[02/06/2023] De acuerdo con un reciente informe de Fortinet, sólo en el 2022, el Perú recibió 15 mil millones de intentos de ciberataques, lo que representa un crecimiento de 35% con respecto al 2021. Por su parte, un informe de NordVPN sostiene que de seis millones de tarjetas de crédito y débito robadas que se encuentran en la web oscura, 14 mil son peruanas. Son cifras alarmantes ya que indican que el usuario de tecnología se encuentra bajo ataque, especialmente si es un usuario de una institución bancaria. ¿Por qué? Es el camino más directo al dinero.
Las instituciones financieras tienen que hacer frente a estas amenazas tomando en cuenta que hay dos frentes que proteger: sus clientes y ellas mismas. Sin embargo, hay más actores involucrados que bancos y clientes. Hay todo un ecosistema que también debe protegerse porque pueden servir de puente hacia el dinero de los clientes. La identidad y su seguridad pueden burlarse fuera del ámbito financiero, pero tener un impacto considerable dentro de él.
Kenneth Tovar Roca, country manager para Perú y Bolivia de Palo Alto Networks.
Los ataques
"Los clientes de Palo Alto Networks en el sector de servicios financieros sufrieron más ataques al correo electrónico empresarial, con casi uno de cada cinco casos ocurriendo en este sector. Los servicios financieros también encabezan el mayor ratio de amenazas internas (16% de nuestros casos) y en incidentes de exposición inadvertida (17%)”, señala Kenneth Tovar Roca, country manager para Perú y Bolivia de Palo Alto Networks.
Efectivamente, el sistema financiero es uno de los más atacados y para ellos los ciberdelincuentes se sirven de las técnicas de ingeniería social, ya que, contra lo que pudiese pensarse, los ataques no van dirigidos la mayoría de veces a los propios sistemas de los bancos -que, ciertamente, se encuentran muy bien protegidos- sino al eslabón más débil de la cadena de seguridad: las personas.
"Nosotros hemos analizado el tema de los ciberdelitos y hemos identificado [a las personas] como uno de los principales riesgos. Por ello debemos enfocarnos en la educación ya que, efectivamente, muchas veces nosotros andamos apurados y no nos preocupamos mucho de qué cosa es lo que está llegando a nuestros equipos”, indica Giovanni Pichling, gerente de Seguridad Estratégica de la Asociación de Bancos del Perú (Asbanc).
Y lo que llega a los equipos generalmente son correos que buscan insertar en el equipo del cliente un malware con el cual tomar el control del equipo, interceptar las contraseñas que utiliza, o recopilar toda la información posible de la persona para utilizar en algún ataque. O todo a la vez.
Pero no solo llegan a los equipos de los clientes, los ataques también van dirigidos a los trabajadores de las empresas financieras que pueden, con un clic en un enlace malicioso, dar acceso a los cibercriminales al interior de una entidad financiera. Como señala Tovar, demasiados robos digitales se atribuyen a amenazas internas de empleados actuales o excolaboradores recientes, y aún más debido a errores ingenuos y fallas de juicio por parte del personal. Los actores de amenazas emplean sofisticados métodos de ingeniería social para explotar este factor humano, así como eslabones débiles en las relaciones digitales que las empresas de servicios financieros pueden tener con socios, proveedores o sus propios clientes.
"La mayoría de los delincuentes cibernéticos están muy enfocados al público que en general no tiene mayor formación y que podría en un momento descuido ser engañado inclusive a que abra un correo, haga clic y ejecute algún tipo de aplicación”, explica Carlos Torres, catedrático de la Universidad de Lima.
A eso hay que añadirle, además, amenazas externas como ataques de malware, ransomware y ataques DDoS. Este tipo de ataques están dirigidos tanto a las instituciones financieras como a sus clientes, con el objetivo de robar información confidencial, dinero o interrumpir el adecuado funcionamiento de los servicios financieros.
Giovanni Pichling, gerente de Seguridad Estratégica de la Asociación de Bancos del Perú (Asbanc).
El tema ha cobrado mayor relevancia en estos últimos años precisamente porque la población, en general, se ha volcado hacia las herramientas tecnológicas para realizar sus transacciones bancarias. La pandemia hizo casi obligatorio el manejo de herramientas digitales para sus transacciones cotidianas; además, fue el momento en el que surgieron y fueron plenamente adoptadas soluciones de pago -como Yape o PLIN- que hicieron que incluso los sectores que antes no se encontraban incorporados a las transacciones digitales se sumaran al mar de potenciales víctimas de los ciberdelincuentes. De hecho, los ataques aumentaron con la pandemia.
"En la pandemia tuvimos que digitalizarnos por necesidad, entonces, todas las personas que eran muy reacias a realizar una transacción electrónica, de pronto se encontraron con Yape, PLIN, con aplicaciones para transferencias, micropagos, se tenían que conectar”, explica Torres.
Es más, de acuerdo con Palo Alto, la aparición de la pandemia de COVID-19 causó un aumento del 238% en los ciberataques dirigidos a los bancos.
Todos estos casos, que se basan en técnicas de ingeniería social o en ciberataques directos a las entidades, ahora también son acompañados por técnicas que no necesariamente se basan en la tecnología, pero que impactan también en la ciberseguridad: los robos de identidad.
"Hay que hacer conscientes de que la seguridad es un tema de responsabilidad compartida. Porque las entidades financieras utilizan y ponen a disposición su información, sus sistemas y los canales, pero hay otras instituciones que también participan en una transacción, por ejemplo, las empresas de telecomunicación, la entidad que provee la validez de un documento o dato”, refiere Pichling.
El robo de identidad es una amenaza muy potente que está afectando a la seguridad bancaria ya que permite que personas que no tienen una relación comercial con un banco, repentinamente, sí la tienen. En este caso, la amenaza radica en la poca seguridad con la que se manejan los datos en el país. De hecho, como sostuvo Pichling, hay otras entidades que manejan información sobre los clientes de un banco, y que también pueden ser objeto de ataques o de filtración interna de la información. Este también es un problema por combatir.
Es más, al robo de identidad tal y como lo conocemos, ahora se añade las identidades sintéticas.
"Una amenaza creciente es la creación y uso de las identidades sintéticas por parte de delincuentes para establecer relaciones con instituciones financieras en la que los estafadores crean una nueva "persona” a partir de fragmentos de componentes de identificaciones”, señala Eduardo Pérez, jefe regional de Riesgo para Visa América Latina y El Caribe.
La contraofensiva
¿Cómo hacer frente a tantas y nuevas amenazas? Es necesario un enfoque muy amplio, que abarque todos los tipos de amenazas que se están produciendo en el campo de las finanzas digitales.
Eduardo Pérez, jefe regional de Riesgo para Visa América Latina y El Caribe.
Por ejemplo, en el caso de Visa, los avances de la autenticación de última generación en protección de los usuarios, como la tokenización EMV y EMV 3D Secure (EMV 3DS), están contribuyendo a la seguridad del comercio electrónico global en tiempo real. Estas soluciones y métodos de pago digitales como las tarjetas virtuales también seguirán haciendo que sea más fácil y seguro hacer todo tipo de transacción.
Además, anota Pérez, la compañía cuenta con un conjunto cada vez mayor de servicios de seguridad que los clientes o socios pueden implementar según sea necesario. La estrategia de Visa se centra en cuatro áreas clave: ciberseguridad de vanguardia para combatir a delincuentes cada vez más sofisticados; inteligencia artificial y análisis de datos avanzado para reducir el fraude y prevenirlo incluso antes de que ocurra; protección 360° de consumidores, empresas y todo el ecosistema de pagos; y el fomento del acceso universal al movimiento seguro de dinero y a los beneficios inherentes a la marca Visa.
"Con una inversión de 500 millones de dólares en inteligencia artificial e infraestructura de datos, por ejemplo, Visa puede impulsar más de 60 capacidades diferentes de inteligencia artificial que pueden automatizar gran parte del trabajo pesado en la detección del fraude, una tarea que requiere bastante tiempo y que muchos clientes hacen manualmente en la actualidad”, detalla Pérez.
Por otro lado, también se puede utilizar herramientas como el análisis automatizado de amenazas de seguridad que proporciona la nube. Por ejemplo, la Unidad de Investigación e Inteligencia de Amenazas de Palo Alto Networks, Unit 42, permite que sus clientes y su fuerza de trabajo remota pueden tener una experiencia de usuario más segura con Prisma Access, que ayuda a las organizaciones a ofrecer una seguridad consistente a sus redes remotas y usuarios móviles, comenta Tovar.
Pero dado que el eslabón más débil es la persona, es necesario prestar gran atención a sus necesidades.
"Entonces, ¿hacia dónde estamos orientados? Hacia el tema de la educación. Es muy importante para nosotros tener capacitado tanto al personal que trabaja con los sistemas y los mecanismos de acceso en las instituciones financieras como a los clientes”, sostiene Pichling.
En el caso específico del personal que trabaja para las entidades financieras, la Asbanc ha contactado con una empresa de Israel -que estuvo hace unas semanas en Perú- para comenzar la concientización y capacitación a los diferentes niveles de las organizaciones financieras; es decir, el nivel estratégico, el nivel táctico y el nivel operativo. Ya han tenido seis sesiones e incluso han realizado un simulacro de ciberataque donde los participantes han recibido directamente de un especialista de Israel las recomendaciones para saber cómo actuar cuando se presentan una amenaza.
En el caso de los clientes, todas las entidades financieras tienen un programa de capacitación y difusión de mecanismos para poder contactarse con la entidad; todas indican que no hay que seguir los enlaces que llegan desde una cuenta dudosa y se encuentran, permanentemente, ofreciendo esta recomendación; pero también están desarrollando campañas educativas para la inclusión financiera, especialmente en provincias.
Inclusive, Asbanc ha establecido acuerdos con el gobierno regional de Cajamarca y con el gobierno regional de Arequipa y Lima para llegar a los colegios, con un programa que se llama 'Finanzas en mi colegio' que contiene temas de educación financiera y de seguridad para que puedan desarrollar sus actividades con seguridad, como deben hacerse.
Carlos Torres, catedrático de la Universidad de Lima.
También están desarrollando -a través de una empresa especializada en medios de México- material educativo, que está a disposición del público, llamado 'Finanzas al toque', además de campañas que está relacionadas con la ciberseguridad, y los temas de phishing y smishing.
Además, ya que la ciberdelincuencia es internacional, también es necesario combatir de manera conjunta a este flagelo junto con otros países.
"El cibercrimen, no es un tema solamente local, es regional y en algunos casos global; y para poder combatirlo eficientemente, lo que necesitamos son mecanismos de compartir información”, explica Pichling.
Asbanc tiene implementado dos sistemas automatizados, uno se usa para el intercambio de información sobre malware. El otro es una plataforma digital que le permite compartir información de estos riesgos en línea, así rápidamente se puede saber qué es lo que está ocurriendo en el país. Junto a esto se han implemente servicios de monitoreo permanente de riesgos informáticos. Este monitoreo lo desarrolla cada entidad de dos formas, lo hacen con infraestructura propia o también a través de servicios tercerizados.
Y esto ¿con quién se comparte? Se comparte en tres ámbitos. El primero de ellos es el ámbito local donde están integradas todas las entidades financieras nacionales a través de la Asociación de Bancos. El segundo grupo es el de la Red Iberoamericana de Ciberseguridad y Ciberdefensa; esta red incluye a los países de la Alianza del Pacífico, vale decir México, Colombia, Perú y Chile, más España.
En este grupo específicamente se realizan reuniones periódicas donde se comparten seminarios, talleres y charlas de ciberseguridad y donde participan los representantes de más alto nivel en ciberseguridad de cada país. Así, los países se enteran de qué es lo que ocurre en cada uno de los otros participantes y de las buenas prácticas; es decir, qué es lo que implementa cada país para poder contrarrestar las amenazas.
El tercer ámbito es el de la Federación Latinoamericana de Bancos. Pichling preside el Comité de Expertos Latinoamericanos en Seguridad, que es el Celades, y en este foro -que es ya regional- se analizan todas las modalidades de troyanos, phishing, spoofing, suplantación de identidad, etcétera; se recaban las buenas prácticas para implementar las medidas de seguridad en la región.
Además, se cuenta con normas que regulan las actividades de ciberseguridad y de la gestión de riesgos y seguridad de la información dictadas por los órganos de supervisión, que en el caso del Perú es la Superintendencia de Banca y Seguros (SBS), a quienes contactamos para este informe, pero no obtuvimos respuesta. Y ¿cómo es que se materializa todas estas iniciativas? A través del Comité Estratégico de Gestión Integral de Riesgo de Seguridad. Este comité regula y coordina las actividades de todos los comités relacionados con seguridad de las entidades financieras, donde destaca el Comité de Ciberseguridad; ahí, en ese comité, se definen encargos y grupos de trabajo para poder analizar los casos de eventos o incidentes que sean significativos, se analizan entre todas las instituciones y se lanzan recomendaciones y planes de acción que luego son desplegados en las entidades financieras.
Los otros actores
Los bancos y las firmas dedicadas a la ciberseguridad no son los únicos actores en esta problemática. Parte del combate a la ciberdelincuencia se tiene que dar con la participación de entidades como el Ministerio Público (Fiscalía) y la Policía, y por ello estas instituciones también son partícipes de las acciones que se vienen desarrollando de forma conjunta. Por ello, existe una mesa que se llama 'Mesa de Confianza Digital' generada por la Presidencia del Consejo de Ministros, donde participan todas las entidades antes mencionadas y otras más, como el Osiptel.
Y es precisamente esta mesa en la que se plantean las modernizaciones a la actual legislación para hacerla más acorde con las nuevas amenazas que van surgiendo en el día a día.
"La intervención de los reguladores es muy importante para intentar frenar el daño. Los reguladores a nivel estatal, federal e internacional han respondido al crecimiento de los ataques cibernéticos de servicios financieros mediante la implementación de nuevas reglas para las instituciones de servicios financieros que supervisan”, señala Tovar.
La ciberdelincuencia aún tiene armas por explorar. De la misma forma en que las instituciones comienzan a defenderse mediante el uso de herramientas con inteligencia artificial, los ciberdelincuentes pueden hacer lo mismo. Es una batalla sin fin en la que hay que recurrir a cada vez más herramientas nuevas, pero sin descuidar lo ya aprendido.
Jose Antonio Trujillo, CIO Perú