los mensajes fraudulentos.

"Los atacantes demostraron tener un conocimiento profundo y sofisticado de los controles operacionales específicos de los bancos objetivo, conocimiento que podrían haber obtenido a través de personal interno malintencionado o de ciberataques, o mediante una combinación de ambos", explicó SWIFT en un comunicado.

Hoy en día, proteger el sistema SWIFT y a sus miembros, o cualquier otro ecosistema interconectado similar, requiere de un enfoque colaborativo y de múltiples facetas que debe ser gestionado como un importante reto del negocio y no únicamente como un problema tecnológico.

En primer lugar, la ingeniería social de las debilidades humanas en manos de los chicos malos debe combatirse con ingeniería social de los chicos buenos. Los ataques en redes de pago a menudo involucran un tipo de ataque, en los que los criminales atraen a las personas para que abran mensajes falsos y hagan clic en enlaces que descargan software malicioso en sus ordenadores y permite a los ladrones robar sus credenciales en cuanto se conectan a los sistemas.

La creciente interconexión de nuestros sistemas comerciales, financieros e incluso gubernamentales implica que un número de usuarios cada vez mayor dispone de acceso privilegiado para operar en esos diversos sistemas.

Además del software malicioso, los cibercriminales desplegaron herramientas de pirateo, como un software que controla y graba las pulsaciones del teclado, para robar las credenciales del Banco de Bangladesh del sistema SWIFT.

La educación continua tanto dentro como fuera de las organizaciones tecnológicas sobre las últimas técnicas que utilizan un mensaje en apariencia válido para engañar a los usuarios ayudará a reconocerlas y a reducir el fraude. Los dispositivos móviles y otros dispositivos conectados en el Internet de las Cosas son nuevos puntos de vulnerabilidad y también deben ser asegurados. Los ladrones del banco también se aprovecharon de un punto débil en la cadena de seguridad, un simple lector de PDF utilizado para generar informes de las confirmaciones de pago. La revisión regular de los equipos y sistemas centrados en la seguridad de todo el negocio ayudará a identificar las amenazas emergentes, las brechas de seguridad y las estrategias para mitigarlas.

También es necesario entender que el perímetro de seguridad ya no son los muros del castillo, ni lo fortificado que esté el castillo. El nuevo perímetro es la identidad. Es el punto en el que el usuario, o mejor dicho los millones de usuarios, acceden a cualquier sistema en el perímetro de la red. Las compañías deben asegurarse de que los usuarios son quienes dicen ser y que la información y servicios a los que pueden acceder corresponden exactamente a su función.

El binomio usuario-contraseña ya no es suficiente para una comunicación confidencial. Incrementar la identidad básica con protocolos de autenticación avanzada como la autenticación multifactor puede ayudar a asegurar la autenticidad de la identidad y ayudar a los bancos más pequeños a actualizar su seguridad de una forma sencilla y asequible.

Determinados datos y servicios pueden requerir además una mayor seguridad que otros. Por ejemplo, una sencilla contraseña puede ser suficiente para que un cliente acceda a la información de su saldo en un escenario de banca online. Sin embargo, que los empleados de un banco transfieran fondos debería requerir una verificación de la identidad adicional para poder completar la transacción.

Y también muy importante, es necesario incrementar el control y el análisis de las cuentas de usuarios privilegiados. La creciente interconexión de nuestros sistemas comerciales, financieros e incluso gubernamentales implica que un número de usuarios cada vez mayor dispone de acceso privilegiado para operar en esos diversos sistemas.

Los accesos privilegiados deben ser concedidos únicamente para el tiempo imprescindible y deben ser monitorizados constantemente. La actividad también ha de ser controlada, especialmente porque buena parte del cibercrimen lo comete personal interno. El software para detectar fraudes puede reconocer comportamientos anómalos tales como intentos de aumentar privilegios o cambios de comportamiento en esas cuentas. Y si un acceso privilegiado se ve comprometido, los historiales de acceso a la cuenta pueden ayudarle a comprender mejor qué ha ocurrido y por qué.

Los ataques SWIFT son significativos no porque se robara una elevada cantidad de dinero, sino porque los atacantes utilizaron una combinación de métodos muy conocidos para comprometer un sistema financiero que opera en el sistema nervioso central de la economía global. Las organizaciones deben aprender de ello y examinar cuidadosamente sus propias prácticas. Tenemos que preguntarnos si en seguridad estamos haciendo algo más de lo que está "suficientemente bien" para vigilar con atención la salud y seguridad de nuestros sistemas. Y también necesitamos utilizar una combinación probada de antídotos de seguridad reconocidos para contener y prevenir la propagación de otro ataque SWIFT. De otra forma, la jugada de Bangladesh no tendrá más que secuelas.