Ciberseguridad en la Banca

“Un instrumento necesario parar evitar la desestabilización financiera de un país”

La evolución y desarrollo de la economía y de la sociedad digital ha hecho evolucionar el concepto de seguridad hacia un nuevo concepto: la “ciberseguridad”,  entendiendo ésta como el conjunto de medidas técnicas,  políticas y organizativas adoptadas  por las naciones para proteger los activos de información crítica distribuidos en sus infraestructuras con el fin de controlar los ataques y amenazas cibernéticos y su impacto en la operación del Estado.

Dentro del ámbito económico de cualquier  estado, el sistema financiero es un importantísimo eje estructural y  la banca y los medios de pago un sector clave,  no sólo para la confianza de los usuarios en el sistema financiero  sino como medida  para preservar la Seguridad Nacional de un Estado.

Por ello, tal y como ya adelante en mi anterior post, De la Seguridad a la Ciberseguridad, el tema que quiero tratar hoy es esta evolución de la Seguridad hacia la Ciberseguridad  aplicada al entorno financiero y de los medios de pago y confío en que este tema resulte de interés para el lector.
La razón de elegir este tema viene determinada por un hecho conocido por todos y es que es sabido que en los últimos años, el sector bancario se ha convertido en la diana de un gran número de los ciberataques globales. Algunos de ellos publicados y difundidos por la prensa y otros muchos silenciados por las propias entidades financieras para preservar la confianza de sus clientes, evitar la pérdida de negocio o situaciones de pánico.
Es obvio que caminamos hacia la consolidación de una sociedad y economía digitales, en la que la Banca, Entidades financieras y empresas de Medios de Pago han tenido que adaptar sus procesos de negocio hacia un entorno cada vez más digital. Cada día un mayor número de clientes somos usuarios de la banca electrónica, realizamos transacciones por internet o pagamos a través de nuestros teléfonos móviles.  Esta adaptación, cuando no reconversión, de los procesos bancarios para aprovechar las ventajas de las tecnologías digitales, tiene como contrapartida  la aparición de nuevos riesgos que debemos prevenir con el fin mitigar los posibles ataques  y situaciones de   fraude a los que está expuesta, actualmente, la Banca digital y sus usuarios.
Es conveniente evitar caer en la desconfianza o el pánico y recordar que aunque hoy las nuevas vías de comunicación digital obligan tanto a la Banca como a sus usuarios a adoptar medidas para evitar los riesgos inherentes al entorno digital, muchos de esos riesgos ya estaban ahí cuando utilizábamos los canales tradicionales.
Pensemos por ejemplo en el número de personas que  han sido  víctimas de un atraco en el momento de retirar  dinero de un cajero o tras sacar fondos de la caja de una sucursal bancaria.
Si en nuestras viejas acciones físicas, veníamos aplicando y observando ciertas medidas de prevención para evitar ciertos riesgos; en nuestras acciones digitales debemos, igualmente, aprender a identificar los nuevos riesgos y adoptar las medidas necesarias para no convertirnos en víctimas de los ciberdelincuentes.
Tenemos que ser conscientes de que la gestión de la seguridad en el ámbito financiero digital, no es algo unilateral y privativo de la banca, si no bilateral y que  los usuarios de la banca digital estamos obligados a conocer e identificar los riesgos y amenazas inherentes a este nuevo canal.
La mayor parte de los ciberataques producidos en el ámbito financiero digital radican en:
MALWARE: Dentro de esta categoría están incluidos los virus, gusanos y el spam.  Algunos de ellos como  STUXNET, FLAME, ANOYMOS o CONFICKER  se han cobrado un gran número de víctimas en el ámbito financiero.
DoS (Ataques de denegación de servicio: Estos bloquean el acceso de los usuarios y producen una pérdida de la conectividad, que es aprovechada por los ciberdelincuentes para hacerse con el control del dispositivo y sustraer información. Alguno de ellos como el OCTUBRE ROJO, han llegado a generar estragos.
-SUPLANTACION DE LA IDENTIDAD: La mayor parte de las estafas por suplantación de la identidad se realizan por medio de falsos correos o falsas llamadas. En este caso, el delincuente se hará pasar por tu banco para conseguir ciertos datos para robarte el dinero. Algunos métodos como: el Phishing, Spoofing, Vishing o Smishing son los más habituales.
Una vez que los ciberdelincuentes tienen acceso a los datos bancarios de la víctima, harán uso fraudulento de los mismos, utilizando los datos de las tarjetas bancarias para realizar compras en la red. Por ejemplo, adquiriendo Bitcoins para convertirlos en dinero convencional.
El 30% de los europeos, confiesa haber sido víctima de suplantación de la identidad, siendo el origen de la estafa un correo electrónico.
En España, un 18% de los españoles confiesa haber sido víctima de un robo por suplantación de identidad, generando, en el 37% de los casos, la extracción de dinero de su cuenta bancaria.
España es uno de los  países que recibe mayor número de ciberataques, por detrás de USA y UK.

Ciberseguridad financiera vs Seguridad Nacional

Las entidades financieras son perfectamente conscientes de que la gestión de la ciberseguridad en la banca y en los medios de pago no es un capítulo más a gestionar, y que es preciso dotarla de los recursos y medios necesarios de seguridad, ya que son parte integrante de las infraestructuras críticas de un país y de la  Seguridad Nacional del país.
En el sector financiero, un ciberataque orquestado a gran escala, no solo podría llegar a desestabilizar el mercado financiero sino que podría poner en jaque la Seguridad Nacional de un país.
Por esta razón, las entidades financieras de los países avanzados, como ocurre en España, cuentan con planes proactivos para gestionar los riesgos y  prevenir  los ciberataques,  así como con  medidas orientadas a mitigar el  posible  impacto,  en caso de producirse.
Las políticas y medidas establecidas, por las entidades financieras, en materia de ciberseguridad, además prevenir posibles pérdidas económicas, contribuyen a mejorar su imagen y su credibilidad institucional e incrementar la confianza de sus clientes/usuarios.
Sin embargo, conseguir unos buenos resultados en materia de  prevención de la ciberdelincuencia en el ámbito financiero, requiere la colaboración de los Bancos con los Organismos de Seguridad Nacional de los  países, por cuanto  la mayoría de los ataques o intentos de ataques  dirigidos actualmente  a  los sistemas financieros,  no son obra de hackers aislados sino que  responden, en la mayoría de los casos a la actuación de bandas organizadas de ciberdelincuentes, cuyo objetivo es  obtener un beneficio  tangible, en términos económicos o  tener  acceso a  información crítica y sensible, bien  para planificar nuevos ataques o para  vender dicha información a terceros.

¿Cómo fortalecer la ciberseguridad bancaria?

Podemos afirmar que la banca mundial en general y la española en particular, están demostrando su compromiso en el desarrollo de estrategias y acciones de control de seguridad para preservar sus activos y proteger al sistema.
Las entidades financieras, están comprometidas con las marcas franquiciadoras de los medios de Pago (VISA, MASTERCARD…) a implantar robustos sistemas criptográficos (HSMs- Hardware Security Module) para proteger las transacciones bancarias realizadas por sus clientes y proporcionarles así, un entorno seguro en el que operar.
Sobre este tema ya  traté  en uno de mis anteriores post, el que podéis leer en el siguiente ENLACE .
Desde el año 2007 hasta hoy, los métodos de pago han evolucionado hacía los servicios de pago emergentes: internet y dispositivos móviles.
La Banca ha ido adoptando medidas orientadas a mitigar el fraude y es en este nuevo escenario donde encontramos por ejemplo la implantación de sistemas para la geolocalización de los clientes que operan en la banca a través de Internet, reconocimiento de los patrones de navegación on- line de sus clientes, alertas por sms a los dispositivos móviles de los clientes cuando éstos realizan operaciones etc. Todo lo que evidencia el compromiso de la banca en la lucha contra la ciberdelincuencia.
A estas medidas adoptadas por la Banca se ha sumado el Parlamento Europeo, aprobando en Octubre de 2015, una nueva “Normativa Europea de Pagos Electrónicos”.
Esta nueva normativa, en el ámbito de los medios de pago, permite el desarrollo de  nuevas tecnologías de seguridad, autenticación y protección de datos y obliga a los operadores a disponer de  los medios necesarios para verificar la identidad de los titulares y  adoptar las medidas necesarias para evitar situaciones de fraude.
Estas medidas de lucha contra la ciberdelincuencia quizás no logren erradicar los ciberdelitos ni las prácticas fraudulentas pero contribuirán a la prevención contra muchas amenazas a las que las entidades financieras y los usuarios digitales, estamos hoy expuestos.{:}{:en}Regarding the post I already shared from REALSEC CEO, «From Security to Cybersecurity», I want to share this new post today, where a step further is made, and tells us about the importance of cybersecurity in financial environments. I believe it is a very interesting post.
«An essential instrument to prevent financial destabilization of a country»

Sin comentarios

Envia un comentario

Comment
Nombre
Email
Sitio Web