Recientemente los bancos europeos han recibido una nueva advertencia por parte de la EBA (Autoridad Bancaria Europea) sobre el aumento de las amenazas cibernéticas. Tras la invasión rusa de Ucrania, este organismo ha actualizado de su panel de riesgos y ha explicado que la exposición al colapso de bancos rusos, bielorrusos o ucranianos era una amenaza menor que los efectos de «segunda ronda» como ataques cibernéticos que pueden llegar a amenazar la estabilidad financiera.
La preocupación por la ciberseguridad no es algo nuevo, lleva muchos años en la agenda de los bancos, aunque sí es cierto que los temores son ahora mayores. Digamos que hay un ‘negocio’ obvio para las bandas de ciberdelincuentes en los servicios bancarios y, especialmente, en los cajeros automáticos. Y puede ser muy lucrativo, así que muchas veces estos delincuentes se dedican a ello a tiempo completo e incluso llegan a invertir nada desdeñables presupuestos a I+D criminal para preparar los ataques.
Los nuevos riesgos para la seguridad bancaria
Dado que los bancos están poniendo cada vez más esfuerzos en su digitalización, tienen que revisar más cuidadosamente que nunca sus estrategias de ciberseguridad. Deberían preocuparse especialmente por el aumento de los ataques de ransomware que interrumpen sus sistemas críticos, extorsionan grandes sumas y conllevan un dañino robo de datos.
Un reciente estudio realizado por expertos en ciberseguridad de Palo Alto Networks reveló que la demanda en casos de este tipo de rescate aumentó un 144% llegando, de media, hasta los 2,2 millones de dólares. Y los bancos han sido tradicionalmente los principales objetivos de los ataques de ransomware. Por ejemplo, el año pasado, Trend Micro reportó que el sector bancario se vio afectado por ellos enormemente, con un aumento interanual del 1.318% de estos ataques en la primera mitad de 2021.
Evitarlos por completo es difícil, pero los bancos pueden reducir la probabilidad de sufrirlos o, al menos, mitigar el daño causado si tienen en cuenta que la ciberseguridad debe ir de la mano de sus programas de transformación digital, y no como dos áreas de negocio separadas.
Es especialmente importante atender en este sentido al despliegue de cajeros automáticos avanzados y terminales de autoservicio asistido (ASST) que ahora se utilizan en las sucursales de nueva generación y hubs de banca digital, ya que son aspectos clave de la digitalización del banco.
Además, en su planificación de la seguridad, los bancos deben tener en cuenta las nuevas formas de trabajar y operar (online) y cómo afectan al balance de riesgos. Aunque los confinamientos parecen haber terminado, los modelos de trabajo híbridos permanecen, lo que supone que el personal bancario no siempre trabaja físicamente dentro de su sucursal u oficina e incurrir en vulnerabilidades sin darse cuenta.
Del mismo modo, el gran aumento de uso de la banca online conlleva riesgos ya que muchos ‘nuevos’ clientes de este canal de ellos no están habituados a operar de este modo y por tanto pueden ser más susceptibles a estafas o ataques de phishing, lo que puede provocar brechas de seguridad importantes.
Enfoque de confianza cero para la seguridad bancaria de autoservicio
Básicamente, el objetivo de la entidad en cuanto a ciberseguridad debe ser reducir la superficie de ataque y tener una mayor visibilidad sobre lo que está sucediendo, así como una detección más rápida de las actividades anómalas o sospechosas.
Todos los dispositivos de acceso, que van desde estaciones de trabajo hasta cajeros automáticos y ASST, son vulnerables a ataques y deberían ser el punto de partida a la hora de revisar las estrategias de ciberseguridad. Cada vez más se tiende a adoptar una política de confianza cero o Zero trust, lo que significa que cualquier sistema de ciberseguridad debe minimizar el nivel de confianza implícita para que solo se use y se acceda al software cuando se realizan controles estrictos.
Este concepto se puede aplicar muy bien a los cajeros automáticos y ASST, ya que contienen varias capas de software -el sistema operativo, una capa de software de proveedor de hardware, la capa del multi-vendor, además de las diferentes herramientas para operaciones, monitorización, seguridad, etc.- que a veces son operadas por diferentes actores.
El riesgo de estas capas es que, a diferencia de lo que sucede en un PC, las actualizaciones tienden a ser reactivas, no proactivas, lo que significa que pueden colarse en el software vulnerabilidades de manera inadvertida. La confianza cero no asume por defecto la supuesta seguridad del software convencional, lo que es importante porque los atacantes cibernéticos pueden utilizar herramientas y software legítimos para lanzar un ataque.
Además, una estrategia de confianza cero para los terminales bancarios debería extenderse a las herramientas y servicios de terceros que tienen acceso legítimo a los dispositivos para dar servicio (reparaciones, rellenado de efectivo, etc.). El sistema debe interrogar, en todos los casos, si un acceso en un momento o lugar específico es correcto o está autorizado.
¿Seguimos teniendo dudas? Desde Auriga proponemos esta lista de verificación sobre la seguridad de ATMs y ASST:
- Reducir la superficie de ataque: Solo se permitirá realizar una cosa si es necesaria, y no solo cuando sea legítima, y solo si se ha certificado para ciertas operaciones.
- Controlar a quien vaya físicamente a manipular el cajero automático. Las soluciones estándar como los antivirus tienen siempre el mismo nivel de protección, pero cuando hablamos de dispositivos críticos y una tercera persona los está manipulando, debemos ser capaces de controlar el nivel de protección y activar políticas específicas en ese momento. El banco tiene que ser capaz de monitorizar lo que el técnico está haciendo en ese momento, que es el de mayor exposición a un ataque.
- Facilitar el trabajo de gestión de la ciberseguridad bancaria. Es recomendable consolidar las medidas de protección en una sola plataforma, como la lista blanca de aplicaciones, el cifrado completo de todos los discos duros y medios, la protección de la integridad del sistema de archivos, la protección del hardware y un firewall para detener los ataques a la red.
Más información sobre cómo Auriga ayuda a los bancos a proteger las generaciones antiguas y nuevas de cajeros automáticos, ASST y el resto de los sistemas utilizados en las operaciones de sucursales bancarias de próxima generación aquí.