Los retos a los que se enfrentan la banca en materia de ciberseguridad son innumerables. Las instituciones financieras deben fortalecer acciones preventivas para detectar de forma temprana las amenazas
Jefferson Gutiérrez
Socio Líder de Asesoría en Tecnología Forense de KPMG en México
Los últimos dos años han sido desafiantes para instituciones de todos los sectores de la economía y, especialmente, para las instituciones financieras. Lo anterior, debido a la aceleración en los procesos de digitalización y atención al público, así como a la mayor cantidad de transacciones en línea que han incrementado el riesgo de cibercrimen; lo cual ha revelado las fortalezas y debilidades del sector.
Ransomware
De acuerdo con la encuesta 2022 KPMG Fraud Outlook, el ransomware se ubicaba en el cuarto lugar como la amenaza cibernética que más se incrementó durante 2021. La realidad demuestra la rentabilidad que este tipo de cibercrimen representa para los perpetradores. En este sentido, un informe publicado por la FinCEN indica que para agosto de 2021 las instituciones financieras en Estados Unidos (EE.UU.) habían reportado cerca de USD 590 millones en pagos posiblemente relacionados con ransomware.
Por lo anterior, las instituciones financieras deben fortalecer acciones preventivas para detectar de forma temprana las amenazas, incrementando la sensibilización de sus empleados y el uso de capacidades robustas de inteligencia contra amenazas.
Robo de identidad
El robo de identidad es uno de los elementos más utilizados por los cibercriminales para afectar tanto a los usuarios como a las propias instituciones financieras. De acuerdo con la Condusef en lo que va del año 2022, se han presentado reportes de suplantación de identidad de 52 instituciones financieras.
Mediante este delito, los suplantadores buscan obtener información de personas contactándolas vía redes sociales, usualmente mediante la publicación de anuncios falsos, o en llamadas telefónicas, a fin de reunir información clave para cometer otros ilícitos. Una vez que el cibercriminal obtiene dicha información, puede utilizar los datos obtenidos para solicitar servicios o productos tanto de instituciones financieras como de proveedores de otros servicios (telefonía celular e internet, entre otros).
Además del robo de identidad de la institución misma, un suplantador puede crear una “identidad sintética” al añadir elementos ficticios o “fabricados” a datos robados; y de este modo, ir construyendo perfiles de clientes con un historial falso con el fin de burlar los controles de las instituciones financieras en el otorgamiento de créditos. El fraude por identidad sintética (SIF, por sus siglas en inglés) es un flagelo que está afectando de forma relevante a bancos en EE.UU.
En este contexto, las entidades bancarias deben incorporar mecanismos adicionales de automatización y analítica para la validación de la identidad en los procesos de vinculación y mantenimiento de clientes. El proceso de vinculación puede ser una combinación de varias capas que involucre elementos automáticos y manuales. Asimismo, se debe considerar el uso de fuentes de datos más allá de las tradicionales. Un ejercicio robusto de análisis que cruce información de los diversos productos de un cliente (seguros, préstamos, cuentas de cheques, entre otros) puede aportar información adicional valiosa para la prevención.
Amenazas internas
Las amenazas internas son un conjunto de riesgos, tanto de la tecnología como de los procesos y las personas; que pueden ocasionar la pérdida de información financiera, propiedad intelectual o datos de clientes, entre otros rubros. La prevención y detección de estas amenazas no es sencilla, pues los atacantes internos están familiarizados con los procesos y sistemas; además de poder utilizar su posición para influenciar a otros empleados.
Por ello, se vuelve indispensable la combinación de análisis automatizados (tomando información de las herramientas de monitoreo) y la intervención humana para lograr identificar patrones anómalos en el comportamiento de los empleados; ¿han tenido acceso a los sistemas en horas inusuales?, ¿sus patrones de navegación en internet han cambiado?, ¿están realizando consultas de información de clientes que antes no hacían?
Para atacar este problema, las instituciones financieras deben favorecer una cultura de cumplimiento, estableciendo claras expectativas de comportamiento y aplicando de manera consistente las sanciones a las que haya lugar por la violación de dichas expectativas. Además, resulta muy importante establecer estos lineamientos desde el liderazgo (tone at the top). Así como implementar o reforzar los programas de sensibilización y entrenamiento personalizados; dependiendo de la función y nivel de acceso a los sistemas e información, incluyendo de manera explícita elementos relacionados con las amenazas internas.
Por último, es crucial usar la tecnología existente para monitorear el comportamiento en los sistemas e identificar comportamientos anómalos. El uso de machine learning y analítica avanzada puede contribuir en este sentido.
Fraudes por apropiación de cuentas
La apropiación de cuentas (ATO, por sus siglas en inglés) es la toma de control o “secuestro” de la cuenta de un cliente por parte de un cibercriminal. La forma de toma de control varía, ya que el cliente puede ser víctima de ataques de ingeniería social o de phishing; en los cuales se le induce a proporcionar información de sus credenciales de acceso a su banco o institución financiera. Entre enero y septiembre de 2021, se presentaron reclamaciones por parte de usuarios de la banca por más de MNX 653 millones por posible robo de identidad; sin embargo, muchas reclamaciones no procedieron, precisamente porque el cliente entregó voluntariamente su contraseña o usuario al tercero que ejecutó el fraude.
Ante estas circunstancias y la necesidad de satisfacer las expectativas de velocidad en el procesamiento de las operaciones, las instituciones bancarias necesitan reforzar las tecnologías; para utilizarlas en la detección del fraude transaccional derivado de la apropiación de cuentas; incluyendo protocolos de autenticación y acceso que involucren elementos adicionales de análisis como: el dispositivo utilizado y anomalías en su uso; información biométrica, donde sea posible; geolocalización; análisis de comportamioento transaccional, entre otros, antes de autorizar una transacción o conceder acceso.
Estos mecanismos deben incorporarse en los distintos canales que la institución ofrezca. Asimismo, la estrategia para la prevención de los fraudes por apropiación de cuentas debería ser parte de las iniciativas conjuntas de las tres líneas de defensa:
Operaciones, gestión de riesgos y auditoría interna.
Riesgos por terceros
Cada vez con mayor frecuencia se recurre a terceros para cumplir los objetivos de negocio. Los bancos no son la excepción, pues han adoptado infraestructuras en la nube; y han recurrido a terceros para la gestión tecnológica o mediante el envío de información sensible para su procesamiento o análisis.
Las organizaciones criminales están aprovechando esta circunstancia para vulnerar a los bancos e instituciones financieras a través de dichos terceros. Daños a la reputación, incumplimiento de regulaciones, disrupción en las operaciones o destrucción de información vital son algunos de los riesgos a partir de esta circunstancia.
Una encuesta de KPMG revela que 73% de los respondientes había sufrido alguna disrupción causada por un tercero proveedor de servicios; 28%, en el caso de instituciones financieras. En el mismo sector, 53% indicaba que no había suficiente conciencia en relación con la implementación de programas de riesgos de terceros en las instituciones financieras.
Acciones de mitigación
Con el fin de mitigar esta amenaza, el sector debe incorporar controles robustos asociados a terceros, como debida diligencia anticipada, análisis basado en riesgos, monitoreo continuo de terceros que realicen funciones críticas, entre otros. Asimismo, necesita contemplar estrategias para gestionar el riesgo cuartas partes (subcontratistas de los terceros) y la finalización de la relación contractual derivada de fallas en el cumplimiento de las obligaciones. En general, se recomienda establecer un programa para la gestión de riesgos de terceros.
Por su naturaleza, el sector financiero ha estado desde tiempo atrás sujeto a estrictas regulaciones para salvaguardar la información y los recursos de sus colaboradores, accionistas y clientes. Esto lo ha colocado en una posición de liderazgo en materia de prevención del crimen financiero; y al mismo tiempo, le ha obligado a mantener un proceso de constante mejora, a la altura de la evolución de los riesgos que enfrenta.
A partir del aumento en las transacciones digitales el sector financiero ha ido fortaleciendo las acciones preventivas, incluyendo la sensibilización de colaboradores y usuarios. Sin embargo, es importante que integre nuevas perspectivas e implemente las herramientas tecnológicas requeridas para afinar sus mecanismos de control a fin de superar la intensidad y sofisticación de los ataques; logrando así que la ciberseguridad sea el jugador de éxito en la industria, y no quede relegado a “la banca”.
►TAMBIÉN LEE►GEAPP y RELAC colaborarán en desarrollo de renovables en Latam