Ciberseguridad en la industria bancaria, entre la amenaza y la oportunidad

Tras los recientes episodios de clonación masiva de tarjetas, volvió a la agenda pública el urgente desafío de una mayor protección de datos personales y transacciones más seguras.

Tras el ciberataque sufrido por el Banco de Chile el año pasado, las alertas en el sistema bancario nuevamente llegaron a su tope en las últimas semanas, luego de las sucesivas clonaciones masivas de tarjetas, en una especie de ajedrez entre los mecanismos de protección de datos de la industria y los sofisticados mecanismos de vulneración que utilizan los cibercriminales.

Ciberseguridad es el término que constantemente suena y que puede definirse como la ‘protección de activos de información’, dice el CEO de Pallavicini Consultores, César Pallavicini. Así, a través del tratamiento de amenazas que ponen en riesgo dichos activos en su procesamiento, almacenamiento y transporte por los sistemas de información que se encuentran interconectados, se configura este concepto que la banca conoce muy bien pues ha sido muy activa en incorporar sofisticadas tecnologías para protegerse y proteger a sus clientes.

No obstante, el investigador del Centro de Estudios del Futuro de la Universidad de Santiago de Chile (Usach), Hugo Soto, sostiene que en esto la principal lección es ‘asumir que este tipo de delitos irá en aumento. Las nuevas tecnologías, que generalmente no consideran la dimensión seguridad en su diseño, generan oportunidades que son aprovechadas por los delincuentes’.

En ese sentido, el integrante de la Mesa de Transformación Digital de la Asociación Chilena de Empresas de Tecnologías de Información (ACTI), Carlos Jaureche, aclara que los bancos tienen problemas específicos con relación a la ciberseguridad, pero también otros similares a los que pueden enfrentar compañías de otros sectores. El tema es que por la naturaleza de su negocio –manejar dinero de miles de clientes–, que se basa en la confianza, ‘el impacto y repercusión es bastante mayor’. Y no sólo se trata del daño patrimonial que supone una vulneración a la seguridad de estas instituciones, sino que hay un aspecto sensible en términos de reputación, confianza e imagen que, en ocasiones, puede repercutir hasta en pérdida de clientes. En ese sentido, Jaureche sostiene que la ciberseguridad debe velar por tres dimensiones básicas en la industria: ‘Confidencialidad, integridad y disponibilidad de la información’.

Por eso, muchos expertos y analistas coinciden en que, junto con el fortalecimiento de los dispositivos de seguridad que cada entidad bancaria implemente, es vital la educación y comportamiento de los usuarios, como mecanismo de prevención.

‘La seguridad en el manejo de la información debe garantizar que en el proceso no ocurran fraudes que atenten contra el patrimonio de los clientes y contra la entidad financiera. Es un desafío al que debemos dar respuesta de manera contundente’, plantea Daniel Testa, gerente de Medios de Pago de la empresa Vigatec.

‘Los bancos ya saben las lecciones, falta que inviertan en mayor seguridad para sus clientes, especialmente los que administran las cuentas Rut. Y los usuarios deberían desconfiar de cajeros que no conozcan o que sean accesibles desde la calle y/o lugares riesgosos como bencineras y farmacias’, añade Pallavicini.

Amenazas en dos frentes

Los expertos han delineado dos tipos de amenazas: internas y externas. Las primeras se relacionan, por ejemplo, con filtración de datos o transacciones fraudulentas, donde la técnica de fuzzing de inteligencia artificial o el desarrollo de enjambres de robots inteligentes son las próximas amenazas: los ciberdelincuentes aprovechan los eslabones débiles al interior de los bancos, explotando fallas tecnológicas o flancos abiertos en controles, y generan robos de cuentas o de datos de tarjetas.

‘Los problemas internos debieran ser de más fácil abordaje, en tanto están dentro del ámbito de control de los bancos. Pero así y todo, la banca debe comprender que la solución no es sólo tecnológica, sino que requiere educación y capacitación de sus trabajadores, para evitar ser víctimas de técnicas de ingeniería social’, apunta Hugo Soto. Las amenazas externas –problemas de seguridad en cajeros, tarjetas, páginas web y aplicaciones, entre otros medios–, corresponden a vulneraciones vía usuario, con acciones como phishing y otras técnicas de ingeniería social.

‘En este ámbito, las tarjetas bancarias con banda magnética son quizás el principal foco de vulnerabilidad: sólo BancoEstado tiene más de 11 millones de estos plásticos –asociados a cuentas Rut–, que debieran ser reemplazados por tarjetas con chip’, añade el investigador de la Usach.

Estos ataques tienen como principal vulnerabilidad el uso que le dan los propios usuarios y las medidas de autoprotección que ellos puedan adoptar. Al respecto, el gerente de Asuntos Corporativos de Transbank, Raúl Muñoz, complementa y dice que los delitos de clonación se evitan, en gran medida, a través de nuevas tecnologías cuyo objetivo sea brindar mayor seguridad.

‘Pero esencialmente se trata de una tarea conjunta entre todos los actores involucrados en las transacciones electrónicas. Por eso en este tema son tan importantes los procesos de prevención y de detección oportuna, como los hábitos de seguridad que deben incorporar las personas y los comercios’, argumenta.

BLOCKCHAIN, LA HERRAMIENTA EN BOGA PARA TRANSACCIONES SEGURAS

Este escenario hace imperativo tener una estrategia de ciberseguridad que parta desde los puestos de alta dirección –el llamado C-level– y que permee a todo el resto de la compañía ‘con programas especiales tal como lo hemos visto públicamente de cara a los clientes’, dice el director para la Industria Financiera de Accenture Chile, Nicolás Deino, agregando que también es clave reforzar la cultura interna para los colaboradores, ‘utilizando nuevas técnicas y permanentes actualizaciones en sus entrenamientos’.

Como suele ocurrir con fenómenos no programados y difíciles de predecir en su magnitud, la industria siempre va corriendo un poco más atrás frente a las amenazas de ciberataques. No obstante, han surgido diversas respuestas para enfrentar esta realidad, desde aspectos más básicos como temas de seguridad perimetral, nuevos antivirus, mejoramiento de la seguridad de aplicaciones y sitios web, hasta soluciones machine learning o análisis de comportamiento.

Pero sin duda lo que más destaca es el Blockchain, hoy en boga en diversas latitudes del mundo por su innovador funcionamiento para proteger la seguridad de las transacciones, aunque también con diversas otras aplicaciones en la banca.

Se trata de un revolucionario diseño de base de datos digital compartida, que funciona como un ‘libro’ para el registro de operaciones de compraventa o cualquier otra transacción. El proceso opera, en palabras simples, del siguiente modo: por ejemplo un usuario, de manera anónima, avisa a través de Internet que quiere transferir una cantidad de dinero a otro usuario; todos los demás integrantes de la red primero comprobarán que la cuenta de origen tiene fondos para cubrir la transacción y si es así, se efectúa la operación, pasando a formar parte del bloque de transacciones.

El Blockchain permite que quede ese registro de manera inalterada y transparente.

9 DE CADA 10 BANCOS SUFREN CIBERATAQUES EN AMÉRICA LATINA, SEGÚN LA OEA (año 2018)