En el contexto de la ciberseguridad, las entidades financieras, y más concretamente los bancos, han sido siempre un sector especialmente vulnerable y, por tanto, un foco de atención para los expertos y desarrolladores de seguridad (también para los cibercriminales, desgraciadamente).
De ello ha hablado Néstor Santolaya, experto en ciberseguridad de Auriga, en FORO NASEC, un evento sobre seguridad digital organizado por la asociación de empresas de tecnología y consultoría de Navarra (ATANA). Junto a los casos de éxito de empresas como Euskaltel, Veridas, Tigloo o Laboral Kutxa, e iniciativas emergentes de emprendimiento en ciberseguridad como Zaindari, cónclave de ciberseguridad de la UPNA o Women4Cyber, el experto de Auriga ha presentado la ponencia “Metodologías Zero Trust aplicadas a la protección de ATMs como dispositivos críticos”.
Y es que el cajero automático es un dispositivo crítico en lo que a seguridad se refiere. A todos nos pueden sonar ataques como alunizajes, robos con excavadoras de los dispositivos completos o métodos como la instalación de cámaras o accesorios fraudulentos que captan tarjetas y números pin. También malwares como FiXS, Fastcash o Ploutus que, aunque menos conocidos en los entornos no profesionales y menos vistosos, son, de hecho, los responsables de la mayor parte de las pérdidas financieras. En total, se calcula que cada cajero ‘pierde’ (le roban) unos 500€ al año.
El reto, explicó Santolaya, es proteger y vigilar la seguridad de estos dispositivos clave para las organizaciones bancarias, lo que pueden conseguir pasando de un enfoque basado en la tecnología de la Información (IT) a un enfoque de Tecnología de la Operación (OT). El primero considera el ATM como un dispositivo de propósito genérico, barato y, por tanto, sujeto a amenazas generales, mientras que el enfoque propuesto por Auriga, basado en tecnología de la operación, apunta a considerar estos cajeros automáticos como un dispositivo de propósito específico, con necesidades de mantenimiento y uso de recursos propios y que, por tanto, pueden ser vulnerables a ataques dirigidos y mucho más destructivos como ataques tipo DoS, sabotajes, espionaje o fraude.
La protección tradicional (encriptación del disco, cifrado, antivirus, bloqueo de puertos no utilizados o vigilancia física), aunque obligada, no es ya suficiente frente a la avalancha de malwares que mutan y evolucionan a un ritmo vertiginoso, tan rápido que es difícil plantear medidas apropiadas o, incluso, detectarlos. En este contexto, se debe imponer un modelo de confianza cero que blinde tanto al cajero como al propio banco, de cualquier intento de acceso no autorizado. Según esta estrategia de protección Zero Trust, la presunción de culpabilidad es la clave. No se permite ninguna acción que no haya sido previamente verificada y aprobada y estrictamente para los procesos que sean requeridas. Solo de esta forma los CISOs de las entidades podrán mantener a salvo sus fuertes.
“Los bancos deben permanecer alerta ante los ataques a sus ATMs. Este tipo de incidentes puede causar no solo grandes pérdidas financieras, sino también un daño irreparable a su reputación. Implementar medidas de ciberseguridad robustas y realizar una gestión proactiva de las amenazas es esencial para proteger el acceso a los servicios bancarios y la confianza del cliente en la entidad financiera”,
concluyó Santolaya.