Ciberseguridad: la violación de datos en JP Morgan crea nuevos desafíos, advierten expertos
[private]Por Daniela Guzmán
15 de octubre de 2014
Las amenazas del ciberespionaje, del terrorismo cibernético, y del robo cibernético han convergido tras el ataque contra el banco más grande de Estados Unidos, JP Morgan Chase, que ha dejado a la institución a la defensiva ante la élite política de la nación y ante preocupados clientes.
El presidente Obama ha lanzado un reciente esfuerzo por incluir la ciberseguridad como una prioridad en la agenda de seguridad nacional, pero no pudo obtener una respuesta sobre quién había organizado el reciente ataque contra JPMorgan Chase que expuso información confidencial y sensible de los clientes, ni cuál fue el propósito de la filtración de datos.
La escasez de información no es una sorpresa total dada la naturaleza secreta y oscura de los grupos criminales de hackers. Hasta ahora los hechos e información del caso permanecerán vagos a medida que las autoridades en el tema de seguridad continúan investigando y analizando los ciber escombros para tratar de descubrir pistas y rastros dejados tras el ataque.
El ataque cibernético, que se produjo en junio, ha renovado el debate sobre qué tan seguras son las instituciones financieras ante los ataques. Otras violaciones a distintas corporaciones, como Target y Home Depot en el último año, han alertado a la población sobre la prevalencia y la creatividad de los piratas informáticos.
Sin embargo, un documento presentado por JPMorgan este mes dejo en claro que el alcance del más reciente ataque no tiene precedentes.
Al principio, JPMorgan estimó que se habían violado un millón de cuentas de clientes, dejando al descubierto los nombres, direcciones, números de teléfono y otra información específica de los clientes. Pero la presentación dejó en claro que la cifra real era mucho mayor: 76 millones de hogares y siete millones de pequeñas empresas se vieron afectados.
Los expertos en seguridad y tecnología de la información argumentan que el ataque cibernético contra JPMorgan es un recordatorio de que las instituciones financieras, incluso el banco más grande de Estados Unidos, pueden ser infiltradas por criminales expertos en tecnología que pueden permanecer en el anonimato.
A pesar de que no se robó información financiera en los ataques, según el documento presentado por el banco, la información robada podría conducir a situaciones de fraude, poner a los clientes en riesgo y manchar la reputación de la institución.
Las disculpas buscan minimizar la gravedad de la situación
El mea culpa presentado por el banco en relación con la incursión virtual, pareció destinado a restar importancia a los temores de los clientes al mismo tiempo que buscó hacer frente a esta preocupación.
Con tanta información supuestamente robada, las consecuencias de la violación pueden no ser percibidas durante meses o años mientras delincuentes transnacionales del crimen organizado compran los datos en el mercado negro para crear perfiles que se pueden utilizar para robar y estafar a empresas y particulares.
La Oficina Federal de Investigaciones (FBI) ha iniciado una investigación criminal sobre los ataques, y cree que otras nueve entidades financieras han sido también blanco por la misma fuente, incluyendo Citigroup, E * Trade Financial y HSBC, según un artículo publicado por The New York Times . El fiscal general de Estados Unidos en Manhattan, Preet Bharara, también está investigando el ataque cibernético.
¿Cómo los hackers ingresaron al banco más grande de EEUU?
Esta no fue la primera vez que JPMorgan es blanco de los delincuentes virtuales. En junio de 2013, ocho personas fueron acusadas de un ataque que resultó en el robo de US$ 15 millones, y el principal acusado de este ataque continúa prófugo.
Desde el primer ataque, no está claro qué cambios específicos se han llevado a cabo para mejorar las barreras contra las invasiones cibernéticas, aunque el banco indicó que planea invertir US$250 millones este año para prevenir que piratas informáticos y otros grupos criminales tengan acceso a los datos de los clientes, de acuerdo con una carta a los inversionistas del banco con fecha de abril de 2014.
Las grandes instituciones son conscientes del peligro que existe en el ciberespacio, a pesar de que no es tarea fácil poder detectarlo
Peter Wolf, forense informático y experto en seguridad cibernética en Kroll, explicó a ACFCS que una violación puede ocurrir de diferentes formas. La constante es que los hackers siempre van a utilizar una vulnerabilidad en el sistema operativo de la institución para tener acceso a información importante, ya sea para fines de espionaje, para la delincuencia financiera, o ambas cosas.
«Si cuentan con malware, alguna especie de código que utilizan para explotar esa vulnerabilidad en la aplicación web o en el sistema operativo, tienen mayores oportunidades», señala Wolf.
«Si tienen acceso a la base de datos, pueden consultar la base de datos, copiar los archivos y poner esos registros en el archivo zip, comprimir en un archivo encriptado o cifrado y enviarlo fuera de la red a través de métodos de intercambio de archivos de Internet estándar u otros canales vía Internet».
Una falla en el sistema operativo podría abrir las puertas de seguridad para un sistema financiero en su totalidad, con poco o ningún riesgo para los delincuentes, explicó.
Wolf dijo que la prioridad de JPMorgan es continuar con «dead-box forensics«, un tipo de investigación que analiza los puntos de entrada y el uso de posible malware a través de ingeniería inversa con el fin de entender cómo fue invadida la institución.
Las instituciones por lo general cuentan con un marco para la supervisión y mantenimiento que se esfuerza por mantener a los intrusos al margen. Las vulnerabilidades son parchadas con nuevas aplicaciones de seguridad todas las semanas, dijo Wolf. Sin embargo, cuando el malware no es reconocido y la vulnerabilidad no se detecta, puede ser demasiado tarde.
“Algunas veces, las vulnerabilidades en el sistema operativo pueden ser identificadas debido a una violación”, señala.
Respuesta de la industria a las consecuencias de los ataques
Las instituciones financieras han aumentado sustancialmente su inversión y atención a la cuestión de la ciberseguridad en los últimos tiempos, aunque el tema ha sido abordado desde antes del nuevo milenio.
En 1999, el Financial Services Information Sharing and Analysis Center (Centro de Análisis e Intercambio de Información de Servicios Financieros) se puso en marcha, convirtiéndose en el recurso de la industria financiera global para el intercambio de información relacionada con las amenazas cibernéticas. Una directiva del 2003 del Departamento de Seguridad Interna de Estados Unidos ordenó que los sectores público y privado compartan información sobre las amenazas físicas y cibernéticas y las vulnerabilidades para ayudar a proteger la infraestructura crítica de la tecnología de la información del país (TI).
La industria financiera también está trabajando con proveedores y compañías que se encuentran a la vanguardia en el área de tecnología para la protección. Kaspersky Lab, proveedor líder en el área de TI y ciberseguridad, es una de esas compañías que probablemente continuará viendo un crecimiento en la demanda para sus productos y servicios a medida que los piratas informáticos se vuelven más sofisticados y las instituciones requieren una protección más robusta.
Roel Schouwenberg, investigador principal de seguridad de Kaspersky, dijo que las instituciones financieras deben desarrollar y adherirse a la inteligencia y respuestas de incidentes en los ciclos con el fin de responder con eficacia a los ataques cibernéticos.
«Esto permitirá a las empresas elaborar estrategias y priorizar sus recursos», dijo en un email enviado a ACFCS. «El sector financiero tendrá los recursos necesarios para sacar esto adelante. Otros mercados verticales tienen que lidiar con menores recursos».
Schouwenberg cree que los atacantes pueden haber organizado el ataque a JPMorgan dentro de una estrategia conocida como «fase de reconocimiento,» para estimar lo difícil que puede ser invadir un sistema, posiblemente para organizar un ataque contra otras organizaciones, como por ejemplo otros bancos o entidades consideradas instituciones financieras.
«Alternativamente, los atacantes pueden haber estado interesados en otro tipo de información, tal vez con fines de ciberespionaje», dijo Schouwenberg. «En ese mismo ámbito también es posible que los atacantes pueden haber estado interesados en saber cuánto tiempo tomaría antes de que fueran detectados».
[/private]