Los cimientos de las grandes empresas norteamericanas temblaron hace unas semanas con el ciberataque a SolarWinds, uno de los principales proveedores de tecnología del país. Este ‘hackeo’ alcanzó a compañías como Microsoft, que a su vez da servicio a medio mundo. Las primeras noticias apuntan a que este ataque no alcanzó a los grandes bancos de Wall Street, aunque no se quedó muy lejos. Este episodio es un nuevo aviso a navegantes para el sector que custodia el dinero de familias y empresas, que ya ha tenido otros sustos en el pasado como el de JPMorgan en 2014, la banca india en 2016 o Equifax en 2017.
Aunque 2020 acabó sin grandes ciberataques sonados como el de SolarWinds, la ofensiva de los ‘hackers’ contra el sector financiero se ha multiplicado en los últimos meses, sobre todo a raíz del covid-19. El confinamiento y la tendencia creciente a teletrabajar hicieron que se disparan los casos entre marzo y junio, y que desde entonces se haya consolidado esta tendencia.
«Entre marzo y junio detectamos un incremento significativo de los ataques. Nos vimos abocados al teletrabajo, lo que supuso una descentralización en la actividad de los usuarios, clientes y empleados. Cuando estaban en la oficina, la concienciación era más sencilla. Desde casa se crea una falsa sensación de seguridad. Esto ha provocado que los ataques hayan evolucionado. Antes iban contra la infraestructura, ahora se busca llegar a usuarios internos», explica Eduardo Ferrero, socio de Risk Advisory de Deloitte especializado en ciberseguridad.
Los números avalan las afirmaciones de este experto. En su último informe de Estabilidad Financiera, el Banco Central Europeo (BCE) constata un incremento de los ciberataques en los últimos meses frente a los de hace un año. «Afortunadamente estos ataques han provocado solo interrupciones limitadas, sobre todo por la indisponibilidad de pequeños terceros. De momento no se han registrado incidentes mayores ligados a infraestructuras de los mercados financieros», exponen desde el supervisor europeo.
Junto al informe del BCE, otro reciente del Fondo Monetario Internacional (FMI) apunta que el número de ciberataques se ha triplicado en la última década, «convirtiéndose en una amenaza para la estabilidad financiera«. Según la institución, en 2020 se han producido 1.500 casos, frente a los 400 de 2012. Aunque no haya habido grandes brechas de seguridad abiertas por los ‘hackers’, los expertos reconocen que los ciberdelincuentes consiguen su objetivo frecuentemente —las entidades tienen seguros para ello— y que sus ‘botines’ pueden llegar a ascender a varios millones.
«Los ciberdelincuentes no conocen fronteras, desde países como Rusia, China o Brasil pueden atacar a cualquier país. Están sofisticando mucho su técnica y consiguen llegar muy bien a sus objetivos con un retorno de la inversión muy alto«, apunta Marc Martínez, socio responsable de ciberseguridad de KPMG.
Ataques millonarios
¿Cómo llegan estos ataques? Ferrero, de Deloitte, explica que en los últimos meses se han intensificado dos vías para coger desprevenidos a los usuarios. Una es la banca online, «uno de los principales objetivos, al ser una forma bastante rápida de conseguir rédito económico: consiguen tus claves y te roban a ti». «Probablemente no saquen grandes cantidades de cada acción, pero si lo extrapolas a muchos ataques…», explica el experto.
Las entidades tienen cada vez más barreras para evitar el robo a través de esta vía: autenticaciones dobles o triples para realizar operaciones con SMS, tarjetas de coordenadas; aplicaciones para generar códigos; monitorización de las operaciones para detectar movimientos anómalos… Pero incluso ante esta situación, los ‘hackers’ han creado una vía para robar a los usuarios: el ‘sim swapping’ o clonar la tarjeta del móvil. Ferrero avisa: «Si repentinamente te encuentras sin cobertura en el móvil, puedes estar siendo objeto de un ‘sim swapping’, con el que las organizaciones [ciberdelincuentes] suplantan tu identidad y hacen transacciones muy rápidas para quitarte el dinero».
La segunda vía, nueva del confinamiento, es entrar en los bancos a través de los teletrabajadores. Los miles de empleados de la banca que se han ido a sus casas durante los meses se han convertido en una vía para los ‘hackers’ para entrar en los sistemas de las entidades financieras. Con ello, pueden conseguir desde el desvío directo de transferencias hasta información clave para usar el ‘fraude del CEO’, en el que un superior —suplantado— da orden a sus trabajadores de que hagan determinadas operaciones en beneficio de los ciberdelincuentes.
Frente a ello, los bancos han cambiado de táctica, según explican desde Deloitte. Hasta ahora, la estrategia pasaba por crear un castillo inexpugnable, donde se guardaban todas las herramientas críticas a asaltantes. Visto que tras la pandemia es más sencillo traspasar esa muralla, los bancos han optado por «crear compartimentos dentro del castillo«. «Cada trabajador tiene unos privilegios que se tiene que ir ganando, demostrando que el empleado no está suplantado», explica Ferrero.
Junto al fraude del CEO, otra vía muy usada son los ataques ‘ransomware’, en los que los delincuentes aprovechan una rendija para bloquear los ordenadores de una empresa: «Los ataques ‘ransomware’ se están popularizando. Introducen un ‘malware’ en una compañía y cifran todos los discos duros. A partir de ahí hacen una doble extorsión: no solo cifran la información, sino que amenazan con publicar información personal de los clientes», expone Martínez, de KPMG.
Fruto de un ataque de este tipo, Adeslas tuvo bloqueado su sistema informático durante semanas a la vuelta del pasado verano. Otro ataque reciente, en esta ocasión rechazado, fue el que sufrió la semana pasada Bankia, como publicó ‘Vozpópuli’.
Amenaza real
Frente a los bancos y sus usuarios no hay ‘hackers’ independientes buscando brechas de seguridad, sino organizaciones bien planteadas con sedes en países con regulaciones más laxas como Rusia, Nigeria, China o Brasil, con nombres como Maze Cartel, Egregor, Money Taker o Cobalt Gang. Como apunta un experto, los bancos y sus clientes se miden a profesionales formados que trabajan como en cualquier oficina, de 8 a 5 de la tarde. A eso se suma que cualquiera con un poco de formación informática puede convertirse en ‘hacker’ con la compra de programas para ello en la ‘deep web’.
Todas estas reflexiones reflejan cómo la amenaza está a las puertas de cualquier ordenador, tableta o móvil. La foto actual de los bancos españoles es que el grado de cumplimiento y de esfuerzo es elevado, por encima de la media europea. Los grandes bancos españoles invirtieron más de 4.000 millones en tecnología en 2019, de los que un 5-10% fueron a parar a ciberseguridad. Aun así, los expertos avisan de que la ciberseguridad depende también en gran medida de los trabajadores y los clientes, y que los bancos no deben confiarse. «Algunos grandes proyectos que necesitan estas vulnerabilidades podrían no ser abordados por la pandemia», teme el BCE. «Junto a la inversión en ciberseguridad, es clave mejorar la concienciación de los empleados y la detección y respuestas. Las empresas saben que las van a atacar, tienen que estar preparadas para responder, con equipos de crisis que involucren a los principales directivos», añade el socio de KPMG.
