Según Verizon Informe de investigaciones de violación de datos, El sector financiero se encuentra constantemente entre las industrias más atacadas y la tasa de ataques está aumentando. Los bancos experimentaron un aumento del 238% en los ataques solo en 2022. La filtración de datos promedio en el sector financiero cuesta 5.9 millones de dólares, cifra que sólo está por detrás del sector de la salud en costo promedio, según IBM. Informe del costo de un informe de vulneración de datos 2023.

Si bien la industria ha logrado avances significativos en materia de ciberseguridad, existen innumerables factores que aún hacen que los bancos y las instituciones financieras sean objetivos atractivos.

Los desafíos de proteger los datos financieros

Varias cuestiones contribuyen a las dificultades que enfrentan las instituciones financieras para proteger sus activos. Uno de los más importantes es la complejidad del entorno empresarial, especialmente para las instituciones más grandes que han sufrido fusiones y adquisiciones. La conexión de redes y aplicaciones heredadas puede provocar configuraciones erróneas que introducen vulnerabilidades que facilitan el acceso a los piratas informáticos.

Las instituciones financieras, como muchas empresas, también tienen una fuerza laboral más distribuida a raíz de la pandemia. Como resultado, han tenido que integrar mayores usos de la computación móvil y en la nube, lo que aumenta la superficie de ataque. Y, a pesar de la implementación de aplicaciones modernas orientadas al exterior, no es raro que los bancos tengan aplicaciones de hace 50 años (escritas en COBOL) ejecutándose en el back-end que hace tiempo que ya no son compatibles. Estas aplicaciones pueden resultar riesgosas desde el punto de vista de la seguridad, pero a menudo no tiene sentido actualizarlas desde el punto de vista financiero u operativo.

A pesar de todos estos riesgos, la mayoría de los ataques dependen del elemento humano en forma de identidades en la red.

Active Directory y la importancia de las identidades

Las identidades de los usuarios desempeñan un papel importante en muchos ciberataques, ya sea que las infracciones sean el resultado de acciones internas, ataques externos o la participación de terceros.

Cuando se trata de amenazas a la identidad, un infiltrado malintencionado puede causar grandes daños. El ejemplo más notable es el truco de Capital One de 2019. Casi cuatro años después, este ataque en particular sigue siendo ampliamente reconocido como una de las mayores amenazas internas hasta la fecha. Un solo informante fue responsable del robo de 100 millones de registros de clientes, 140,000 números de Seguridad Social y 80,000 datos bancarios de clientes. Y un compromiso de credenciales desde fuera de una organización es en realidad simplemente otro tipo de amenaza interna. Una vez que los atacantes externos obtienen acceso robando credenciales, operan como un interno confiable.

El riesgo de terceros también puede causar daños graves. La mayoría de las instituciones financieras tienen entre decenas y cientos de vendedores, proveedores de servicios y otros socios conectados a su red. Para los piratas informáticos expertos, una brecha en el sistema de un tercero puede crear el punto de partida perfecto para ingresar a entornos financieros.

¿Cuál es la única similitud que comparten estos ataques? La vía más común para estas infracciones es Active Directory (AD), el servicio de identidad principal para el 90% de las organizaciones y empresas financieras de todo el mundo.

Cuando alguien le preguntó a Willie Sutton por qué robaba bancos, respondió, "Porque ahí es donde está el dinero". Entonces, ¿por qué los ciberdelincuentes atacan Active Directory? Porque ahí es donde está el acceso privilegiado. AD está tan estrechamente entretejido en la mayoría de las organizaciones que participa en 9 de cada 10 ciberataques. Microsoft estima que los actores de amenazas atacan 95 millones de cuentas de AD cada día, y eso es conservador.

Ya sea que un atacante obtenga acceso a través de phishing u otros medios, mudarse a un área rica en identidad como Active Directory puede permitirle elevar privilegios, moverse a través de redes y robar datos o lanzar ataques de ransomware. Este tipo de ataques pueden paralizar bancos y otras operaciones de servicios financieros, impidiendo el acceso a fondos, filtrando datos de clientes y causando daños a la marca.

Preparación para infracciones y otras mejores prácticas

Para proteger mejor sus datos, los bancos y las instituciones financieras deberían comenzar por priorizar su riesgo. Deben aceptar que se producirán infracciones, por lo que deben identificar sus activos de mayor prioridad (aquellos que causarían el mayor daño si se vieran comprometidos) y las vulnerabilidades de esos activos.

La preparación para infracciones comienza con una evaluación de la seguridad de AD, junto con revisiones de la arquitectura de seguridad, los procedimientos operativos y las configuraciones de seguridad de una organización. Esto permite a los equipos de seguridad identificar rutas de ataque y desarrollar planes de respuesta y remediación. Con evaluaciones exhaustivas del entorno, las organizaciones pueden desarrollar planes de mitigación de amenazas para reducir la superficie de ataque, optimizar las configuraciones de seguridad y crear un plan bien pensado para recuperarse de un ataque que reduzca el tiempo de inactividad y las interrupciones.

También es muy importante monitorear continuamente las identidades de los usuarios. Si un empleado de nivel inferior de repente tiene privilegios elevados, accede a datos confidenciales que no debería revisar o trabaja en horarios inusuales y no realiza tareas comerciales habituales, existe la posibilidad de que su identidad se vea comprometida.

Por último, la planificación debe tener un elemento humano, en forma de contratación y retención de personal de seguridad y educación de los usuarios. Los bancos y las instituciones financieras deben atraer y retener a profesionales de seguridad con conocimientos, algo que es más fácil de costear para las grandes instituciones. Pero en organizaciones de cualquier tamaño, la seguridad es una pequeña parte del negocio. Las instituciones financieras todavía tienen hordas de personas con conocimientos limitados de seguridad que acceden a sistemas y manejan datos confidenciales. Como tal, la capacitación de los empleados y la concienciación sobre la seguridad son esenciales, especialmente con un número cada vez mayor de trabajadores remotos.

El futuro de la seguridad del sector financiero

Con el ritmo y la sofisticación de los ataques en aumento, las instituciones necesitan ganar visibilidad de sus entornos, controlar las identidades de los usuarios y desarrollar planes claros de preparación, respuesta y recuperación ante violaciones.

De cara al futuro, las instituciones financieras también tendrán que afrontar los riesgos asociados con las nuevas amenazas y desafíos de las criptomonedas. Como ocurre con todas las formas de seguridad, todo se reduce a dominar los fundamentos para obtener visibilidad y control sobre la empresa.