Llegamos a ustedes gracias a:



Conversando con...

Dmitry Bestuzhev, Kaspersky Lab América Latina

La ciberseguridad en los bancos

[16/05/2017] Sin duda, los bancos son de las instituciones que más ataques reciben de los cibercriminales, y por ello es fundamental conocer los riesgos y amenazas que tienen que enfrentar en su día a día.

Recientemente, estuvo en Lima Dmitry Bestuzhev, director de Investigación y Análisis para Kaspersky Lab en América Latina, y con él conversamos precisamente sobre las amenazas que deben enfrentar estas instituciones.

Los bancos invierten más en tecnología, ¿lo hacen porque tienen más problemas o porque son más conscientes de la seguridad?

Tenemos un fenómeno doble; por un lado, el número de ataques se incrementa, eso quiere decir que el interés de los criminales se incrementa, ellos invierten más en recursos. Entonces ahora a los bancos les cuesta más, tienen que destinar más activos para poder protegerse.

Por otro lado, algunos bancos están tomando conciencia de que la seguridad que se manejó por muchos años, en realidad ha quedado medieval. Por ejemplo, antes se creía que se tenía que trabajar en la protección del perímetro, como proteger el castillo, y todo esto en realidad ya no es verdad porque las infraestructuras que tenemos son híbridas, los celulares salen fuera del perímetro, igual las tabletas y las portátiles; es decir, no hay un perímetro, ya no existe.

Entonces había que cambiar este enfoque de la seguridad medieval hacia algo moderno y esto exige al inicio destinar más recursos económicos, tecnológicos y prepararse para lo que está pasando.

¿Esto implica que los bancos tienen que hacerse cargo de lo que está más allá de sus oficinas?

Si, por supuesto. Hay empleados remotos, hay agencias remotas, hay usuarios que no son ni empleados ni clientes, sino que son, por ejemplo, de la SBS o del BCR o de alguna entidad que debe tener conectividad con el banco. Esto realmente muestra la complejidad de una red informática actual. Y cada uno de estos puntos son potenciales blancos o vectores de ataque, y no es suficiente quedarse a pensar dentro del edificio del banco proteger la computadora conectada a la red del banco y creer que todo está seguro.

¿También tiene que hacerse responsable de sus clientes si es que estos hacen banca por web o por aplicación?

En parte. El banco es responsable de que el sitio web sea seguro, que la conexión desde el banco hasta la máquina sea segura; es decir, cifrada, no intervenida, que los datos que se envíen como la contraseña que no se envíen como texto plano sino cifrados. También el banco es responsable de que la aplicación móvil para el celular también sea segura, pero hay otro lado del problema.

El banco no puede responsabilizarse de la seguridad del equipo del cliente porque esto es personal, el banco no tiene control sobre él, y ahí es por lo general donde ocurren los problemas. Cuando hay ataques a los clientes éstos no se dan en la conexión del banco o el sitio web sino en el dispositivo del usuario.

Uno de los ataques que más se ven es el phishing, ¿hay formas de evitar que el cliente caiga en él?

Primero, me gustaría decir que nuestras estadísticas en Kaspersky Labs muestran que uno de cada 10 peruanos ha sufrido ataques de phishing en el primer trimestre del 2017. Esta es una tasa más alta de lo normal en comparación con otros países de América Latina, el único país que está por encima es Brasil, en América Latina. Eso quiere decir que el interés de los phishers en el dinero de los peruanos es alto.

Se puede reducir el riesgo y el trabajo, depende tanto del lado del cliente como del banco. Del lado del cliente se puede hacer algunas cosas, como tener un producto de antiphishing. Esto no es un antivirus, sino un producto específico que se encuentra dentro de la categoría de Internet Security; es decir, que brinda seguridad en Internet incluyendo el antiphishing.

Otra línea de defensa es usar un navegador moderno. Esto es importante, porque ellos pueden bloquear el phishing que es conocido por estos proveedores y reportan al navegador.

Cuando se habla de ataques ¿se busca información o dinero?

La respuesta depende del actor del ataque. Existen cuatro grupos de actores. El primero es el de los criminales cibernéticos, ellos están muy interesados en el dinero. El segundo grupo son los gobiernos, ellos hoy también producen ataques, no son masivos sino dirigidos, la víctima es seleccionada cuidadosamente, el gobierno no busca robar dinero sino información, y muchas veces esta información es de carácter confidencial; es decir, militar, científico o diplomático. El tercer grupo son los hacktivistas -es decir, los que protestan por una causa-, ellos buscan información, por lo general, de actos de corrupción y su pago es publicarlos en los medios de comunicación, crear un impacto en la sociedad. El cuarto grupo son los mercenarios cibernéticos, ellos trabajan para el mejor postor, pueden hacer cualquier trabajo para los otros tres grupos.

¿Y los bancos sufren pérdidas de dinero o de información?

Hasta ahora es el dinero, pero están enfrentando un fenómeno nuevo que comenzó en el 2014. Ya no se ataca solamente a los clientes de los bancos, ahora se ataca directamente a los bancos y el objetivo es robar los activos de los bancos, no de las cuentas de sus clientes. Y están robando ese dinero de varias formas, como las transferencias internacionales, utilizando el sistema SWIFT, a través de retiros masivos en cajeros automáticos en diferentes partes del mundo.

Esas pérdidas ya no son miles de dólares, sino que son millones de dólares, centenares de millones de dólares. Un banco en Bangladesh perdió en un día 80 millones de dólares, y otros bancos en Europa Occidental han perdido -con una campaña que duró varios meses- un total de mil millones de dólares.

¿Kaspersky en qué parte de la cadena interviene?

En muchas partes. Por un lado, nosotros protegemos a los usuarios; es decir, les ofrecemos productos de seguridad. Éstos se instalan en la computadora del usuario. Y, por otro lado, protegemos al propio banco, eso se puede hacer de muchas formas, podemos darle el tradicional antivirus o productos especiales. Hay uno que se llama KFP que se encarga de asegurar al banco en sus transacciones. Es una inversión que le permite cosas como que si la máquina del cliente está infectada pero el banco tiene KFP, éste no va a permitir al criminal robar el dinero, aunque el usuario no tenga ningún antivirus. También tenemos un servicio de reportes de inteligencia donde nosotros investigamos los ataques complejos a los bancos, y cuando un banco es nuestro cliente le entregamos estos reportes para que esté un paso adelante. Si un ataque sucede en un país, el cliente del banco del Perú recibe la información de modo que cuando los atacantes lleguen al Perú el banco ya estará preparado.

Estos reportes de inteligencia de amenazas es el presente y futuro para los bancos, me gustaría que los bancos pudieran considerar que es imprescindible contar con estos servicios para tener un conocimiento anticipado de los ataques y tomar medidas.