domingo, 15 diciembre 2024

La última carrera de los bancos: la seguridad en Internet

Aproximadamente el 47% de los clientes de servicios bancarios en Internet operan ya a través de sus teléfonos móviles y este porcentaje no va a dejar de incrementarse.

La tendencia no ha pasado desapercibida para quienes prestan estos servicios y el 42% de los bancos vaticina que en cuestión de tres años la interacción de sus clientes con las cuentas que poseen en estas entidades se hará mayoritariamente a través del móvil.

Son datos que arroja el último informe de Kaspersky Lab junto a B2B International para 2017 titulado Nuevas tecnologías, nuevas ciberamenazas.

El 42% de los bancos afirma que en tres años la mayoría de sus clientes operará a través de su móvil

Para su elaboración han consultado a 841 empresas consideradas “representativas” del sector financiero en 15 países.

Este mismo documento asegura que los bancos constituyen el sector que más gasta en ciberseguridad si se compara con otras empresas de tamaño similar ajenas al ramo.

Si el presupuesto medio de uno de estos bancos destinado a recursos informáticos puede alcanzar los 253 millones de dólares, aproximadamente el 23% va destinado específicamente a la seguridad en esté ámbito.

El 23% del presupuesto destinado a recursos informáticos va a parar a seguridad

Entre las principales preocupaciones de la banca, el 46% se centra en la posibilidades de que sus clientes sean engañados con métodos de ingeniería social como el phishing.

Algo menos, el 41%, temen que los clientes que tienen con ellos sus cuentas no actúen con el cuidado que se requiere al operar en línea.

Si el 46% está preocupado por el phishing y demás mecanismos de ingeniería social para saquear las cuentas de los clientes, el porcentaje se dispara hasta el 53% cuando se habla de los ataques DDoS.

Esquema_DDoS
Esquema de un ataque DDoS. /Nasanbuyn (Wikimedia)

De este modo, el ataque Distribuido de Denegación de Servicio (DDoS en inglés) es la ciberamenaza externa que más preocupa, algo que hace a los expertos de Kaspersky abandonar su lógica asepsia para hablar de “miedo desproporcionado”.

Y es que el DDoS es uno de los ataques informáticos más conocidos desde hace más tiempo y aunque puede requerir cierto nivel de coordinación y de conocimientos técnicos dependiendo de cómo se ejecute, no suele suponer una gran inversión de dinero para el que lo perpetra.

Kaspersky considera que el sector financiero tiene un ‘miedo desproporcionado’ a los ataques DDoS

Este tipo de ataque sirve para dejar temporalmente fuera de servicio un sitio web mediante un envío masivo de peticiones a su servidor. Puede tratarse de muchos usuarios conchabados para visitar simultáneamente una página.

Si quien coordina el ataque no dispone de cómplices, equipos y servidores suficientes pero tiene los conocimientos necesarios puede hacerse con el control de varios ordenadores que, tras ser previamente infectados, actúan como zombis enviando peticiones sin parar al servidor que desea atacar.

El usuario no sabe que están utilizando su ordenador para lanzar un ataque DDoS

Los propietarios o usuarios de esos equipos zombis son totalmente ajenos a la operación y no tienen ni idea de que su ordenador está siendo utilizado para este fin.

El phishing es un ataque bastante más elaborado y a menudo se expone como claro ejemplo de la llamada ingeniería social aplicada al campo del fraude cibernético.

Instrucciones_ransomware
Instrucciones para recuperar los archivos encriptados y pagar rescate tras un ataque de ‘ransomware’. /Wikimedia.

Un ejemplo entre la gran variedad existente. Un usuario recibe un correo electrónico de un emisor en apariencia legítimo que le pide que ejecute una acción determinada como, por ejemplo, introducir un usuario y contraseña en la página a la que se le remite mediante un enlace que figura en ese mensaje de correo electrónico que ha recibido.

La página a la que entra tras pinchar en el enlace también aparenta ser la original del emisor que ha enviado el email, el destinatario no sospecha nada e introduce su usuario y contraseña en la página del enlace.

En el ‘phishing’ el atacante puede mandar un email bajo la apariencia de ser un destinatario legítimo

Luego resulta que ni el emisor es quien dice ser ni la página es la de ese supuesto emisor, sino que ha sido diseñada por los atacantes que a partir de ese momento ya dispondrán del usuario y de la contraseña de la víctima para hacerse pasar por ella y aprovecharse de ello.

Para combatir estas y otras amenazas, un 83% de los encuestados esperan incrementar el gasto en seguridad informática durante los próximos dos años. Justo la mitad de ellos lo harán para cumplir con la regulación vigente en esta materia.

No obstante, para tranquilidad de los clientes, un 63% ha sabido distinguir, señala el documento, entre el mero cumplimiento de la normativa y la seguridad -que no siempre discurren de forma paralela-, pues este porcentaje considera que cumplir con los estándares exigidos es tan solo “un punto de partida”.

Flujo_datos_banca
Esquema del flujo de datos al usar una aplicación bancaria. /Wei Zhang y Marco Morana (Wikimedia).

Que estas cifras no sean una mera declaración de buenas intenciones redunda en interés de los clientes y de las propias entidades, vistas las cifras que da Kaspersky.

La empresa de software antivirus califica de “incidente grave” de seguridad a algo que sea peor aún que una filtración de datos. Esta última suele ser un 50% más barata de subsanar que los sucesos calificados como “graves”.

Una media de 988.000 dólares para los bancos y algo menos para el resto de empresas financieras -926.000- es lo que cuestan los incidentes graves en seguridad informática.

Un incidente de seguridad ‘grave’ puede suponer a un banco unos gastos de casi un millón de dólares

Esto deriva de las propias pérdidas para el negocio, la contratación de profesionales externos para resolver el problema técnico, el pago de compensaciones a los clientes y una inversión en relaciones públicas para ayudar a reparar en lo posible la imagen de marca, entre otros dispendios.


- Publicidad -