Seguir el rastro de ciberataques: cómo las operaciones de cumplimiento pueden identificar y responder a ataques de hackers
Por Brian Monroe
17 de Junio de 2015
El reconocido físico Albert Einstein no tenía la ciberdelincuencia en mente cuando pronunció una de sus más famosas frases: » Los problemas no se pueden solucionar en el mismo nivel de conciencia en el que fueron creados». Sin embargo, su punto sigue siendo cierto en el contexto de seguridad cibernética.
Tras los enormes efectos de los ataques cibernéticos a instituciones financieras y agencias gubernamentales en los últimos años, la ciberseguridad cada vez requiere una respuesta de toda la organización, una estrategia que integre ALD, fraude y otras funciones de cumplimiento en cada paso de detección, reacción y mitigación.
Parte de este esfuerzo, dicen los expertos en ciberseguridad, es sensibilizar a los oficiales ALD, investigadores de fraudes y otros profesionales de cumplimiento sobre el «ciclo de vida» de los ataques cibernéticos.
Al reconocer cierto comportamiento de los clientes, actividades transaccionales y señales de alerta como indicadores sutiles de un ataque más amplio, las operaciones de cumplimiento pueden ayudar a identificar en forma más rápida una filtración y encontrar el punto de entrada, limitado la propagación de malware.
Los ataques más comunes contra los bancos son los ataques de denegación de servicio (DDoS), y estos ataques muestran el papel que los departamentos de cumplimiento pueden desempeñar para mitigar los efectos colaterales, señala Shirley Inscoe, analista senior de Aite Group, con sede en Boston.
Los ataques DDoS abruman los canales en línea de una institución con tráfico, prácticamente cerrándolos para que sirva como tapadera para otros ataques de fraude cibernético o filtraciones.
«Hemos oído hablar de esquemas de fraude que golpean al banco mientras su canal en línea está cerrado. Los empleados de las sucursales y centros de contacto están abrumados con volúmenes de clientes mucho más altos de lo normal», señala. «Los empleados pueden tomar atajos o romper las políticas en un esfuerzo por manejar a los clientes con mayor rapidez de lo normal. Esto puede resultar en mayores pérdidas por fraude financieros de lo normal».
Algunos de los primeros indicadores incluyen un aumento en el tráfico de red desde un terminal o un sector particular del banco – la competencia del funcionario de TI, o transacciones en cajeros automáticos extraños en jurisdicciones extranjeras de alto riesgo e importantes giros desde cuentas menos activas a cuentas personales o comerciales, el ámbito del profesional ALD y antifraude.
A continuación un vistazo de los ciclos de vida de un ataque cibernético: cómo se desarrollan ataques, qué áreas de cumplimiento y control podrían verse afectados, y los pasos a tomar para minimizar el daño o comunicar a otros departamentos relacionados, arriba o abajo.
Primera respuesta: sector de seguridad
Como era de esperar, en la mayoría de los ataques las áreas de seguridad de la información y las funciones de TI serán los encargados de manejar los frentes.
En muchos casos, una de las primeras señales de alerta de que un banco se encuentra en medio de una violación de datos es actividad inusual de la red, ya sea el número de paquetes o amplitud de la información que entra y sale de un lugar determinado.
Esto es particularmente cierto si la dirección de IP es nueva, se encuentra en una jurisdicción de riesgo o pone en evidencia que el individuo se ubica en una región que se encuentra más vulnerable a ataques o de mayor peligro.
Esta actividad de red sospechosa debe llamar la atención del jefe de seguridad, que deben comunicarse inmediatamente con los profesionales de tecnología de la información, TI o funcionarios de ciberseguridad, para detener el flujo de información, bloquear todas las cuentas relacionadas, y analizar las acciones para ver si podría ser una amenaza creíble.
«En primer lugar, quieres asegurarte de que sea una amenaza y para eso debes cerrar ese particular canal así se frena el flujo de información», dijo John Walsh, director ejecutivo de SightSpan, una firma global de gestión de riesgos.
Al mismo tiempo, el banco podría estar bajo un diluvio digital debido a un ataque de denegación de servicio (DDos), lo que obligaría a los recursos de TI a desviar la atención para detener el ataque y restaurar los servicios, y con la esperanza por parte de los grupos de hacking de que el banco va a estar demasiado ocupado para darse cuenta de la violación de la seguridad de datos que está ocurriendo al mismo tiempo.
Ese podría ser el malware ingresando en el sistema, o el sondeo de portales para encontrar un punto débil, como un servidor que no cuenta con métodos de autenticación multifactorial.
El siguiente paso es que TI debe «ver qué información se vio comprometida y por cuánto tiempo y qué hicieron con ésta», dijo Walsh, quien agregó que la persona de TI debe analizar si el intruso estaba tratando de robar, copiar, manipular o destruir la información y qué tipo de información era, información de tarjetas de crédito o débito, datos de una cuenta, o información personal de un cliente.
El riesgo aumenta si el intruso estaba accediendo a cuentas en empresas o individuos que son portales en un universo más amplio de datos como infromación de nómina, o, peor, si el ataque estaba directamente dirigido a información privilegiada de la empresa.
Eso significa que los hackers están tratando de obtener información de sistemas o seguridad para manipular o tomar el control de las operaciones institucionales. Esto podría incluir el acceso a redes de pago, giros o transferencias de fondos a través de operaciones de terceros, como los procesadores de pago.
Información privilegiada puede ser utilizada para elaborar spearphishing, o ataques dirigidos a personas relacionadas con la información obtenida para engañarlos para que hagan clic en enlaces o archivos infectados, pensando que los correos electrónicos o enlaces provienen de fuentes de confianza.
Segunda línea: TI al líder de la división
Los profesionales de TI deben contactarse rápidamente con el gerente de la división que fue filtrada, como por ejemplo la división de tarjetas de crédito, para hacer un análisis más detallado y completo de su base de clientes.
Están ubicados en un lugar más apropiado para notar cambios más sutiles, ya que también tienen la responsabilidad de supervisar ese sector de la institución, o la acción pueden requerir la asistencia del director financiero del banco, contabilidad o funcionarios forenses.
Más allá de la violación, hacia el fraude
Investigadores de fraude del banco deben o pueden estar involucrados a estas alturas, y pueden haber sido contactados por el departamento de TI.
Se les alertará a los investigadores de fraude que podrían ver un incremento de situaciones extrañas y sospechosas en las cuentas, incluyendo giros extraños a un país extranjero, o grupos de cuentas que pueden estar experimentando retiros en efectivo o compras grandes que no se pueden explicar.
Los profesionales de los departamento de TI y fraude deben tratar de coordinar para determinar qué otras cuentas podrían haber sido afectadas—pero que no muestran movimientos extraños o alejados de las actividades esperadas para las mismas—para bloquearlas por un tiempo o para contactar rápidamente a sus titulares.
Rastreo de transacciones, en el terreno ALD
En ciertos casos en la última etapa del ataque cibernético, los profesionales ALD podían ver los indicadores de la filtración.
Éstos podrían verse similares a las señales de alerta de un amplio arco de otros esquemas de delitos financieros – giros inesperadas a regiones del mundo conocidas por el crimen organizado, corrupción o la piratería, como Europa del Este, Rusia y China, o jurisdicciones offshore sin relación con los clientes.
Aunque los analistas ALD pueden ver las alertas similares a los investigadores de fraude, sus ámbitos son diferentes. Profesionales de fraude suelen pensar más en «tiempo real», tratando de identificar las cuentas afectadas e impedir que el dinero salga del banco a la vez que se notifica a los clientes con la mayor celeridad.
Los oficiales ALD por lo general toman un enfoque más integral, holístico para determinar el tamaño de la acción y formular reportes que pueden ser la inteligencia crítica para comenzar una investigación por parte de la agencia de ley.
Ciclo completo: los ciberataques vistos desde la perspectiva ALD
En algunos casos, sin embargo, el profesional ALD podría ser quien vea el ataque primero si el grupo de hacking es capaz de ingresar malware en el sistema del banco, sin que TI lo descubra, y logre obtener datos/información de la cuenta.
Con esa información, los hackers pueden tratar de sacar rápidamente el dinero de las cuentas y moverlo a cuentas bancarias en bancos extranjeros controladas por el grupo criminal, o a través de transacciones en cajeros automáticos en lugares extranjeros cerca de los centros de operaciones de los delincuentes, o realizar movimientos de fondos que podrían desatar alertas en sistemas de monitoreo de transacciones.
El analista ALD podría tener una segunda oportunidad para descubrir la violación de los datos cuando los delincuentes tratan de poner el dinero en las cuentas que controlan.
El profesional de cumplimiento podría ver giros entrando en nuevas cuentas corporativas o personales fuera de la actividad esperada para las mismas para que luego estos fondos sean retirados rápidamente.
Ellos podrían contactar al equipo de delitos financieros de la institución corresponsal para alertarlos de que un posible ilícito, o posibles elementos relacionados con piratería informática, se han infiltrado en la institución y que deberían hacer una mayor evaluación para determinar el alcance de la filtración y daño.
No todos estos departamentos estarán involucrados en cada ataque. Sin embargo, basándose en los tipos específicos de ataque los representantes de las áreas afectadas deberán ser notificados, informados e involucrados de inmediato.