Los atacantes cibernéticos buscan el dinero de la banca en A. Latina

Por Tomás Sarmiento en Ciudad de México y Sebastián Pérez-Ferreiro en Santiago de Chile

Ningún país latinoamericano está verdaderamente preparado para enfrentar ataques cibernéticos a su sistema financiero o a su infraestructura crítica, y la transformación digital de muchas industrias tiene el potencial de multiplicar las amenazas que enfrenta la región.

Los ciberataques que han afectado este año a la banca mexicana y a uno de los principales bancos de Chile expuso las vulnerabilidades en las conexiones a redes de pago locales e internacionales, así como la falta de una protección avanzada contra amenazas como malware, ataques de día cero y otros virus.

"Los ataque que estamos viendo en Chile y en el resto de América Latina son exactamente los mismos que están pasando en diferentes países", señaló Andrés Pérez, director para Sudamérica de la firma californiana de ciberseguridad Fortinet.

"Me preocupa mucho el aumento de ataques usando herramientas de [la agencia de seguridad de EE.UU.] NSA. La forma en cómo se ejecutan esos ataques son extremadamente difíciles de detener", advirtió.

EL ATAQUE DE SHADOW BROKERS

A principios del año pasado, un misterioso grupo de hackers llamado Shadow Brokers comenzó a descargar discos llenos de secretos de la NSA de EE.UU. en internet. Entre ellos estaba EternalBlue, vulnerabilidad de software en el sistema operativo Windows de Microsoft que, según informes, NSA usó y que, una vez filtrada, se convirtió en la pieza central de los ataque ransomware WannaCryattack.

Otro ataque de Shadow Brokers, en abril de 2017, incluyó herramientas desarrolladas por NSA para acceder a los datos bancarios de la red de pagos internacionales SWIFT, que la agencia estadounidense usó para supervisar el financiamiento de terrorismo a través de instituciones financieras de Medio Oriente.

A principios de enero de 2018, un trabajador del banco comercial mexicano Bancomext notó un volumen de transacciones extremadamente alto mientras supervisaba órdenes de pago enviadas por la plataforma SWIFT. Al suspender temporalmente sus operaciones en SWIFT, de acuerdo con un informe de Bloomberg, Bancomext pudo evitar que hackers, presumiblemente de Corea del Norte, robaran más de US$110mn al banco.

El 24 de mayo, Banco de Chile detectó un ataque de día cero en sus sistemas. Pero el malware SWAPQ fue de hecho un distractor plantado por los hackers para mantener a ejecutivos y técnicos distraídos mientras robaban US$10mn a través de la cuenta SWIFT del banco.

Entre medio de los ataques contra Bancomext y Banco de Chile, piratas informáticos atacaron el sistema de pago interno de México, conocido como SPEI. El 17 de abril, el Banco Central mexicano detectó irregularidades en la conexión de una firma de corretaje bursátil local a la red SPEI. Una semana después, el banco más grande del país, Banorte, notó transacciones irregulares en su propia conexión con SPEI.

Según Rafael Revert, director de tecnología y cofundador de Cyttek Group, con sede en Panamá, la media docena de instituciones financieras que perdieron un total combinado de US$20mn no fueron pirateadas, sino que los hackers crearon transacciones duplicadas en SPEI que se desviaron a la cuentas personales de alrededor de 140 a 160 colaboradores que recibirían depósitos de 99.000 pesos (US$5.300).

"No se conocen las 'mulas', que es el nombre de la cuenta. Lo que no se conoce es a quién dieron ese porcentaje de la transacción", aseveró Revert, quien cree que un cartel de drogas mexicano puede estar detrás del ataque.

Para mitigar los riesgos de nuevos ataques a SPEI, el Banco Central anunció que revisará las transferencias interbancarias de más de 50.000 pesos, que antes de los ataques se procesaban en unos cinco segundos. Revert cree que este es un paso en la dirección correcta para evitar ataques similares en el futuro.

"Los atacantes técnicamente lo pueden volver a hacer, pero no les va a ser rentable. Si el botín es 10 y tú eres la mula, entonces te doy 4, guardo 6 y estamos listos para irnos. Pero si lo dejas en US$2.000, no vas a arriesgar ir a la cárcel por mil dólares", indicó a BNamericas en el marco del reciente Congreso de Seguridad 2018 celebrado en Chile.

"Después de estos ataques, ya cuando tocaron los termas del sector financiero empezaron a tomar mayor importancia, sobre todo para los gobiernos", afirmó Carlos Hernández, de la consultora de telecomunicaciones The CIU. "Lo que se está haciendo es reforzar los sistemas financieros", aseguró.

INVERSIONES EN CIBERSEGURIDAD

Los países latinoamericanos invirtieron US$3.000mn en ciberseguridad el año pasado y la cifra crecerá 12,5% en 2018, según IDC. Brasil y México son responsables del 66% del total gastado.

El regulador bancario de Chile, SBIF, dice que los 17 principales bancos del país inyectarán casi 61.000mn pesos (US$95mn) en ciberseguridad este año, lo que se compara con los cerca de 39.000mn de pesos de 2017.

Sin embargo, ninguna nación de América Latina es parte de los 21 países líderes en estado de preparación en el índice mundial de ciberseguridad 2017 de la Unión Internacional de Telecomunicaciones.

México es líder en la región al situarse en el lugar 28 a nivel mundial, muy por detrás de EE.UU. (2) y Canadá (9), sus socios en el tratado comercial TLCAN, con un puntaje de 0,660 en una escala de 0 a 1. Brasil se ubicó en el lugar 38 con 0,593 puntos, seguido de Colombia en el puesto 46 y un puntaje de 0,569. Chile quedó atrás en el puesto 80 y 0,367 puntos.

Solo Argentina, Chile, Costa Rica, República Dominicana y Panamá han ratificado el Convenio sobre la Ciberdelincuencia de Budapest del Consejo de Europa, que establece lineamientos internacionales para la aplicación de la ley sobre el tema.

Después del ataque al sistema SPEI, el Banco Central de México se apresuró a crear una Dirección de Ciberseguridad, mientras que el Gobierno chileno solicitó ayuda al FMI para diseñar políticas que protejan sus sistemas financieros de nuevos ataques. También creó el cargo de asesor presidencial en ciberseguridad para que trabaje con los sectores público y privado en la elaboración de una política que aborde las crecientes amenazas de nuevos ataques.

INTENSIFICACIÓN DE RIESGOS

Este año el Foro Económico Mundial ubicó los ataques cibernéticos en tercer lugar en términos de probabilidad y en sexto en cuanto a impacto entre las amenazas crecientes en su Informe de Riesgos Mundiales, por encima de las crisis alimentarias y el cambio climático.

La directora gerente del FMI, Christine Lagarde, advirtió en junio que los ataques cibernéticos podrían costar a los bancos más de US$100.000mn al año, o alrededor del 9% de la utilidad neta a nivel mundial.

Sin embargo, las instituciones financieras no son las únicas en riesgo, ya que cada vez se pone más infraestructura en línea, mientras que información vital —como los registros médicos de pacientes— se almacena en la nube, dijo Ignacio Sotelo, de la consultora mexicana en seguridad cibernética Ameci.

Hay una "tendencia que se está llevando para los controles e infraestructura Scada [supervisión, control y adquisición de datos]", dijo Sotelo. "Yo no quisiera ver en Mexico que el sistema de gas subterráneo (...) tuviera controles electrónicos que fueran manipulados a través de computadoras. No quiero pensar que pueda ser objetivo de un grupo de cibercriminales".

En su informe, el Foro Económico Mundial dijo que "los ataques van en aumento, tanto en prevalencia como en potencial desestabilizador. Las infracciones cibernéticas registradas por las compañías se han duplicado en cinco años, desde 68 por compañía en 2012 a 130 por compañía en 2017".

Los ciberdelincuentes tienen un "número exponencialmente creciente de objetivos potenciales, ya que el uso de servicios en la nube continúa acelerándose y se espera que la internet de las cosas se amplíe de un estimado de 8.400 millones de dispositivos en 2017 a 20.400 millones en 2020".

"La transformación digital viene acompañada con vulnerabilidades más grande porque empiezas a conectar dispositivos que no estaban preparados para estar en una red estándar", dice Pérez, de Fortinet. "Hace poco tiempo un casino en Inglaterra fue hackeada a través del termómetro de una pecera, que estaba conectado a una red wifi. Hay sistemas de impresoras que están conectadas mandando cada archivo a imprimir mandándolo a la nube".

MEDIDAS PENDIENTES

Una reciente ley fintech acerca a México a la implementación de regulaciones actualizadas, pero el país —que solo estableció una estrategia nacional de seguridad cibernética en noviembre— carece de una única Norma Oficial Mexicana (reglamento técnico oficial del país) que fije los parámetros para la ciberseguridad, señaló el experto.

"Las estrategias se hacen muy políticas, muy administrativas. A los atacantes no les interesa la ISO 27000", dijo Sotelo, refiriéndose a los protocolos de seguridad de datos de la Organización Internacional de Normalización.

Y las certificaciones comerciales de seguridad cibernética, como la "piratería ética", están reemplazando la experiencia en ciberseguridad de la vida real y creando una falsa sensación de seguridad entre las empresas, agregó.

Los atacantes suelen tener una ventaja ya que muy pocos países tienen la facultad de enjuiciar delitos cibernéticos transfronterizos. Y los delincuentes solo necesitan encontrar una vulnerabilidad para aprovecharla, mientras que el personal de ciberseguridad necesita tapar todas las potenciales brechas.

"Hay bandas en cada país que se dedican a hacer esto. Si terminaron en Chile, a lo mejor van a Perú o Colombia, porque Chile puso protecciones. O me voy a EE.UU.", dice Revert, que alguna vez fue hacker. También cita el jackpotting a cajeros, en que los ciberdelincuentes instalan físicamente un malware usando un endoscopio. "En México pasó en noviembre, en EE.UU. pasó a principios de año. Todas las instituciones financieras parcharon; entonces, cruzaron la frontera y atacaron. Salió la noticia en EE.UU. y todo el mundo parchó también".

"En México, los bancos [que han sido afectados] están detectando las amenazas y protegiéndose. Pero vas a un banco en Costa Rica, Nicaragua, Guatemala, donde no sufren estos ataques avanzados, y no saben qué hacer", agregó.

Hernández, de The CIU, cree que se requiere un enfoque holístico para combatir estos ciberataques, uno que considere la cooperación entre países. "Esta es una red, si uno de los puntos no es seguro, puede hacer vulnerables a los países". Agregó que no se trata solo del sector financiero, sino de la seguridad nacional.