Aquellas empresas que operan en el sector financiero están acostumbradas a ser objetivo de numerosos y variados ataques. Sin embargo, con el paso del tiempo, los atacantes han ido mejorando sus tácticas y actualmente utilizan varios métodos para conseguir infectar los sistemas de estas empresas con los perjuicios que esos supone en términos de robo de dinero o información financiera.
Este tipo de incidentes representa un serio problema que causa importantes pérdidas a aquellas empresas que los sufren. Según un informe reciente de IBM donde se analiza el coste de una brecha de datos en 2020, la cantidad media en el sector financiero ascendía a 5.85 millones de dólares, cifra superior a los 3.86 millones de dólares de media en otros sectores, según esta encuesta.
Además, el sector financiero sigue siendo un objetivo atractivo para los atacantes, especialmente por el tipo y cantidad de información que recopilan de sus clientes. En el caso de que se produzca un robo de datos, la información sustraída puede ser utilizada para realizar suplantaciones de identidad o vendida directamente en la dark web, lo que podría derivar en un daño reputacional para la entidad financiera que sufrió el ataque y en pérdidas ecoómicas para los clientes afectados.
El informe realizado a partir de la investigación de la brecha de datos sufrida por Verizon en 2020 estima que el 63% de los ataques llevados a cabo contra instituciones financieras son realizados por delincuentes motivados por el beneficio económico. En estos casos, es bastante probable que los ciberdelincuentes utilicen credenciales robadas o filtradas previamente, ataques de ingeniería social, fraude, ataques DDoS y malware.
La pandemia provocada por la COVID-19 ha aumentado estos riesgos, especialmente por la situación de trabajo remoto en la que aún se encuentran muchos empleados del sector financiero, algo que tiene sus propios desafíos. Debido a que este cambio se produjo de forma brusca, es probable que muchas empresas no tuvieran tiempo suficiente para implementar políticas de ciberseguridad que pudieran lidiar con los agujeros de seguridad provocados por el elevado número de empleados trabajando desde casa.
Parece claro que las empresas necesitan mejorar sus medidas de seguridad para mitigar las probabilidades de caer víctimas en los múltiples ataques que se realizan contra ellas cada día. De hecho, una encuesta reciente de ESET realizada entre 10.000 usuarios y directivos de empresas con experiencia en varios países reveló que el 45% de las empresas habían experimentado algún tipo de incidente de seguridad.
El factor humano
Los empleados son una parte esencial de las empresas y no debería haber ninguna duda al respecto. Sin embargo, como recuerda el famoso dicho “errar es de humanos”, el informe de IBM demostró que el fallo humano es una de las tres causas principales que provocan las brechas de datos, siendo responsable de un 23% de ellas.
Los errores provocados por los empleados pueden ser de varios tipos ya que pueden ser víctimas del phishing o de otros ataques de ingeniería social más sofisticados, o pueden incluso desconfigurar un sistema. Los dos primeros errores son especialmente preocupantes debido al cambio al teletrabajo provocado por la pandemia. Ya que muchas empresas no estaban preparadas para esta transición inesperada, en vez de desplegar un plan bien estudiado se vieron forzadas a actuar de forma reactiva, lo que derivó en una importante cantidad de empleados siendo enviados a trabajar desde sus casas sin recibir una formación adecuada en ciberseguridad.
Los atacantes también pueden realizar uno de los crímenes online más dañinos conocido como “fraude del CEO”. En este tipo de fraudes, los delincuentes se dirigen a sus víctimas utilizando la cuenta de email comprometida o suplantada de uno de sus superiores, solicitándole que realice una acción como la compra de bienes mediante transferencia o el pago de facturas pendientes. Sin embargo, en lugar de utilizar la cuenta corriente del bien o servicio contratado, el delincuente incluye la suya propia, consiguiendo de esta manera que la empresa le ingrese importantes cantidades de dinero. En otras ocasiones, los delincuentes pueden enviar correos electrónicos con supuestas facturas o enlaces que contienen malware, que si es ejecutado puede infectar el sistema, robar credenciales o incluso propagarse por la red interna.
Para mitigar las posibilidades de que se produzcan algunos de estos ataques, las empresas deben proporcionar formación en ciberseguridad a sus empleados. Formación donde a los trabajadores se les enseña cómo detectar campañas de phishing o de ingeniería social con consejos para trabajar remotamente de forma segura, así como también guiarlos en cómo comunicarse usando herramientas de videoconferencia teniendo la seguridad en mente, además de cómo acceder a los sistemas de la empresa de forma segura.
Tomando las medidas de seguridad necesarias las empresas pueden protegerse del daño monetario y reputacional que este tipo de ataques pueden provocarles en el futuro. Además, la adopción de estas buenas prácticas en ciberseguridad también demostrarán su efectividad una vez que la situación provocada por la pandemia haya quedado atrás ya que no todos los empleados querrán volver a trabajar desde la oficina.
El factor tecnológico
La educación de los empleados de una empresa es un aspecto importante a la hora de mejorar la ciberseguridad, pero se trata de una pieza más del puzle. Esta concienciación debe ser complementada por soluciones técnicas implementadas en la infraestructura de la empresa. A pesar de que algunos aún cuestionan la necesidad de invertir cantidades considerables sigue siendo importante pensar en el peor escenario posible para así adoptar las medidas de seguridad necesarias para prevenirlo. De acuerdo con la encuesta de ESET, el 28% de las empresas sigue sin invertir de forma activa en nuevas tecnologías que las ayuden a protegerse, o desconocen si se están implementando.
Todas las empresas, sin importar su tamaño, deberían contar con un plan de continuidad del negocio en caso de sufrir un ciberataque. Un plan adecuado debería incluir las copias de seguridad y, si el presupuesto lo permite, una infraestructura que permita recuperarse de un incidente en el menor tiempo posible. Este tipo de implementaciones son muy útiles en el caso de sufrir un ataque de ransomware. Sin embargo, para que las copias de seguridad resulten efectivas, deben ser actualizadas de forma regular y probadas para asegurarse de que se están realizando de forma adecuada.
Todos los sistemas operativos y las aplicaciones deberían ser actualizados y parcheados de forma periódica. Si se tiene a personal dedicado a esta labor, es probable que sean ellos los encargados de gestionar estas actualizaciones o de configurar los sistemas de forma que se actualicen automáticamente cuando estas se encuentren disponibles. Lo mismo debería hacerse en el caso de que los sistemas estén siendo gestionados por un tercero. La importancia de realizar este procedimiento no debería ser subestimada, considerando el daño causado por algunas amenazas que se propagaron usando máquinas sin actualizar.
Los ataques de denegación de servicio distribuidos (DDoS) dirigidos a reducir o incluso detener la capacidad de una empresa de proporcionar servicios son otra amenaza a la que se tiene que hacer frente. Si una compañía sufre un ataque de este tipo, sus sistemas se verán inundados de peticiones, lo que puede hacer que sus páginas web se encuentren inaccesibles. Esto puede traducirse fácilmente en cientos o miles de euros en pérdidas para las empresas afectadas. Para minimizar el riesgo de que esto suceda, las empresas pueden contratar los servicios de mitigación de ataques DDoS así como también utilizar un proveedor de Internet con el suficiente ancho de banda, equipamiento y habilidades para gestionar este tipo de ataques.
Conclusión
Mientras que las empresas del sector financiero siguen siendo un objetivo rentable para los delincuentes seguirá siendo necesario que estas se preparen mejorando sus defensas para mitigar la posibilidad de ser víctimas. Sin embargo, para construir mecanismos de defensa lo suficientemente fuertes, las empresas necesitan adoptar una aproximación holística y proporcionada consistente en invertir tanto en formación de los empleados como en soluciones tecnológicas adecuadas y planes de continuidad de negocio.
Josep Albors adaptando un artículo de Amer Owaida en WeLiveSecurity