En el año 2010 las firmas PayPal, Visa y MasterCard fueron víctimas de “hackers”, en represalia por haber dejado de procesar donaciones para el portal WikiLeaks. Los ataques cibernéticos contra bancos estadounidenses ocurridos en 2012 buscaban la republicación de “La Inocencia de los Musulmanes”, un controversial video que había sido retirado de la web por las autoridades. Sin embargo, no todos los ciber-ataques contra entidades financieras son con fines políticos o sociales, pues la mayoría forman parte de algún tipo de fraude o estafa. El problema es más grave cuando las víctimas son instituciones de pequeño tamaño.
Los avances de las tecnologías y la automatización de la banca son dos elementos que han marchado juntos en los últimos años. Sin embargo, el mundo cibernético representa una de las mayores amenazas para la industria financiera moderna. La creciente comunidad de “hackers” -que trabajan de forma individual o para empresas privadas, gobiernos, carteles de drogas y grupos del crimen organizado-, representa un verdadero riesgo para la comunidad financiera.
El creciente número de ataques en parte se debe a la facilidad para encontrar piratas cibernéticos y a la expansión mundial de acceso a Internet. Lo que es más, la dependencia de los bancos de otros proveedores y los proveedores de Internet, así como el crecimiento de las redes sociales, la tecnología móvil y la computación en nube, han hecho que las instituciones financieras sean más vulnerables a los piratas informáticos.
Según un estudio reciente de la forma de comunicaciones Verizon, la mayoría de las penetraciones ocurridas en las redes privadas han ocurrido por la debilidad de las credenciales de seguridad (nombres de usuario y contraseñas) o porque los delincuentes han robado los datos de acceso. Incluso un 40% de los accesos ilícitos a sistemas informáticos han ocurrido por el uso de “malware”.
En tal sentido, los expertos recomiendan que las empresas financieras deben controlar mucho el acceso a sus redes privadas y deben preparar planes de contingencia para cuando los delincuentes atenten contra sus sistemas, con la finalidad de perpetrar estafas y/o robar datos de sus clientes.
Recientemente, funcionarios de la Oficina del Contralor de la Moneda de Estados Unidos advirtieron que las empresas financieras que no cuentan con un gran departamento de tecnología son más vulnerables a la piratería cibernética. Debido a su relativa falta de recursos, los bancos pequeños pueden ser el “eslabón más débil” en la mente de los hackers.
Recomendaciones para los pequeños
“Ya no podemos suponer que los ataques cibernéticos son en su mayoría dirigidas a los bancos más grandes”, indicó Valerie Abend, una empleada de alto nivel en la OCC. “Los bancos comunitarios deben tener en cuenta los riesgos de ataques cibernéticos como parte de su riesgo operativo en general”.
De este modo, los bancos deben asegurarse de que todas las partes interesadas, incluidos los miembros de la junta directiva, sean conscientes de los riesgos y asuman una “visión empresarial” para mejorar sus defensas, agregó Norine Richards, experto en tecnología de la OCC. Los bancos también deben ser capaces de identificar dónde residen los datos confidenciales, que tiene acceso a la información y los procesos que están en marcha para proteger la red.
“Las instituciones financieras pequeñas deben comenzar con una evaluación completa de los riesgos. Se debe dar lugar a un resumen significativo de los riesgos residuales y las deficiencias específicas en las operaciones y los controles”, recomendó Richards.
Para prevenir los ataques, los bancos de la comunidad deben primero conocer el comportamiento normal de su red de datos y luego implementar controles de detección de intrusos, incluyendo el uso de datos Conozca a Su Cliente para identificar intentos de phishing o “penetraciones” por las personas que han engañado a los empleados del banco en la divulgación de la información. Cuando los sistemas se vean comprometidos, las instituciones deben tener planes previamente definidos y sopesar si es necesario presentar reportes de operaciones sospechosas.
Las instituciones financieras deben revisar además su cobertura de seguro contra los ataques y revisar cuidadosamente los contratos firmados con los proveedores de servicios, en especial cuando los vendedores no tienen experiencia previa con los bancos o son empresas nuevas, ya que las entidades financieras suelen ser las responsables de los datos de los clientes.
Desde el punto de vista de los organismos reguladores, este aspecto es un tema también crucial en muchas jurisdicciones. En el caso de Estados Unidos, los organismos reguladores evalúan los controles de seguridad cibernética como parte del programa de gestión del riesgo global de la entidad financiera.
