De acuerdo al último informe anual de seguridad mundial de NESCOUT Arbor (WISR), las Instituciones bancarias y financieras son el segundo sector más atacado después del usuario final.

Carlos Ayala,  experto en Ciberseguridad de NESTCOUT Arbor  comenta  que  los  ataques exitosos a  este tipo de  instituciones a causa de un tercero son cada vez más comunes “El abuso de relaciones de confianza o interconexiones con terceros es algo que debería estar regulado y formar parte de las evaluaciones constantes en la estrategia de seguridad de cada empresa”.

Basta recordar que el pasado 9 de enero, el Banco Nacional de Comercio Exterior (Bancomext) informó que a pesar de las robustas medidas de seguridad con que cuenta, fue víctima de una afectación en su plataforma de pagos internacionales provocada por un tercero. De acuerdo con Bancomext, el modus operandi de los presuntos “hackers” es similar a intromisiones ocurridas en otras instituciones en México y América Latina; destacó que afortunadamente, el protocolo y la oportuna reacción de las áreas responsables de la operación, con el apoyo de los bancos, las autoridades correspondientes y el Banco de México, lograron contener este hecho.

Cualquier interconexión con un tercero siempre debe valorarse como un bloque dentro de la arquitectura de menor confianza y por ende aplicar controles tecnológicos y procesos de monitorización constante, tal como se realiza con una conexión hacia Internet. Pues varios de los controles a terceros cuando se definen en una política no se validan constantemente y eso genera oportunidades para los adversarios.

Debido a que no se tiene control del entorno exterior ni de terceros sin importar el origen, Carlos Ayala afirma que no es un tema sobre  qué tipo de medidas se le imponen a un tercero, sino qué tipo medidas impongo en la organización.  “Vulnerar a este sector a través de terceros es algo común en los últimos años;  esto denota que la institución bancaria y financiera en cuestión no tiene medidas robustas de seguridad  o percibidas por la dirección”.

El informe de seguridad de NETSCOUT Arbor (WISR) destaca que las  amenazas más populares son aquellas que buscan lucrar extorsionando y de una manera fácil monetizar a través de diversas campañas de ransomware (como WannaCry, Petya y Bad Rabbit en 2017) y de ataques de denegación de servicio (DDoS. El adversario envía correos electrónicos a las víctimas para pedir el pago de un rescate ya sea por haber cifrado los datos por medio de ransomware o después de irrumpir servicios transaccionales bancarios por medio de amenazas de disponibilidad volumétricas.

Otra amenaza común en el  sector bancario y financiero ha sido la botnet Andromeda desmantelada en una operación conjunta por la Europol el año pasado y asociada con más de 80 familias de malware con capacidades de extender el compromiso instalando piezas de malware adicional conforme la operación lo requiere en particular proxies SOCKs; robo de formas llenadas por el usuario en Internet; rootkits, Pay Per Install y Dirt Jumper.

Una técnica muy popular es valerse también de ataques dirigidos por medio http y https usando ataques de inyección y redirección en conjunto con ataques indirectos como Watering Hole instrumentados por medio de Exploit Kits en donde la víctima proporciona el estímulo y dicta el tiempo, pero una vez que la entrega se logra y el compromiso es exitoso el avance gradual, sigiloso, táctico puede llevar varios meses antes de que el adversario cumpla con la misión encomendada ya sea motivada por ventaja competitiva, lucro o espionaje.

“En la mayoría del malware financiero estamos hablando de software malicioso extensible con múltiples capacidades e infraestructura de C2 que le dan al adversario control sobre el entorno para

ir avanzando sigilosamente durante la Cadena de Progresión de la Amenaza hasta lograr susobjetivos”, indicó Carlos Ayala.

El talento humano se combate con más talento humano

La implementación de una estrategia de seguridad integral enfocada en riesgos que minimice la superficie de ataque no solo tecnológico o de procesos, mejor aún de riesgos de negocio es fundamental. Sin embargo, muchas organizaciones están muy lejos acorde a su nivel de madurez, quedándose en aspectos meramente tecnológicos.

Carlos Ayala mencionó que la aplicación constante de monitorización para detectar amenazas asumiendo que se está comprometido hasta no probar lo contrario, desarrollo de programas de inteligencia de amenazas tanto estratégica, táctica y operativa es fundamental hoy en día para mejorar la toma de decisión y poder detectar y responder rápidamente ante los adversarios.

Asimismo, un aspecto relevante es asumir que cuando una empresa combate defensivamente no se enfrenta a una pieza de código o malware, ese es un supuesto erróneo y peligroso, sino que combate contra humanos talentosos con objetivos específicos, bien fondeados y que no es cuestión de si la comprometerán sino cuando pasará. La lucha en el ciber dominio es un conflicto entre personas y el talento humano se combate con más talento humano.

El especialista en Ciberseguridad finalizó: “En el entendido que no se fracasa por sufrir una intrusión, se fracasa por no tener capacidad de respuesta y neutralizar los objetivos de nuestros adversarios a tiempo. Es la lección que nos queda del caso Bancomext y como dice el dicho ‘cuando veas las barbas de tu vecino cortar’…”.

Marzo-abril 2018