Son muchos los mercados que actualmente se encuentran transitando su camino hacia la transformación digital y que, cada vez más, se ven amenazados por la innovación, creatividad y habilidades (tanto técnicas como sociales) de quienes desarrollan ataques que resultan en portadas de diarios o publicaciones asociadas al hashtag #ciberseguridad.
Las entidades bancarias no son la excepción, incluso siendo una de las verticales que mayor conciencia tiene sobre Ciberseguridad y que trabaja en ello desde hace ya muchos años. Entonces, ¿cómo es posible que se superen las distintas barreras que estratégicamente se han ido colocando y el know-how adquirido? La principal respuesta a esta pregunta es el desarrollo de habilidades sociales (o blandas) por parte de los atacantes y la selección del objetivo: las personas. Hoy en día estos últimos no deben diseñar una compleja pieza de software ejecutable, obtener acceso físico a determinado equipamiento o disponer de grandes capacidades de cómputo. En muchos casos, les basta con entender el contexto de la víctima analizando qué herramientas opera con normalidad, conocer las situaciones en las que un empleado (con un entrenamiento estándar en la materia) confía y encontrar aquellas vías de comunicación que son necesarias para el negocio. La finalidad es tomar control de la identidad de dicho empleado dentro de la empresa.
Según el reporte “Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe”, de la Organización de Estados Americanos, presentado en Washington DC a fines del año pasado, el 92% de las entidades encuestadas manifestaron identificar algún evento de seguridad, ya fuera exitoso o no. En este mismo sentido, el 57% encontró eventos de Spear Phishing (subtipo del conocido ataque, enfocado en personas o roles de interés para el atacante) y aproximadamente un cuarto de los participantes confirmaron que este caso ocurre con frecuencia diaria.
Un caso de análisis de malware distribuido vía email es EMOTET, cuya repercusión aún se hace notar a través de importantes Centros de Respuesta a Incidentes de Ciberseguridad en Latino América como el caso de Argentina (BA-CSIRT), Paraguay (CERT-PY) y Chile (CSIRT-Ministerio del Interior) entre otros. Su primer actividad fue detectada en 2014 y tenía como objetivo en su momento tomar credenciales del usuario afectado vinculadas a entornos bancarios. Su evolución le permitió convertirse en un malware modular. Utilizando algunos de éstos puede obtener las credenciales almacenadas dentro del equipo afectado, recopilar información de contactos del software de correo electrónico que emplea el usuario y retransmitirse empleando nuevamente el Phishing como técnica e incorporando URL links en el cuerpo del mensaje enviado, documentos de texto o incluso archivos con formato PDF. En escenarios extremos, al contar con el control del endpoint, el atacante tiene la potestad de descargar distintos payloads iniciando ataques particulares, como por ejemplo una infección de ransomware, con el objetivo de monetizar su accionar.
Es en este punto que el atacante, habiéndose enfocado en el eslabón más débil de la cadena y sorteando medidas de seguridad tradicionales o herramientas que no interactúan entre sí, tiene éxito. Hoy contamos con soluciones que permiten bloquear el intento de infección como un Next Generation Firewall / Next Generation Intrusion Prevention System (operando desde el perímetro) o herramientas avanzadas de Email Security (controlando el medio más utilizado para la distribución de este tipo de malware). Para aquellos casos donde detectamos que la infección tuvo lugar fuera de nuestro control, es imprescindible contar con una herramienta de gestión de acceso e identidad adecuada que nos permita aislar o poner en cuarentena el endpoint comprometido.
Por lo tanto, para detectar, prevenir y responder resulta indispensable contar con una Arquitectura de Ciberseguridad integrada que permita reducir al máximo los tiempos de detección y respuesta frente a estos incidentes, gestionando la seguridad ya sea en el correo electrónico, la identidad de la persona dentro de nuestra red o accionando desde el perímetro.
