IT 
EN 
Hablamos con Néstor Santolaya, experto de producto en la unidad de ciberseguridad de Auriga en España.
Los ataques de malware a las organizaciones bancarias pueden provocar –y, de hecho, están provocando- no solo pérdidas millonarias, sino también un daño a su reputación difícil de reparar.
Implementar medidas de ciberseguridad robustas y tan flexibles como lo son los propios ataques es esencial para proteger tanto los activos del banco (el dinero sí, pero también los datos de sus operaciones y de sus clientes) como su credibilidad.
Néstor Santolaya, experto en productos de ciberseguridad de Auriga, trabaja con instituciones financieras a nivel global, compartiendo su profundo conocimiento de las ciberamenazas y ayudando a los bancos a implementar estrategias de protección para las infraestructuras críticas. Le hicimos algunas preguntas acerca de las amenazas y las tendencias en malware en un entorno que no deja de evolucionar.
El malware para cajeros automáticos ha evolucionado mucho. ¿Cómo ha cambiado la naturaleza de estos ataques a lo largo de los años?
Las primeras amenazas de fraude a los cajeros automáticos comenzaron a principio de siglo con la llegada de los ataques mediante el uso de dispositivos físicos, de tipo Black Box, que se centraban en atacar al usuario del ATM, obteniendo sus números de cuenta, tarjetas y claves para realizar retiradas de efectivo con los datos del cliente de forma legítima sin levantar sospechas.
Con el paso de los años, hacia finales de la década de los 2000, comenzaron a aparecer los primeros malwares específicos de ATM, que realizaban la misma función que los skimmers físicos pero atacando las vulnerabilidades propias del software bancario.
Desde entonces, el desarrollo de malware específico de ATMs por parte de las organizaciones criminales ha ido de la mano con la propia evolución del software bancario y de las medidas de protección implementadas por los bancos. La estandarización del Software Bancario, la implementación de la capa XFS y la propia necesidad de las compañías de desarrollar Software multivendor ha hecho que desde entonces proliferen los ataques lógicos de tipo jackpotting, como el del famoso malware Ploutus detectado por primera vez en 2013, capaz de vaciar un cajero automático en cuestión de minutos.
Hoy nos encontramos inmersos en una carrera al más puro estilo del gato y el ratón, entre los malhechores (muy especializados) que atacan la ciberseguridad de cajeros y las soluciones de protección desarrolladas para los bancos.
Mirando hacia atrás a esos malware icónicos como Skimer y Ploutus, ¿qué lecciones pueden aprender los bancos de aquellas primeras amenazas para defenderse mejor de los ataques sofisticados de hoy?
Skimer y Ploutus revelaron la importancia de proteger tanto el hardware como el software de los cajeros. Sin embargo, hasta la llegada de Anunak, Carbanak, Cobalt, etc,; no fue cuando realmente se dieron cuenta de la magnitud y complejidad que podían alcanzar dichos ataques, y de la importancia que tenía proteger además sus redes internas, sus sistemas de distribución de software y, sobre todo, de la necesidad de formación y concienciación en medidas de ciberseguridad a sus empleados.
Con los años, las entidades bancarias han ido detectando nuevos ataques de fraude en los ATMs cuyo origen estaba en los propios servidores internos dedicados a gestionar las transacciones, como en el caso de Metel o Corkow en 2015, o FastCash en 2018 y en los recientes ataques de este año. Hoy, es imprescindible considerar que absolutamente todos los elementos involucrados en la cadena de dispensación de efectivo son actualmente vulnerables y pueden ser objetivo de un ataque de fraude.
De todo ello hemos aprendido que conceptos avanzados como microsegmentación, sandboxing o Zero Trust han venido para quedarse y deben formar parte de toda estrategia de ciberseguridad. De esta forma las entidades bancarias protegerán todos sus activos no sólo frente a las amenazas conocidas, sino que también sientan una buena base frente a cualquier amenaza que pueda surgir en el futuro, así como al uso fraudulento de Software Legítimo que pueda ser aprovechada por los atacantes.
En la última década hemos visto cómo el malware evolucionó de atacar modelos específicos de cajeros automáticos a amenazas multiplataforma. ¿Cómo ocurrió esta evolución y cuáles son los principales desafíos para defenderse del malware multivendor en la actualidad?
La evolución hacia el malware multiplataforma se debió a la profesionalización del desarrollo de malware y el abuso de la capa XFS. No tenía sentido desarrollar malware que explotara las vulnerabilidades de un vendedor o modelo concreto de ATM cuando otros vendedores o modelos sufrían exactamente las mismas vulnerabilidades.
Pero además, la interconexión de los cajeros automáticos experimentó una evolución similar. Esto provocó una significativa reducción de costes, ya que redujo en gran medida la necesidad de desplazarse a la ubicación del ATM para realizar labores cotidianas que podían realizarse de forma remota. Este hecho también permitió que los atacantes pudieran desplegar su software malicioso a distancia y en masa, de forma totalmente segura, resultando en ataques avanzados de red de tipo APT.
Un claro ejemplo de ello fue el caso de Ripper en 2016, que fue usado en un robo de casi 400K$ en Tailandia debido a una infección de más de 3.000 ATMs que se había producido, en unos pocos segundos, a través del sistema interno de distribución de software legítimo de la entidad bancaria.
Los desafíos a los que se deben enfrentar las empresas que se dedican a la ciberseguridad específica de ATMs van a estar en mayor o menor medida relacionados con esta estandarización, ya que se deberá proteger el acceso y el uso de cada elemento tan solo a los procesos que lo necesiten, protegiendo y asegurando su integridad ante cualquier tipo de intento de suplantación de identidad, reemplazo de binarios o inyección de código en procesos legítimos.
¿Qué aprendizajes pueden extraer los bancos de los ataques del pasado reciente y qué tendencias deberían vigilar?
Al principio, los ataques de fraude se centraron siempre en atacar el elemento más vulnerable de la cadena que era el factor humano para posteriormente pasar a atacar directamente el ATM, cuya tecnología aún no tenía mucho recorrido. Mediante el uso de elementos físicos o malware, los atacantes podían obtener de forma sencilla los datos del cliente, el dinero almacenado en el ATM o incluso obtener de forma física la propia tarjeta que se quedaba atrapada en el ATM.
Poco a poco los dispositivos bancarios fueron evolucionando y se implementaron nuevas mejoras de seguridad, por lo que los ataques de fraude se aprovecharon de la poca concienciación de los usuarios (o incluso de los empleados de banca), aumentando de forma considerable los ataques de tipo phishing. Mediante estos ataques, los delincuentes eran capaces también de vulnerar la red interna del banco y con ellos los servidores críticos involucrados en la dispensación de efectivo.
Hoy en día, las entidades bancarias deberán seguir protegiéndose correctamente frente a todos los ataques históricos, pero también deberán poner especial foco en aplicar nuevas medidas para proteger las tecnologías recién implementadas o en expansión, como el acceso a través de las aplicaciones bancarias mediante biometría o la masificación en el uso de los códigos QR, lo que ha derivado en la proliferación de los ataques de tipo QRishing. No hay que olvidar la rápida implantación de la inteligencia artificial, que interviene cada vez más en los procesos internos de las entidades y, por eso mismo, se debe poner especial atención en protegerse frente al uso que puedan hacer de ella las empresas de desarrollo de software malicioso.
¿Qué papel juega la administración pública y las normativas de protección de aplicación global en este entorno bancario?
Sin duda el papel de las entidades gubernamentales, cuerpos policiales y organismos internacionales de seguridad, como Interpol y Europol, que han contribuido a crear canales efectivos de cooperación global para combatir el cibercrimen financiero es clave. Estas agencias han facilitado el intercambio de inteligencia sobre amenazas emergentes, así como la coordinación en operaciones internacionales para desmantelar redes criminales que operan en múltiples países.
Por otro lado, la administración tampoco se ha quedado atrás en esta conciencia de seguridad y ha definido la normativa que considera necesaria para una correcta implementación de la seguridad por las entidades bancarias. La definición del acta de Resiliencia Operacional Digital (DORA), unida al acta de Ciber Resiliencia (CRA) obliga a las entidades bancarias y a las empresas de desarrollo centrado en la ciberseguridad velar por la protección, no sólo de los usuarios finales de la banca, sino también de las propias entidades, y a comunicar de forma interna cualquier vulnerabilidad en los dispositivos, software o procesos y establecer las medidas necesarias para subsanarlos antes incluso de que puedan ser detectados para su explotación por actores maliciosos.
Es de vital importancia mantener y mejorar la colaboración, no sólo entre bancos y empresas de ciberseguridad, sino entre todas las compañías que estén relacionadas en cualquier medida con la seguridad de cualquier tipo de dispositivo crítico. Debe quedar como aviso el caso del malware llamado Dtrack, que habiendo sido detectado operando en cajeros automáticos en 2013, fue luego reutilizado en el ataque a la central nuclear de Kudankulam en India en 2018.