Mayores peligros en la ciberseguridad llevan a nuevas medidas regulatorias
[private]Por: Daniela Guzmán
Fecha: 24 de abril de 2014
El desarrollo tecnológico es una fuerza imparable de innovación, en especial para los delincuentes financieros. A medida que las instituciones financieras aumentan su presencia en línea, los delincuentes cibernéticos están encontrando maneras cada vez más creativas para acceder a información sensible y robar fondos.
Las agencias reguladoras de Estados Unidos están tomando nota de esta creciente tendencia y colocan a la seguridad cibernética en el radar para el examen de instituciones financieras y la emisión de nuevas orientaciones, guías y mejores prácticas sobre cómo prepararse para las amenazas informáticas.
La semana pasada, la Oficina de Inspecciones y Exámenes de Cumplimiento (OCIE) de la Comisión de Bolsa y Valores de EEUU (SEC) publicó una nueva alerta de riesgo sobre el tema de la seguridad cibernética. La alerta resalta la importancia de estar preparado en el tema de seguridad cibernética para la integridad del mercado, e hizo hincapié en que los programas de ciberseguridad serían una «prioridad en los exámenes» en 2014.
La guía ofrece información sobre cómo la SEC evaluará los programas de cumplimiento en la industria de valores, incluyendo 50 futuros exámenes para asesores de inversión y corredores de bolsa con el objetivo de evaluar una variedad de factores de riesgo.
La OCIE enumeró 28 elementos relacionados con la seguridad cibernética que podrán solicitar a las empresas examinadas. Estos incluyen las políticas de ciberseguridad, sus planes para proteger las redes informáticas y la información, los riesgos asociados con la transferencia de fondos y solicitudes de acceso remoto, los riesgos asociados con los proveedores y terceros, y cómo las empresas detectan y responden a la actividad cibernética no autorizada.
La lista de verificación para el examen no es la primera incursión de la SEC en el mundo de la seguridad cibernética. El mes pasado, la agencia llevó a cabo una mesa redonda en su sede de Washington para discutir los riesgos cibernéticos y recibir información de los representantes de la industria de valores. En el evento, el comisionado Luis Aguilar dijo que uno de los objetivos de la mesa redonda era «estudiar las medidas adicionales que la SEC debe tomar para hacer frente a las amenazas cibernéticas», una declaración que puede presagiar una mayor regulación.
FFIEC aconseja sobre cobros de dinero en cajeros automáticos
Otros reguladores en Estados Unidos han respondido a la epidemia de ataques cibernéticos con mayores guías y orientaciones.
Para muchas instituciones financieras de Estados Unidos la guía sobre seguridad cibernética publicada por el Consejo Federal de Certificación de Instituciones Financieras (FFIEC) en junio de 2011 se mantiene como un estándar clave. Esa publicación expuso los principios generales para los programas de seguridad cibernética, incluyendo más seguridad en capas en la banca en línea y las evaluaciones de riesgo y ajustes periódicos.
Los reguladores de Estados Unidos comenzaron a examinar las instituciones para el cumplimiento de esa orientación en enero de 2012. Sin embargo, no fue sino hasta este año, posiblemente debido a la reciente serie de ataques cibernéticos, que el FFIEC emitió nuevas directrices.
El 2 de abril de 2014, el FFIEC presentó un documento sobre ciberataques a cajeros automáticos y a los sistemas de autorización de tarjetas. El documento advierte a las instituciones financieras sobre un tipo de fraude «cash-out» en cajeros automáticas conocido por el Servicio Secreto de EEUU como Operaciones Ilimitadas (Unlimited Operations). Según el documento de FFIEC, «el Servicio Secreto es consciente de un aumento en los ciberataques en relación con este fraude, para obtener acceso a … paneles de control de cajeros automáticos basados en la web que son utilizados por instituciones financieras de pequeño y mediano tamaño».
Al acceder a los sistemas utilizados para controlar los cajeros automáticos y tarjetas de pago, los ciberdelincuentes pueden elevar el límite de retiros permitidos de las tarjetas de débito o crédito, o eliminar ese límite por completo. Efectivamente, esto ha permitido que las organizaciones criminales roben millones de cajeros automáticos en forma muy rápida, utilizando información de tarjetas robadas. En un caso de febrero de 2013, ladrones robaron US$ 45 millones en poco más de diez horas atacando cajeros automáticos en muchos países.
Para hacer frente a esta amenaza, el FFIEC aconsejó a las instituciones financieras que evalúen el riesgo potencial de los sistemas de control de los cajeros automáticos, y lleven a cabo un seguimiento continuo de sus cajeros automáticos y la actividad de los procesadores de pago de terceros. El FFIEC también sugirió limitar el número de empleados de instituciones capaces de acceder a los sistemas de los cajeros automáticos y armar un plan de respuesta a incidentes.
Aumentan los ataques ‘DDoS’, y no solo para las grandes instituciones
Unos días después, el FFIEC también emitió un comunicado relacionado con ataques DDoS. DDoS, o “distributed denial of service,” (ataques de denegación de servicios), son ataques que buscan paralizar un sitio web o servidor enviando grandes volúmenes de tráfico al mismo. A menudo se llevan a cabo por los llamados grupos de «hacktivistas» para prevenir a los clientes el acceso a la página web de una institución y que generalmente afectan la presencia online de una empresa. Los ataques DDoS también sirven como una táctica de distracción, creando una cortina de humo que los cibercriminales pueden utilizar para enmascarar las violaciones de datos u otras intrusiones en la red de una empresa.
Estos ataques han sido cada vez más frecuentes en los últimos años, y han apuntado tanto a instituciones regionales más pequeñas como a grandes bancos. El FFIEC recomienda que las instituciones financieras reaccionen ante estos ataques cibernéticos primero entendiendo el riesgo operacional que presenta este tipo de ataques, así como los procedimientos existentes para hacer frente a ellos. Las instituciones también deberían considerar el monitoreo del tráfico a sus sitios web, notificar a los proveedores de servicios de Internet en el caso de un ataque, y garantizar que el personal adecuado o terceros estén listos para reaccionar.
Por último, el FFIEC recomienda a las instituciones que busquen foros para compartir información sobre los ataques con agencias del orden público, como Financial Services Information Sharing and Analysis Center (FS-ISAC) y US Computer Emergency Readiness Team (US-CERT).
Los ciberataques se multiplican y diversifican, pero la coordinación global es limitada
A medida que las agencias estadounidenses actúan en pos del cumplimiento de la seguridad cibernética, las amenazas se multiplican rápidamente. Tan sólo en 2013, se estima que aparecieron 58,4 millones de ejemplares de malware, muchos de los cuales están adaptados para aprovecharse de las vulnerabilidades de los dispositivos móviles. Otras estrategias como el phishing y ataques de ingeniería social están permitiendo que los delincuentes cibernéticos accedan a las bóvedas virtuales de instituciones financieras y corporaciones.
Incluso sistemas que previamente eran considerados como muy seguros han experimentado vulnerabilidades, siendo el bug «Heartbleed» el mejor ejemplo. Ese bug, que se refiere a los defectos en una pieza clave del software utilizado para proteger las transacciones en línea, pasó desapercibido durante más de dos años, dejando a cientos de miles de servidores vulnerables al robo de datos. Desde los sitios de banca en línea hasta Facebook y las páginas de Internet de agencias gubernamentales, los sitios web están aconsejando a sus usuarios a que cambien sus credenciales de autenticación para mitigar cualquier riesgo adicional de violación de datos.
Las normas internacionales sobre los programas de seguridad cibernética para las instituciones financieras son limitadas. El Grupo de Acción Financiera Internacional (GAFI) emitió una guía para las instituciones financiera en julio de 2013, sobre un enfoque basado en el riesgo en las tarjetas prepagadas, pagos móviles y los sistemas de pago basados en Internet.
El documento resalta los riesgos de los canales de pago emergentes como medios para el lavado de dinero y el financiamiento del terrorismo, y toca brevemente sobre el crecimiento de la ciberdelincuencia financiera, pero no realiza recomendaciones específicas de cumplimiento para las instituciones con respecto a la seguridad cibernética.[/private]