Ciberataques: El enemigo silencioso que acecha
En tiempos de home banking masivo y obligatorio, qué hay que conocer para saber si la infraestructura local es la adecuada para garantizar la seguridad de los trámites y prevenir el accionar delictivo. Cuáles son las tácticas más comunes y cómo evitarlas.
Si había una oportunidad ideal para que la gente se volcara masivamente al uso del home banking, era la de la cuarentena obligada por el Covid-19. Con muchas personas en sus hogares, la mayoría de los comercios cerrados y cientos de actividades restringidas, se dio como algo natural entre quienes se vieron imposibilitados a acudir a una
sucursal. Es más, durante estos meses, los bancos directamente derivaron muchos de sus trámites hacia su área digital. Todos estos nuevos usuarios se sumaron a quienes ya usaban la banca digital, lo cual generó un desafío para
la seguridad del sistema bancario.
Como a toda acción le sigue una reacción similar, a esta mayor demanda de servicios de banca digital, le correspondió una creciente cantidad de ataques de cibercriminales. Uno de los principales objetivos de este accionar es obtener los datos crediticios o, directamente, acceder a las cuentas de los clientes. Pero, muchas veces, también buscan infiltrarse en los sistemas de los bancos, donde pueden obtener recompensas aún más jugosas. Desde el sector, sostienen que, si bien la cuarentena y sus consecuencias los sorprendió como a todos, la infraestructura
está preparada para garantizar la seguridad en los trámites y en las transacciones, sin dejar de trabajar para mejorar y prevenir el accionar delictivo. Además, se llevan a cabo acciones para que los clientes tomen sus recaudos: conectarse desde dispositivos protegidos, cumplir con determinadas reglas al establecer claves y estar
atentos para no caer en las trampas de los cibercriminales.
El acceso masivo al home banking se da en un momento en que, también crece uno de los delitos más comunes y con mayor incidencia en casi toda Américalatina: el ramsomware o secuestro de información sensible, con el objetivo
de pedir posterior rescate. Sólo durante marzo, cuando empezó a regir la cuarentena, los ataques con esta
modalidad aumentaron en un 50% en comparación con enero y febrero de 2020, según un informe elaborado por
la empresa de seguridad Avast.
Otros ataques usuales suelen darse a través de troyanos (como Gandoreiro, que roba credenciales de los usuarios u
otros de acceso remoto, como Emotet, Ryuk o BRaTA) y algunos orientados a la banca móvil, que se propagan utilizando la ingeniería social para engañar a la gente para que ceda sus datos.
«Hemos visto troyanos de banca móvil incluidos en aplicaciones que se hacen pasar por otras de juegos o linternas y
apps de limpieza en Google Play. Una vez que el malware está en el teléfono, coloca una interfaz de usuario falsa
sobre las aplicaciones bancarias de las víctimas, engañando a las personas para que piensen que estaban iniciando
sesión en sus aplicaciones bancarias mientras que, realmente, daban sus credenciales de inicio de sesión a los cibercriminales», dice Luis Corrons, evangelista de Seguridad en Avast.
En una encuesta realizada por esa empresa para comparar la autenticidad de las interfaces de aplicaciones bancarias
oficiales y falsificadas, los resultados en la Argentina «fueron alarmantes: el 64% identificó las interfaces de banca
móvil real como falsas y el 31% confundió las interfaces de banca móvil falsas con cosas reales», añade Corrons.
Otra de las principales tácticas es la del phishing, que a pesar de ser combatido diariamente (Google, por ejemplo,
publica en su blog de reportes de seguridad que cada día bloquea más de 100 millones de mails con esa técnica, de
los cuales 18 millones incluían información relacionada con Covid-19) se sigue produciendo sin descanso. «Los
cibercriminales persiguen principalmente el dinero de las personas, utilizando tácticas de ingeniería social para engañarlos y que entreguen su información financiera», añade Corrons. Esta táctica, o «cuento del tío», consiste
en el envío de mensajes imitando el sitio de una marca, empresa o institución conocida, a veces, pidiendo responderlos con datos bancarios o de la tarjeta de crédito.
Otra variante es la que ofrece vínculos para acceder a una página web que parecería ser la oficial, pero es sólo una
fachada para que las personas dejen sus datos crediticios o claves personales allí. O, simplemente, se envían
mensajes que prometen información sobre el coronavirus. «Los ciberdelincuentes aprovechan este momento de pánico social para sacar provecho. Una táctica es enviar nails haciéndose pasar por autoridades locales o de entidades bancarias, con supuesta información sobre el Covid-19, y logran así que las personas, sin detenerse a pensar, hagan clic o ingresen sus datos en sitios falsos o descarguen archivos, instalando así malware en sus dispositivos», explica Denise Giusto Bilic, especialista de Seguridad Informática de la empresa de seguridad ESET América latina. Sólo en marzo, Interpol ya tenía registros de 30 casos de estafas relacionadas con Covid-19 en Asia y Europa, gracias a lo cual bloquearon 18 cuentas bancarias y congelaron u$s 730.000, objeto de transacciones fraudulentas.
Una reciente investigación de la empresa de seguridad Kaspersky en la región reveló que, en marzo de este año, los ataques móviles de phishing crecieron 20% en la Argentina. Los mensajes fraudulentos fueron mayormente utilizados para el robo datos personales, como credenciales de la banca en línea y redes sociales», dice Fabio Assolini, analista senior de seguridad de Kaspersky en América latina. Los ataques también suelen estar dirigidos a los usuarios privilegiados, como los administradores de los sistemas bancarios que trabajan desde su hogar, quienes tienen acceso a información sensible y a sistemas vitales. Si obtienen esas credenciales, los atacantes pueden incluso engañar a otros empleados y acceder así a información privilegiada. Esos datos pueden ser utilizados para uso propio o para venderlos posteriomente en la Deep Web, o lo que podría denominarse el mercado negro de Internet.
Escudos bancarios
El aumento súbito de clientes del home banking por la cuarentena y el incremento de los ciberataques es algo que
no agarra al sector bancario con la guardia baja. «Los bancos tienen que cumplir con estándares internacionales en materia de ciberseguridad. Los tests de estrés de los servidores, que garantizan que puedan dar abasto al incremento de usuarios. Es algo que muchos bancos ya hicieron o tendrían que haber hecho antes de que empezara
la cuarentena», explica Giusto Bilíc.»Los bancos son las entidades más reguladas, por lo que los controles que
deben implementar normalmente y el ejercicio constante de sus áreas de SI/TI para cumplir con las normativas les
permiten afrontar estas situaciones con el nivel de seguridad adecuado a su actividad», coincide Maximiliano Coll, subgerente general comercial del Banco Ciudad.
No hubo necesidad de aplicar parches o improvisar alguna solución de emergencia. Daniel Farré, socio de Ja
consultora Paradigma Sociedad de Soluciones, da una perspectiva más genérica.
«El sistema financiero argentino, en su conjunto, se fue desarrollando desde hace muchos años para una completa bancarización digital. Somos optimistas con respecto a la universalización de la cultura digital, tanto de parte de los bancos, cuanto de parte de los clientes», manifiesta.
Igualmente, las entidades del sector aumentan cotidianamente la inversión en las áreas de sistemas e incrementan sus elementos de protección en materia de seguridad, para prevenir los ciberataques y sus cada vez más sofisticadas tácticas. Juan Pablo Domenech, gerente de Seguridad Lógica del Banco Provincia, apunta: «La pandemia de Covid-19 hizo que las personas se volcaran masivamente a los canales digitales para realizar operaciones bancarias y comerciales. Hay muchos usuarios que están aprendiendo hoy a utilizar estas herramientas que los bancos ofrecen desde hace años y, por eso, a la seguridad informática, la vemos como un proceso de mejora constante, donde no
hay un punto de llegada».
Sin ir más lejos, desde la entidad bancaria comparten algunas cifras que ilustran el crecimiento en la adopción del home banking por parte de los usuarios: las transacciones totales de la Banca Internet Provincia (BIP) pasaron de un promedio de 3,5 millones a 4,7 millones mensuales en abril y mayo, lo que representa una suba del 34%; y las altas de usuarios se triplicaron, al saltar de 34.500 a 110.000 por mes tras la pandemia. Hoy, son más de 2,1 millones los que operan por home banking de Banco Provincia. Pero los ataques también se hacen cada vez más sofisticados: por ejemplo, en relación al malware bancario, hoy en día, es muy común el uso de RATs (remote admin tools), herramienta que le permite al criminal acceder a la computadora de la víctima de manera remota, desde la cual realiza el robo de credenciales, acceso el servicio bancario y robo de dinero. «Esta táctica dificulta la detección por
los sistemas antifraude de los bancos porque la operación se da desde la terminal que habitualmente se usa para
acceder a la banca», aclara Assolini.
Precisamente, en este contexto de mayor complejidad en los ataques, «las empresas deben dejar de ver la seguridad
como un producto aislado para prevenir determinados ataques. No solo se necesita poder ver y proteger todas las infraestructuras y dispositivos, independientemente de su ubicación o tipo, desde un único sitio, sino también coordinar los recursos para mejorar la detección, automatizar la respuesta y adaptarse dinámicamente a los cambios», explica Gustavo Maggi, director Regional de Fortinet para Sudamérica Este.
Punto de partida
Como la digitalización es un hecho yvlos bancos se preparan continuamente para repeler los ciberataques, queda
prestar atención a lo que ocurre en el otro extremo del circuito: las conexiones hogareñas o móviles. Muchas veces, el error que permite el ataque es humano, como abrir archivos sin asegurarse si vienen de un lugar seguro, entrar a páginas sin protección, divulgar datos personales o crediticios por redes o mails y no prestar atención a las recomendaciones de las entidades bancarias. Por eso, hay que concentrarse en el cliente, quien constantemente está
en el foco. »El contexto nos sorprendió a todos y esto incluyó también a nuestros clientes. Por lo cual, trabajamos con un fuerte foco realizando campañas promoviendo el uso seguro de los canales digitales. Pero, también, con consejos para que estén preparados para enfrentar posibles estafas», explican en el BBVA.
La mayoría de los bancos efectúa campañas similares. Desde el ICBC, por ejemplo, se hacen en forma periódica, con consejos para los clientes sobre cómo operar desde sus dispositivos, así como en cajeros automáticos, mediante sus canales, mailings y redes sociales. «Pero es cierto que, dada la mayor utilización de los canales digitales en estos meses de aislamiento, hemos reforzado los consejos de seguridad», admite Enrique Rubinstein, Chief Information Security Officer de la filial argentina del banco.
Aunque claro, incluso si los dispositivos pueden ser seguros, el acceso no siempre lo es. Muchas veces, los clientes se conectan utilizando una red inalámbrica insegura, como un Wi-Fi compartido con vecinos o el que encuentran disponible en la calle.
«Cuando se navega en Internet o se accede al home banking desde equipos públicos o redes inalámbricas públicas, conviene evitar ingresar datos críticos o personales y, en caso de tener que hacerlo, usar el teclado virtual ofrecido por el sitio. Las redes poco confiables, como las redes abiertas de los aeropuertos, cafés, shoppings, locales de comidas rápidas y otras, exponen al riesgo de intercepción de las comunicaciones y el consecuente robo de datos», explican desde el Banco Provincia.
En los casos en los que no es posible confiar en la seguridad de la red, para acceder al home banking, conviene utilizar una red privada virtual o VPN, que cifra el tráfico que se está enviando al servidor, para evitar que se robe la información. Varios navegadores de Internet, como Opera, Brave o Tenta, entre otros, la traen incorporada. lgualmente, queda claro que la opción de seguridad elegida siempre podrá tener algún punto débil. Por eso, se recomienda una combinación de varias de ellas, o aprovechar la biometría.
Desde hace unos años, se empezaron a implementar los sistemas biométricos de reconocimiento como contraseña,
en parte, aprovechando que ya estaban disponibles en varios dispositivos digitales. La biometría ya no es hackeable, aunque podría llegar a ocurrir el caso de que alguien replique los datos biométricos, algo ya muy complejo. «El reconocimiento facial es un método seguro y no requiere que el cliente recuerde una clave. En nuestro caso, además, también implementamos la unificación de claves de acceso a mobile y home banking, y la posibilidad de blanquear la clave PIN de la tarjeta de débito sin necesidad de acercarse a un cajero automático y hasta la identificación por DNI, validando la identidad con Renaper», aclara Rubinstein.
Teletrabajo
Una de las principales razones de este incremento de los ataques es el aumento del teletrabajo. Y es que muchas personas utilizan sus propios dispositivos y se conectan a la red en forma hogareña, en vez de hacerlo por la corporativa, y no siempre aplican los protocolos de seguridad requeridos. La mayor incidencia del home working
implica, también, más riesgos, tanto para las empresas que proveen muchas veces los dispositivos de trabajo remoto como la seguridad en los sistemas de VPN (redes privadas virtuales) para poder acceder a la red de la empresa.
Como no todas las empresas pueden darles dispositivos a sus empleados, deben recordar les la importancia de estar protegidos y, además, tienen que reforzar las medidas de seguridad en los servidores de la empresa. En varias compañías, además, se pasó en pocas semanas de un esquema de algunos empleados haciendo teletrabajo una o dos veces por semana a casi la totalidad del personal accediendo diariamente, lo que implica un desafío para las áreas de sistemas. «Puede implicar la necesidad de un aumento en la asignación de tokens, licencias de escritorios virtuales, velocidad de los vínculos corporativos de Internet para absorber el acceso remoto a la red corporativa. En otros casos, la provisión de notebooks configuradas adecuadamentente. Todo esto, para brindar un ambiente seguro de trabajo, independientemente del equipo físico desde el cual se trabaje, haciendo frente a posibles ataques en el nuevo contexto», sostiene Coll.
Por otro lado, las condiciones de teletrabajo actuales también cambiaron: antes, el empleado remoto trabajaba en su hogar, tal vez, algunos días por semana, y durante las horas en que los niños estaban en el colegio, por lo que le dedicaba varias horas a su tarea, sin interrupciones. Ahora, comparte todas las horas de cada día con su familia, lo cual puede llevar a distracciones y hacer que, por ejemplo, haga clic en el link erróneo.
Durante la cuarentena, poder acceder al home banking ya no es una comodidad para evitar perder tiempo en ir a una sucursal bancaria, sino que se transformó en una necesidad. Las entidades bancarias deben garantizar la seguridad total en su infraestructura para que se puedan hacer transacciones sin problemas, pero sus clientes tienen que aceptar la responsabilidad de cuidar sus equipos, su conexión y sus propias acciones para evitar ser víctimas de los ciberdelincuentes.