Las instituciones refuerzan los lazos entre las unidades ALD y de ciberseguridad para alejar las crecientes amenazas cibernéticas

Por Brian Monroe
16 de diciembre de 2014

Las instituciones financieras se han mostrado en los últimos meses más preocupadas de ser atacadas por delincuentes cibernéticos y están tratando de reforzar sus bóvedas virtuales con algo más que las medidas tradicionales de seguridad cibernética. Con más frecuencia están reclutando a los oficiales de cumplimiento antilavado de dinero.

En un intento por evitar que grupos de hackers logren ingresar a las instituciones y con la intención de responder de una manera más coherente ante la eventualidad de un ataque cibernético, varios grandes bancos están presionando para que los oficiales ALD aprendan cómo funciona el lado de la seguridad cibernética, y viceversa.

El objetivo, dicen los expertos de las instituciones, es ver cómo se pueden aprovechar los sistemas actuales para identificar más rápidamente los ataques, cerrar brechas o lagunas, y limitar el daño financiero en caso de que se produzca una violación o filtración de datos.

La medida refleja un año excepcional para los delincuentes cibernéticos. En 2014, los piratas cibernéticos han capturado información de cientos de millones de personas y empresas a través de decenas de ataques diferentes, desde los ataques a compañías minoristas como Target y Home Depot hasta el ataque a la institución financiera más grande de EEUU, JPMorgan Chase. Los datos robados han alimentado grupos criminales de Europa del Este hasta Asia, y en algunos casos incluso en EEUU.

En una reunión con las instituciones financieras en septiembre, el Departamento del Tesoro de Estados Unidos se refirió a la cuestión y reconoció que las áreas ALD y ciberseguridad “no tienen mucha relación y operan en forma independiente y actúan en silos”, dijo una persona familiarizada con el asunto.

Este reconocimiento por parte de las agencias gubernamentales y el temor de que los bancos puedan enfrentar responsabilidad regulatoria ha llevado a algunas instituciones a que los miembros del equipo de cumplimiento ALD – el grupo responsable de encontrar, analizar y reportar los delitos financieros – pasen más tiempo con sus homólogos de la seguridad cibernética, para conocer los sistemas y proceso, dijo la persona.

“Claramente, los oficiales de cumplimiento ALD tienen interés en conocer más a fondo el tema”, señaló la persona. “Sabemos que los miembros del personal de seguridad cibernética están tan ocupados preocupándose por la posibilidad de que ocurra un acto de piratería en el banco que no se preocupan por las conexiones más amplias con la delincuencia financiera. No ven un beneficio inmediato en la interacción con el equipo ALD. Pero el equipo de cumplimiento ALD cree que la ciberdelincuencia es más que otro crimen financiero, por lo que quieren aprender sobre lo que el equipo cibernéticos está haciendo”.

La medida es parte de un intento más amplio de los bancos para protegerse mejor de los ataques cibernéticos. Los directores ejecutivos de JPMorgan Chase y Bank of America han declarado que esperan duplicar o incluso triplicar el gasto en seguridad cibernética, o lo han hecho en los últimos años, de acuerdo a información pública.

El intercambio de información puede dar a los bancos una ventaja

La subsecretaria del Tesoro de Estados Unidos Sarah Bloom Raskin abordó directamente el tema de la seguridad cibernética y las instituciones financieras en un discurso la semana pasada ante la Asociación de Banqueros de Texas durante su Conferencia de Seguridad Cibernética. Las tácticas defensivas online por parte de los bancos se están convirtiendo en una prioridad para el Departamento del Tesoro, las agencias de investigación y los ejecutivos de los bancos, dijo, y agregó que las instituciones deberían considerar adoptar evaluaciones de riesgos cibernéticos, similar a los programas en las operaciones antilavado de dinero.

Raskin también citó la necesidad de una mayor capacitación y la adopción de una gestión específica de riesgos en toda la empresa para controlar de una manera más holística los hackers y minimizar el tiempo de reparación en caso de que ocurra un ataque.

Además, añadió que los bancos deberían consultar a sus proveedores sobre las garantías de seguridad de información para prevenir grietas por donde se pueden filtrar los grupos criminales. Los bancos, las asociaciones y el gobierno están trabajando también en simulacros de seguridad cibernética para poner a prueba las defensas y tratar de descubrir las debilidades antes de que las descubran los grupos criminales.

También instó a los bancos a compartir en forma más rutinaria información sobre las violaciones y nombrar profesionales con experiencia para que sean los puntos de contacto en caso de que ocurran estas filtraciones. Raskin también señaló que más allá de personal de TI, el banco debe considerar consultar al equipo de riesgo y de auditoría para asegurarse de no dejar ninguna piedra virtual sin dar vuelta y que las vulnerabilidades hayan sido eliminadas o minimizadas.

Para reforzar su punto, Raskin citó un reciente estudio de PriceWaterhouse Coopers donde se entrevistaron 9.700 participantes, donde se concluyó que en 2014 se produjeron cerca de 43 millones de ataques cibernéticos, un aumento de casi 50% en comparación con 2013.

Para contrarrestar este aumento de ataques, las instituciones están trabajando en nuevas defensas tecnológicas contra hackers. Una de estas plataformas se llama Soltra Edge, y permitiría que múltiples firmas financieras se comuniquen más rápidamente sobre posibles violaciones, según sus creadores.

Solra es el producto de una alianza entre Financial Services Information Sharing Analysis Center (Centro de Análisis e Intercambio de Información de Servicios Financieros) y Depository Trust & Clearing Corp., y fue lanzado a principios de este mes con una licencia básica que es gratuita.

La compañía describe su producto como “un software diseñado para facilitar la recolección de inteligencia sobre amenazas cibernéticas de varias fuentes, convertir esta información en un lenguaje estándar para toda la industria y proporcionar información oportuna sobre la cual los usuarios pueden decidir adoptar medidas para proteger mejor a su empresa”.

Las transacciones sospechosas pueden evidenciar intrusiones cibernéticas

Esas protecciones pueden funcionar mejor y de una manera más eficiente y eficaz a través de un mejor trabajo en equipo, mayor comunicación y coordinación de los equipos ALD y de seguridad cibernética.

Por ejemplo, cuando un hacker filtra los firewalls de un banco y roba datos de clientes, tales como números de cuenta, pin, tarjetas de débito y crédito, el siguiente paso es obtener beneficios económicos de esa información, por lo general, retirando rápidamente los fondos de la cuenta en los cajeros automáticos, a través de transferencias electrónicas o por medio de grandes compras online o cientos de transacciones en línea más pequeñas.

Pero esas transacciones podrían estar fuera del patrón de la actividad normal y esperada de la cuenta, lo que disparará los protocolos de monitoreo de transacciones ALD y generará las alertas relacionadas.

Si estas alertas pueden ser vistas a través de los lentes de los profesionales de delitos cibernéticos, y no solo del área antilavado, ambas operaciones del banco podrían congelar más rápidamente los fondos o alertar a otras instituciones que se le ha enviado dinero ilícito y que deben congelarlo, se pueden enviar detalles y seguimientos a las agencias de ley, dijo una persona al tanto de la situación.

Además, profesionales antilavado con una mayor comprensión de las amenazas de seguridad cibernética pueden emplear técnicas de debida diligencia más reforzada para clientes, entidades y empresas que tratan de abrir cuentas o con cuentas, en búsqueda de personas vinculadas con presuntos ataques de hacking.

“Estos ataques cibernéticos se producen por tres razones”, dijo la persona. “En algunos casos, solo tiene la intención de perjudicar o perturbar, como por ejemplo un grupo hacktivista o un ataque patrocinado por algún Estado, para robar información o para robar dinero. Cuando la motivación es económica, claramente los ladrones cibernéticos tienen que sacar el dinero del banco para obtenerlo y ahí es donde la gente de cumplimiento de delitos financieros pueden ayudar”.

En octubre de este año, JPMorgan Chase reveló un ataque que puso en peligro o comprometió la información de 76 millones de hogares y siete millones de pequeñas empresas. El ataque había comenzado en junio, pero no fue percibido hasta agosto. En septiembre, hackers utilizaron software malicioso para robar la información de la tarjeta de crédito de unos 56 millones de compradores de la tienda minorista de EEUU Home Depot.

En enero, la tienda minorista, también de EEUU, Target anunció que los hackers habían robado información de 70 millones de personas, que se sumó al robo de información de tarjetas de crédito y débito de 40 millones de clientes que ocurrió el pasado diciembre.

Ante la imposibilidad de prevenir ataques, las instituciones se apoyan en las operaciones ALD para mitigar los daños

Contar con fuertes sistemas ALD, incluyendo sofisticados sistemas de monitoreo de transacciones y sagaces analistas observando las alertas, es una de las pocas maneras de retrasar una violación una vez que los hackers han tenido acceso a la red de un banco, que en la mayoría de los casos es una cuestión de cuándo se va a producir esta filtración, no de si se va a producir, dice Shirley Inscoe, analista senior del Grupo Aite con sede en Boston.

“Estamos viendo grupos de personas muy hábiles y muy persistentes en búsqueda de todos los puntos débiles que pueden encontrar” en los firewalls y software antivirus, incluso tratando de filtrar las distintas versiones para descubrir lagunas, dijo Inscoe. Añadió que en algunos casos los hackers apuntan a procesadores de pagos terceros para acceder a los sistemas bancarios.

“Los grupos de piratas informáticos están muy preparados y trabajan hasta que logran ingresar” dijo ella. “Es muy difícil de soportar uno de estos ataques organizados. Además, en algunos países en vías de desarrollo, este trabajo es literalmente una carrera”.

Esta dedicación a la búsqueda de datos no ha pasado desapercibido por los reguladores federales

El año pasado, la Oficina del Contralor de la Moneda (OCC) que depende del Departamento del Tesoro de Estados Unidos señaló que los bancos cada vez corren más riesgos de sufrir un ataque de hackers, lo que eleva el riesgo operacional debido a las “cada vez más sofisticadas amenazas cibernéticas, ampliando la dependencia en los aspectos tecnológicos y cambiando los requisitos regulatorios”.

El regulador, que supervisa los bancos más grandes y complejos de Estados Unidos, agregó que el creciente aumento de la creatividad de los delincuentes cibernéticos requiere de “mayor concientización y recursos para identificar” posibles ataques.

Además, esas vulnerabilidades virtuales seguramente aumentarán si los bancos buscan utilizar tácticas defensivas baratas, menos probadas y buscan optimizar los procesos de negocio con un enfoque mayor en las ganancias y tercerizan ciertos procedimientos mediante el uso de los proveedores independientes de servicios de terceros, dijo la OCC.

Al tratar de aplicar los controles de cumplimiento a través de los lentes del ciberataque, las instituciones deben darse cuenta de que no solo se ve afectado el banco original.

Para que un ataque sea exitoso, muchas veces es crucial mover el dinero a una segunda o tercera institución, generalmente en una jurisdicción extranjera con estándares de cumplimiento más débiles o a bancos con los controles de monitoreo más descuidados, dijo Inscoe.

“En algunos casos, es por eso que estamos viendo que algunos gobiernos se ponen serios acerca de los esfuerzos ALD, porque están viendo que los reguladores están elevando los estándares en todo el mundo”, señala Inscoe. Los reguladores y los investigadores se están dando cuenta que si los bancos tienen programas de cumplimiento más robustos, pueden entonces identificar y contrarrestar un arco más amplio de delitos, como por ejemplo los delitos cibernéticos, señaló.