Sistema financiero: preso de un billonario negocio sin responsables
La guerra inútil contra la cíber inseguridad – III Parte
Ulises Ladislao
De acuerdo con Norton Cyber Security Insights Report, este año se estiman pérdidas por cíber ataques hasta por 2 billones (millones de millones) de dólares a escala global. Y según los datos disponibles, los consumidores afectados en el mundo por el cíber delito en 2017 alcanzaron 978 millones, de los cuales 33 millones fueron mexicanos, 50% más que en 2016.
Cuando empresas, organismos, entidades gubernamentales y usuarios piden ayuda contra los ciber ataques que los acosan sobremanera todos los días, decenas de firmas dedicadas a la ciber seguridad alzan la mano y hasta se empujan para apoderarse de los contratos; pero cuando a pesar de los billonarios gastos los ataques resultan perniciosos, nadie asume la responsabilidad, no faltan los pretextos, se oculta información y todos se quedan mudos y voltean para otro lado.
En México todavía no se tiene una cultura de transparencia ni la documentación para advertir los daños acerca de brechas de datos o las pérdidas de información sufridas por acción del cíber crimen organizado. Peor aún, existe bastante evidencia de que hay muchísimos ataques exitosos que no son reportados.
El sector financiero en particular, a partir de los intensos procesos de transformación digital que vive en la actualidad, afronta grandes retos estructurales, uno de ellos gestionar airosamente estos riesgos.
La cíber seguridad representa un aspecto crítico para las instituciones financieras, las cuales a la par de su modernización han adquirido la obligación de estar preparadas para salir indemnes de los ataques sin precedentes que se suscitan hoy día desde la red, que no sólo pretenden robar sus recursos económicos, los de clientes, socios y asociados, sino también información personal de estos últimos para cometer fraudes.
Nadie sabe, nadie supo
La situación actual por la que atraviesa el sistema financiero nacional lo ilustra perfectamente el hackeo al Sistema de Pagos Electrónicos Interbancarios (SPEI), que estalló en abril de 2018. La embestida cíber criminal aprovechó la vulnerabilidad de algunos servidores que reciben las órdenes de pago de los clientes y las preparan para ser enviadas al SPEI.
Cuarenta y seis instituciones de las 100 conectadas al SPEI tuvieron que operar en una plataforma contingente para retrasar las órdenes de pago, evitar que continuaran las transferencias fraudulentas y seguir ofreciendo sus servicios. Aun así, gran cantidad de transferencias por Internet de usuarios convencionales sufrieron serios retrasos.
Tras 18 meses de ocurrido el acontecimiento, nadie ha explicado en detalle qué sucedió ni a cuánto ascendieron los perjuicios sufridos por ese cíber ataque, aunque se ha mencionado que los hackers sustrajeron al menos $300 millones de pesos mediante la inyección de órdenes de transferencia apócrifas, realizadas desde cuentas falsas y utilizando un código malicioso.
Al cabo, minutos más tarde de concretado el cíber ataque, quienes lo efectuaron retiraron el dinero hurtado, logrando uno de los robos digitales más sofisticados que se hayan visto. El Banco de México refirió que tres bancos, una casa de bolsa y una institución de ahorro personal resultaron afectadas por las transferencias no autorizadas.
Hacktivismo político
Al ser cada vez más organizadas, frecuentes, disruptivas y con mayor alcance, las amenazas cibernéticas representan un riesgo creciente para la estabilidad de los sistemas financieros mundiales. La motivación no tiene razones puramente económicas (74% de los casos), sino se trasladan hacía el hacktivismo de propósitos políticos y hasta los desafíos que se autoimponen los propios hackers.
Sin duda las instituciones del área de finanzas son de las más asediadas por este tipo de asaltos, que conllevan afectaciones económicas, repercusiones negativas a su imagen y pérdida de clientes.
La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), informó que entre el tercer trimestre de 2016 y el mismo cuarto de 2017 se suscitaron 2.5 millones de fraudes cibernéticos, 102% más que un año antes, cuyo monto ascendió a $4 mil 331 millones de pesos y el cual las instituciones financieras debieron bonificar.
Luego de establecer leyes, reglas y reglamentos más estrictos, lejos de aminorar, el problema está en pleno ascenso. La Condusef detalló que tan sólo en los primeros tres meses de 2018, los fraudes cibernéticos sumaban ya 1 millón 40 mil 910 –250% más de los que se contabilizaron a todo lo largo de 2016–, los cuales generaron pérdidas por $2 mil 340 millones de pesos, un crecimiento de 63% respecto al periodo similar de 2017. Más aún, los fraudes originados en el comercio electrónico por la vía de tarjetas de crédito y débito ocupan 49% de total de las reclamaciones en el sector bancario nacional.
De hecho, los cibernéticos se están convirtiendo cada día más en la modalidad de fraudes favoritos de los cíber criminales, al representan el 61% del total de este tipo de delitos.
Mucho rudo, muy escasas nueces
La Organización de Estados Americanos (OEA), a través del “Programa de Ciberseguridad” del Comité Inter-Americano contra el Terrorismo (CICTE), ha realizado un análisis de la situación en cíber seguridad de México, con el cual contribuyó al lanzamiento de la Estrategia Nacional de Ciberseguridad (ENC), en 2017.
En el estudio el “Estado de la Ciberseguridad en el Sistema Financiero Mexicano”, aporte de la Secretaría General de la OEA y la Comisión Nacional Bancaria y de Valores (CNBV), que se produjo a partir de una base de datos compuesta por 240 entidades participantes del Sistema Financiero Mexicano, Luis Almagro, Secretario General de la OEA, admite: “Cada día un mayor número de clientes del sector financiero usan medios no presenciales para realizar sus trámites, efectuar transacciones por Internet o pagos a través de dispositivos móviles”.
De acuerdo con el funcionario, la adaptación a innovadores modelos de negocio y la explotación de canales digitales, pretenden aprovechar las ventajas de las tecnologías, lo cual “tiene como contrapartida la aparición de nuevos riesgos que se deben prevenir con el fin de mitigar los posibles ataques y situaciones de fraude a los que está expuesto actualmente el sector y, por supuesto, sus usuarios”.
Al respecto, Adalberto Palma Gómez, presidente de la CNBV, apunta como elemento fundamental realizar “esfuerzos para promover un sistema financiero más preparado y resiliente ante ciberataques”. Por ello, la institución que él preside “trabaja continuamente en la actualización de requerimientos normativos aplicables a las entidades supervisadas, en la mejora de las políticas, controles, procesos y cultura de ciberseguridad, además de la supervisión en materia de seguridad de la información”.
Lo cierto es, sin embargo, que se escucha mucho ruido pero se cosechan muy poquitas nueces. A pesar del reconocimiento oficial de los riesgos a que está expuesto el sector, las adecuaciones a legislaciones y reglamentos, la toma de conciencia de las propias entidades, los cuantiosos recursos invertidos y el avance tecnológico alcanzado, la industria financiera se encuentra entre los segmentos más atacados, y tal vez más vulnerables, en tanto los costos de tales afectaciones van en constante aumento.
Cantando las cíber rancheras
En este ámbito de indefensión generalizada, el factor humano se reconoce como el eslabón más débil de esta infausta secuencia. De acuerdo con datos de la OEA, en Estados Unidos –donde no escasean los recursos tecnológicos y financieros ni las voluntades para encarar el fenómeno–, el 64% de las organizaciones declara haber sufrido eventos de phishing y sentirse vulnerable en ambientes de reciente proliferación, como la Nube y el Internet de las Cosas (IoT, por sus siglas en inglés), ante las crecientes amenazas, particularmente el ransomware.
En México, donde no es posible que se canten mal las rancheras en el tema, los últimos dos años han sido prolíficos de escandalosos sucesos que han trastocado la percepción de la confianza en la cíber seguridad que las entidades financieras ofrecen a los clientes. Y es que de tiempo en tiempo trasciende que sufren ataques a las infraestructuras de pagos y cajeros automáticos, que han representado pérdidas por sumas altamente significativas.
La encuesta conjunta de la OEA y la CNBV arrojó que el tipo de eventos que se presentan con mayor frecuencia contra la seguridad digital de los clientes de los servicios financieros son: phishing, software espía (que incluye malware o troyanos) e ingeniería social.
En otra esquina de la mesa, el informe expone que el 56% de las instituciones financieras en México recibió acosos a través de la intrusión de códigos maliciosos o malware; en tanto, el 47% declaró que los ciber criminales utilizaron el phishing para ingresar a sus sistemas; asimismo, un tercio anotó al denominado clear desk como la estrategia principal de los criminales para violar sus políticas de escritorio limpio.
Millones inútiles
De acuerdo con el estudio de la OEA y la CNBV, las instituciones financieras participantes en su análisis tienen un total de activos cercanos a los $682 mil 398 millones de dólares, aproximadamente un 87% del total de activos de los sectores analizados, y acumulan utilidades netas por $7 mil 150 millones de dólares, al 31 de diciembre de 2018.
Y no obstante de manejar esa mil millonaria cantidad de billetes verdes, entre el 75 y el 85 por ciento de las entidades financieras del país centran sus capacidades de detección y análisis de eventos de seguridad de la información (incluyendo ciberseguridad), en la implementación de firewalls y la actualización automatizada de antivirus.
Qué decir de herramientas como la aplicación de inteligencia artificial y computación cognitiva para la detección y análisis de eventos de seguridad, que de acuerdo con el estudio de ambos organismos se encuentran aún muy incipientes, con niveles de implantación inferiores al 10% en estas entidades del segmento de las finanzas.
En consecuencia, no es de extrañar que en nuestro país el 43% de los ataques hayan resultado exitosos en el ámbito de las financieras consideradas grandes, mientras que entre las empresas medianas del sector tal porcentaje haya sido del 15% y en las pequeñas tal penetración haya alcanzado el 6%, durante 2018
Ahora bien, esos porcentajes se acrecientan cuando nos referimos al subsector bancario, que comprende banca comercial o múltiple y banca de desarrollo, donde el panorama pinta poco peor y se reporta la materialización de incidentes en un 50% en entidades grandes, 22% en medianas y 11% en bancos pequeños.
“Con los valores obtenidos del estudio, se estima que el costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades e instituciones financieras en México en 2018 fue de $107 millones de dólares, aproximadamente”, señala el binomio OEA-CNBV.
Pérdidas de “alta rentabilidad”
Así las cosas, se revela que el costo total de respuesta y de recuperación ante incidentes de seguridad digital para una entidad grande representa un promedio de $2 millones 357 mil dólares al año; de la misma forma las entidades medianas destinan para su incierta seguridad cibernética un promedio de $635 mil dólares anualmente; y aunque les pese en sus propias finanzas, las instituciones consideradas pequeñas desembolsan, en el mismo ciclo y en promedio, $317 mil dólares.
“El retorno sobre la inversión en seguridad de la información (incluyendo ciberseguridad) y prevención del fraude a través de medios digitales, equivale aproximadamente a 10.9%, lo que la mayoría considera que es un retorno de alta rentabilidad”, establece el estudio.
Los incontables beneficios de la era digital crecen exponencialmente y se reflejan en un aumento del PIB a nivel mundial. De acuerdo con datos recientes, las actividades económicas relacionadas con Internet representan hoy día más de 3% del PIB mundial, y seguramente en los próximos años este porcentaje se incrementará a pasos agigantados, debido a que las tecnologías de información están potenciando la productividad y el crecimiento de empresas en todos los sectores.
No obstante, con el incesante desarrollo del cíber espacio, y quizás a un ritmo mayor, también se están incrementando los cíber ataques con intensos intentos de acceder ilegalmente a los sistemas de información electrónicos y a las redes informáticas, con la finalidad de hurtar recursos, extraer información o interrumpir su funcionamiento.
Y aunque las entidades financieras sigan puntualmente una agenda precisa de cíber resiliencia para fortalecer la detección temprana y el combate efectivo a los ataques, incluyendo la cooperación entre empresas y organismos públicos para enfrentarlos, el panorama se aprecia en tonos grises.
El problema crece y seguirá creciendo. No hay ninguna tecnología capaz de proteger al 100% la información y los recursos. Por ahora, sólo está en manos de la industria financiera mitigar, pero como están las cosas, eso suena a muy poco consuelo. Mientras tanto, es presa de un negocio que les cuesta billones, pero que cuando los sistemas de seguridad fallan, ninguna empresa se hace responsable, y tampoco sufre ni se acongoja.
Cortesía de VIRAL BUG