ESET advierte sobre los riesgos y amenazas a las que están expuestas las empresas financieras y los pasos que pueden tomar para contrarrestarlas.
Las empresas que operan en la industria de servicios financieros no están ajenas al hecho de que con frecuencia son blancos de diversas formas de delitos financieros y fraude. Sin embargo, el escenario ha ido cambiado con el paso del tiempo y los actores maliciosos han adaptado sus tácticas para adaptarse mejor al mundo digital. ESET advierte que ciberdelincuentes ahora utilizan diferentes modalidades de fraude y extorsión, además de atacar directamente a las empresas.
Según el último informe anual de IBM titulado Cost of a Data Breach Report, el costo promedio de una brecha de datos en el sector de servicios financieros fue de $5.85 millones de dólares en 2020, una cifra superior a la de $3.86 millones de dólares que manifestaron los encuestados del resto de los sectores económicos. Además, el sector financiero sigue siendo un blanco atractivo para los actores maliciosos, dada la cantidad y el tipo de información que recolectan de sus clientes. En caso de existir una filtración exitosa, los datos pueden ser utilizados por los atacantes para cometer fraude a través del robo de identidad o para ser comercializados en mercados de la Dark Web, lo que podría provocar un daño a la reputación para la entidad que fue comprometida y también daños financieros y a la reputación para los clientes afectados.
Según la edición 2020 del informe Data Breach Investigation Report que realizó Verizon, se estima que el 63% de los ataques que apuntan a las instituciones financieras son efectuados por actores externos motivados por la ganancia económica. En estos casos, las organizaciones pueden esperar que los cibercriminales lleven adelante ataques de credential stuffing, ataques de ingeniería social, fraude, ataques de denegación de servicio distribuido (DDoS) y de malware.
Las organizaciones de todos los tamaños tienen la necesidad de mejorar sus medidas de seguridad para mitigar las chances de ser víctimas de los ataques dirigidos. De hecho, una reciente encuesta de ESET a 10.000 consumidores y líderes de negocios en varias partes del mundo reveló que 45% de las empresas han experimentado una brecha de seguridad.
• El aspecto humano en la seguridad es clave. Los errores cometidos por los empleados pueden adoptar una variedad de formas: por ejemplo, pueden ser víctimas de phishing o ataques de ingeniería social más dirigidos, o pueden configurar mal un sistema. Los dos primeros errores son particularmente amenazantes si se considera el desplazamiento hacia el trabajo remoto impulsado por la pandemia. Dado que las empresas no estaban preparadas para la transición rápida e inesperada, se vieron obligadas a actuar de manera apresurada, lo que provocó que los trabajadores remotos recién incorporados no recibieran ninguna capacitación adicional en ciberseguridad.
Los atacantes podrían utilizar uno de los delitos en línea más dañinos desde el punto de vista financiero: la estafa conocida como Business Email Compromise (BEC). En este tipo de ataque, el ciberdelincuente apunta a su víctima comunicándose desde una cuenta de correo electrónico comprometida perteneciente a un miembro de la empresa (generalmente de mayor jerarquía) o a un miembro de una empresa con la cual se tiene una alianza comercial, solicitándoles que realicen una tarea legítima, como comprar y enviar artículos o transferir pagos. Sin embargo, en lugar de proporcionar datos de una dirección o cuenta bancaria legítima, el estafador agrega la suya propia, robando el dinero a la compañía. Alternativamente, las organizaciones apuntadas pueden recibir un correo electrónico fraudulento que contiene un enlace o un archivo adjunto que oculta malware, que en caso de ser descargado infectará la computadora e incluso puede llegar a extenderse por la red.
“Para mitigar las posibilidades de que ocurra cualquiera de estos escenarios, las empresas deben proporcionar una formación adecuada en ciberseguridad a sus empleados. Los programas de capacitación para enseñar a los empleados cómo detectar correos de phishing u otro tipo de ataque que utilice la ingeniería social deben realizarse de forma rutinaria. Además, una buena medida sería proporcionar periódicamente a los trabajadores consejos para el trabajo remoto seguro y protegido, así como orientación sobre cómo comunicarse utilizando herramientas de videoconferencia teniendo en cuenta la seguridad, o cómo proteger el acceso remoto a los sistemas de la empresa de una manera segura. Al tomar las medidas necesarias, las empresas podrán protegerse a sí mismas de sufrir daños monetarios o a la reputación en el futuro.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
• El factor técnico. La mayor parte de la defensa contra las ciberamenazas debe recaer sobre las soluciones técnicas implementadas a lo largo de toda la infraestructura del negocio. Toda empresa, sin importar su tamaño, debe tener un plan de continuidad del negocio en caso de que ocurra un ciberataque. Un plan adecuado siempre debe incluir copias de seguridad de los datos y, si el presupuesto lo permite, un backup de toda la infraestructura. Estas copias de seguridad pueden resultar útiles, especialmente si se produce un ataque de ransomware. Para que las copias de seguridad sean eficaces, deben actualizarse periódicamente y evaluarse con frecuencia para garantizar que funcionan correctamente.
En estos casos es preferible esperar lo mejor, pero planificar para lo peor. Todos los sistemas operativos y software deben ser actualizados y parcheados periódicamente. Si se contrata a un profesional o se tiene un departamento dedicado a la seguridad de la información, lo más probable es que ellos mismos administren estas actualizaciones o configuren sus sistemas de manera que se actualicen automáticamente a la última versión disponible. Lo mismo debe hacerse si los sistemas son administrados por terceras partes. Según la encuesta de ESET, el 28% de las empresas no están invirtiendo activamente en nuevas tecnologías para ayudar a proteger las finanzas o al menos no saben si lo están haciendo.
Los ataques de DDoS que tienen como objetivo interrumpir la capacidad de proporcionar servicios de las víctimas son otra de las amenazas con la que pueden tener que enfrentarse las empresas. Si una empresa se convierte en víctima de un ataque DDoS, sus sistemas se inundarán de solicitudes que superarán la capacidad de dar respuesta a los sitios web y los desconectará. Esto podría traducirse fácilmente en cientos de miles de dólares en ingresos perdidos para el negocio apuntado por los atacantes. Para reducir las posibilidades de que eso suceda, las empresas deben adquirir servicios de mitigación de DDoS, así como utilizar un proveedor de Internet que tenga suficiente ancho de banda, equipo y habilidades para manejar tales ataques y reducir la afluencia de tráfico malicioso.
“Mientras las organizaciones financieras sigan siendo blancos lucrativos para la mayoría de los cibercriminales, deberán continuar trabajando en mejorar sus defensas para mitigar la posibilidad de ser víctimas de las mayorías de las amenazas. Sin embargo, para construir mecanismos de defensas lo suficientemente fuertes las empresas necesitan tener un enfoque holístico y balanceado, que consiste en invertir tanto en capacitación para empleados como en soluciones tecnológicas adecuadas y planes de continuidad de negocios.”, concluyen Gutiérrez Amaya de ESET.