Buscar
Cerrar este cuadro de búsqueda.
Alex Rocha, director de BIO-key en EMEA

Cómo los hackers burlan la ciberseguridad bancaria

Por Alex Rocha, director de BIO-key en EMEA

Las organizaciones de servicios financieros han sufrido cada vez más ataques de ciberamenazas y es poco probable que esta trayectoria disminuya. Las empresas deben asegurarse de que disponen de las soluciones adecuadas para protegerse y defenderse a sí mismas, a sus clientes y a los sistemas financieros en los que participan. Es importante señalar que las soluciones necesitan personas con una comprensión avanzada de cómo implementar la ciberseguridad de una forma eficaz. Para ello, la dirección debe asignar fondos, recursos y tiempo de los empleados para aprender, comprender y pensar en estas intersecciones. La formación continua de los profesionales de la ciberseguridad es clave, lo que implica algo más que obtener una certificación de seguridad.

Nos vamos a centrar en tres soluciones clave a las que los bancos y las cooperativas de crédito deben prestar atención: dos relacionadas con la identidad y el acceso y una con elevar la preparación de los empleados para hacer frente a las amenazas de seguridad.

Identidad y autenticación para empleados y clientes

Las credenciales dan acceso a los sistemas y derechos de autorización para aprobar todo tipo de transacciones y solicitudes financieras. Los hackers van tras las credenciales mediante ataques de relleno de credenciales, phishing e ingeniería social. Dos ejemplos:

  • Phishing: Los clientes del OCBC Bank de Singapur perdieron más de 10 millones de dólares en diciembre de 2021 al responder a alertas por SMS supuestamente procedentes de OCBC para alertar de irregularidades en sus cuentas. Casi 800 clientes hicieron clic en el enlace de la alerta e introdujeron las credenciales de su cuenta bancaria, momento en el que los estafadores transfirieron fondos de sus cuentas. El banco reembolsó el dinero a todas las víctimas, por lo que el ataque de phishing a sus clientes le salió caro.
  • Ingeniería social: Un hacker violó los datos personales de más de siete millones de usuarios de la aplicación de intermediación Robinhood, llamando a la línea de atención al cliente y engañando a un empleado para que facilitara sus credenciales.

Los bancos y las cooperativas de crédito deben protegerse contra los ataques a la identidad o sufrir costosas consecuencias. Esto significa dar varios pasos.

En primer lugar, avanzar en la dirección de menos contraseñas y más biometría para procesos de autenticación más fuertes para empleados y clientes. Identificar de forma única a un empleado y garantizar que la persona que suministra las credenciales de autenticación es el empleado correcto es cada vez más probable que falle con nombres de usuario, contraseñas e incluso formas básicas de autenticación multifactor. Las soluciones basadas en la identificación biométrica mediante huellas dactilares o reconocimiento facial proporcionan una autenticación de alta garantía para los empleados que realizan su trabajo, junto con las claves de hardware criptográficas utilizadas en combinación con la biometría gestionada.

En segundo lugar, las organizaciones de servicios financieros necesitan reforzar los flujos de trabajo de identidad y autenticación también para los clientes, no sólo para los empleados. Los clientes forman parte integral del sistema financiero, acceden e interactúan con cuentas y productos de préstamo e inician transacciones estándar y de alto valor. Proporcionar acceso al sistema a los clientes utilizando únicamente un nombre de usuario y una contraseña es una invitación abierta al riesgo, por lo que son esenciales métodos más sólidos de autenticación dentro de las aplicaciones móviles y principios de confianza cero para detectar características anómalas de los dispositivos y la red. Para evitar fraudes y pérdidas, es fundamental tener la certeza de que la persona que solicita acceso a una cuenta o inicia una transacción es quien dice ser. La dependencia de enfoques básicos, como códigos enviados por SMS o correo electrónico, debe eliminarse en los flujos de trabajo que conceden acceso al sistema a los clientes, ya que las protecciones ofrecidas originalmente por estos enfoques son cada vez más fáciles de romper. Hay una creciente digitalización de la experiencia bancaria para los consumidores, impulsada forzosamente por las órdenes de refugio en el lugar y cierre durante la pandemia y el cierre de sucursales con la erosión adicional de cualquier relación cara a cara restante entre el banco y sus clientes. El desarrollo de medios más sólidos para garantizar la identidad es clave para la interacción continua con el cliente y sus experiencias bancarias.

Por último, la identidad y la autorización deben supervisarse para detectar intentos de pirateo, ataques de pulverización de contraseñas, vertido de credenciales e intentos de utilizar credenciales robadas. Las soluciones de seguridad en la nube ofrecen la posibilidad de controlar de dónde proceden las solicitudes de autorización, al igual que las soluciones de gestión de identidades.

Abordar el acceso con privilegios excesivos

Cualquier empleado o contratista con derechos de acceso a datos y sistemas que excedan lo necesario para sus tareas laborales supone un riesgo para una organización de servicios financieros. Esto puede provocar el robo de datos por parte de un empleado malintencionado, la compartición excesiva accidental por parte de un empleado o el robo de datos por parte de una amenaza externa tras comprometer las credenciales de un empleado

Los sistemas que supervisan y analizan los niveles de acceso de los empleados (incluidos gerentes, ejecutivos, administradores de TI y contratistas) para identificar derechos de acceso con privilegios excesivos permiten una intervención temprana para restablecer los derechos a un nivel más adecuado. Este ajuste reduce la probabilidad de que existan cuentas con niveles de acceso inadecuadamente altos, reduce la deriva del acceso cuando los derechos se amplían por error y disminuye el radio de explosión en caso de un ataque interno o una brecha externa. Los sistemas que abordan el acceso con privilegios excesivos utilizan modelos de IA y ML para crear una base normalizada de derechos de acceso para los empleados en función de un grupo de referencia.

Para las personas que requieren altos niveles de acceso a los sistemas, las soluciones de Gestión de Acceso Privilegiado (PAM) introducen salvaguardas adicionales. Por ejemplo, en lugar de activar continuamente los derechos de superusuario en la cuenta, el usuario solicita una concesión de acceso elevado limitado en el tiempo o en las transacciones, que debe aprobarse, se audita y se revoca automáticamente cuando ha transcurrido el tiempo o se ha completado la transacción.

Por último, el acceso con privilegios excesivos también se produce cuando las conexiones entre aplicaciones, como los tokens OAuth utilizados ampliamente en entornos SaaS, se conceden de forma imprudente o involuntaria a agentes malintencionados. Utilice soluciones para evaluar continuamente la intención de las conexiones OAuth, detectar amenazas ocultas y reforzar las configuraciones de seguridad.

Formación

Los empleados de las organizaciones de servicios financieros tienen las llaves de acceso a datos muy importantes. Si un hacker puede comprometer a un empleado a través de un ataque de phishing, vishing, smishing o de correo electrónico comercial, se le pueden robar credenciales y fondos. Los empleados necesitan formación periódica sobre las señales de advertencia de las ciberamenazas, los trucos habituales de ingeniería social y las mejores prácticas de higiene de seguridad para reducir las probabilidades de éxito de un ataque.

Dado que el sector de los servicios financieros seguirá siendo un objetivo clave de los ciberdelincuentes, necesitan encontrar formas de prevenir los ciberataques. Hoy en día, los servicios financieros tienen que revisar la eficacia de sus actuales protecciones de ciberseguridad, invertir en nuevas soluciones para hacer frente a las amenazas existentes y emergentes y seguir las mejores prácticas.

Más T-EX