Por: Tom Kellermann, jefe de Estrategia de Ciberseguridad, Unidad Comercial de Seguridad de VMware,
Los ataques modernos de bancos se han convertido durante el año pasado en una situación de rehenes. El nuevo objetivo de los atacantes es ahora secuestrar la infraestructura digital de una institución financiera y aprovechar esa infraestructura contra los componentes de un banco. Cuando el mundo pasó en medio de la pandemia hacia una fuerza laboral situada en cualquier lugar, fuimos testigos de cómo la evolución de la estrategia de los atacantes se volvió mucho más destructiva y compleja que nunca.
En el cuarto informe anual Modern Bank Heists (Ataques bancarios modernos), entrevistamos a 126 CISOs, representantes de algunas de las instituciones financieras más grandes del mundo, con respecto a sus experiencias con campañas de ciberdelincuencia. Dada la naturaleza de su negocio, el sector financiero ha establecido sólidas posturas de seguridad y prácticas de prevención de fraudes. Sin embargo, se enfrentan a una avalancha de conspiraciones avanzadas para el delito informático. Los ataques contra instituciones financieras se triplicaron con creces el año pasado. Esta cruda realidad se puede atribuir a la naturaleza organizada de los cárteles del ciberdelito y al espectacular aumento de ciberataques complejos. El objetivo del informe de este año era comprender cómo la ofensiva debería informar a la defensiva del sector financiero.
A continuación, una descripción general de algunas conclusiones clave:
• De ataques a rehenes: El 38%* de las instituciones financieras experimentó un aumento en el island hopping, lo que convirtió los atracos en una situación de rehenes. Los cárteles del ciberdelito conocen las interdependencias del sector y reconocen que pueden secuestrar la transformación digital de la institución financiera para atacar a sus clientes. Utilizan la confianza de la marca (a menudo una confianza que se ha forjado durante cientos de años) contra los componentes del banco cuando se apoderan de sus activos. *Nota: Esto excluye SolarWinds.
• Aumento de la tensión geopolítica y contra IR que desencadenan ataques destructivos: Ha habido un aumento del 118% en los ataques destructivos a medida que vemos que la tensión geopolítica se desarrolla en el ciberespacio. Rusia, China y el underground en Estados Unidos plantearon la mayor preocupación para las instituciones financieras. También vale la pena señalar que los ciberdelincuentes en el sector financiero generalmente solo aprovecharán los ataques destructivos como una escalada para quemar la evidencia como parte de una respuesta contra incidentes.
• La digitalización del uso de información privilegiada: El 51% de las instituciones financieras experimentó ataques dirigidos a estrategias de mercado. Esto permite la digitalización del uso de información privilegiada y la capacidad de dirigir el mercado, lo que se alinea con las estrategias de espionaje económico.
• Los ciberdelincuentes lanzan ataques Chronos: El 41% de las instituciones financieras observó la manipulación de las marcas de tiempo. Esto está ocurriendo en un sector que depende en gran medida del tiempo, dada la naturaleza de su negocio. Debido a que no hay forma de aislar la integridad del tiempo, una vez implementado con una marca de tiempo, este ataque de Chronos es muy pernicioso.
A medida que evoluciona el panorama de las amenazas, también lo harán las tácticas, técnicas y procedimientos de los consorcios del ciberdelito, como se ve en las conclusiones anteriores.
Estos grupos se han convertido en recursos nacionales para los estados-naciones que les ofrecen protección y poder. Paralelamente a esto, hemos visto a grupos criminales tradicionales digitalizarse durante el año pasado, ya que la pandemia les impidió actuar como de costumbre. Esto ha popularizado la industria de servicios proporcionada por la web oscura, ha aumentado la colaboración entre los grupos del ciberdelito y asegurado que los cárteles cibernéticos sean ahora más poderosos que sus homólogos tradicionales del crimen organizado.
¿Cómo debe entonces responder la industria financiera? Para comenzar, he aquí algunas estrategias para los equipos de seguridad:
• Lleve a cabo semanalmente tareas de búsqueda de amenazas y normalícelo como mejor práctica para alimentar la inteligencia contra amenazas. Nos agradó escuchar decir a los CISOs con los que hablamos de que el 48% ya realizan búsquedas semanales de amenazas.
• Integre la detección y respuesta de su red con sus plataformas de protección de terminales.
• Aplique una administración “justo a tiempo”.
• Implemente la seguridad de cargas de trabajo.
Las reglas han cambiado y también debe hacerlo la estrategia de seguridad del sector financiero. La seguridad y la estabilidad sólo podrán mantenerse con el empoderamiento del CISO. 2021 debe ser el año en que los CISOs reporten directamente al CEO y reciban una mayor autoridad y recursos.
Bob Parisi, jefe de Cibersoluciones – Norteamérica, Munich Re, se hizo eco de la importancia que tiene elevar la función del CISO ante el aumento de los ciberataques: “Las conclusiones del informe en cuanto al mayor nivel de ataques destructivos y de island hopping demuestran claramente que las instituciones financieras siguen estando en la mira. La recomendación de VMware de elevar a los CISOs al nivel C está de acuerdo con el hecho de que el riesgo cibernético es un riesgo operativo que necesita manejarse en todo un espectro de tecnología, proceso y personas, incluso con el uso de instrumentos financieros como la seguridad cibernética.”
Ya no se trata de si va a ocurrir, sino de cuándo ocurrirá «el próximo SolarWinds”. Como resultado, la ciberseguridad debe verse como una funcionalidad del negocio contra un gasto. La confianza en la seguridad y solidez del sector financiero dependerá de ello.
Para saber más, baje el informe completo.