Covid-19 y ciber riesgo en el sector financiero
Conclusiones clave
• El sector financiero ha sido golpeado por hackers con relativa mayor frecuencia que otros sectores durante la pandemia de Covid19.
• Si bien esto aún no ha llevado a interrupciones significativas o un impacto sistémico, existen riesgos sustanciales de ataques cibernéticos para las instituciones financieras, su personal y sus clientes en el futuro.
• Las autoridades financieras están trabajando para mitigar los riesgos cibernéticos, incluso a través de la cooperación internacional.
Durante la pandemia de Covid-19, las instituciones financieras han estado a la vanguardia de la respuesta al riesgo cibernético. Su ya gran exposición al riesgo cibernético se ha acentuado aún más por el movimiento hacia un mayor trabajo desde casa (FMH) y otros desafíos operativos. Este boletín sirve como un manual sobre el riesgo cibernético y presenta los hallazgos iniciales sobre cómo el sector financiero ha enfrentado los desafíos de la pandemia. Nos basamos en nuevos datos para evaluar los cambios en el panorama de amenazas para las instituciones financieras en la pandemia.
Riesgo cibernético: una taxonomía
A medida que la economía y el sistema financiero se digitalizan más, el riesgo cibernético está creciendo en importancia. «Riesgo cibernético» es un término general que abarca una amplia gama de riesgos resultantes de la falla o violación de los sistemas de TI. Según el FSB Cyber Lexicon (2019), el riesgo cibernético se refiere a «la combinación de la probabilidad de que ocurran incidentes cibernéticos y su impacto». Un «incidente cibernético», a su vez, es «cualquier ocurrencia observable en un sistema de información que: (i) ponga en peligro la seguridad cibernética de un sistema de información o la información que el sistema procesa, almacena o transmite; o (ii) viole las políticas de seguridad, los procedimientos de seguridad o las políticas de uso aceptable, ya sea como resultado de actividades maliciosas o no». El riesgo cibernético es una forma de riesgo operacional. Los riesgos cibernéticos se pueden clasificar en función de su causa/ método, actor, intención y consecuencia.
Las causas o métodos varían, e incluyen tanto incidentes no deseados como ataques intencionales. Ejemplos de los primeros son la divulgación accidental de datos y los errores de implementación, configuración y procesamiento. Tales incidentes son frecuentes. Sin embargo, alrededor del 40% de los incidentes cibernéticos son intencionales y maliciosos, en lugar de accidentales, es decir, son ataques cibernéticos (Aldasoro et al (2020c)).
Algunos ataques cibernéticos implican que los actores de amenazas se inserten en un intercambio de datos confiable. El malware (es decir, «software malicioso») es un software diseñado para causar daños a los dispositivos de TI y / o robar datos (por ejemplo, los llamados troyanos, spyware y ransomware). Los ataques man-in-the-middle ocurren cuando los atacantes se insertan en una transacción de dos partes (Gráfico 1, primer panel), accediendo o manipulando datos o transacciones. Las secuencias de comandos entre sitios son una vulnerabilidad de seguridad web que permite a los atacantes comprometer las interacciones que una víctima tiene con una aplicación vulnerable. El phishing es robar datos confidenciales o instalar malware con correos electrónicos fraudulentos que parecen provenir de una fuente confiable (Gráfico 1, segundo panel). Para ganarse la confianza de una víctima, los ataques de phishing pueden imitar a los remitentes de confianza. Después de obtener la entrada, estos pueden ayudar a los atacantes a obtener credenciales y entrar en un sistema. El descifrado de contraseñas es el proceso de recuperación de contraseñas secretas almacenadas en un sistema informático o transmitidas a través de una red.
Algunos ataques involucran herramientas profesionales y planificación. Un exploit de día cero es un ataque contra una vulnerabilidad de software o hardware que ha sido descubierta pero no divulgada públicamente. El descubrimiento de un exploit de día cero puede dar lugar a una situación en la que tanto los clientes como los proveedores del activo de TI ahora están sujetos a ataques cibernéticos para los que no hay firmas de detección predefinidas o parches correctivos disponibles. Exacerbando esta situación están las empresas comerciales que realizan investigaciones para vender exploits de día cero en el mercado abierto. Algunas de estas empresas, como Zerodium, pagan grandes recompensas en efectivo (hasta $ 2.5 millones) por vulnerabilidades de alto riesgo. Finalmente, los ataques distribuidos de denegación de servicio (DDoS) inundan los servidores con tráfico para agotar el ancho de banda o consumir recursos finitos. Estos ataques pueden requerir alquilar capacidad informática o piratear dispositivos de terceros para participar en un ataque.
Los actores incluyen organizaciones criminales y terroristas directas, espías industriales, «hacktivistas» o actores estatales y patrocinados por el estado. El daño que pueden causar depende de su sofisticación y recursos. Por ejemplo, en 2016, hackers asociados con Corea del Norte llevaron a cabo un ataque notable al violar los sistemas del Banco de Bangladesh y utilizar la red SWIFT para enviar órdenes de transferencia de dinero fraudulentas. El ataque puso de relieve los crecientes riesgos cibernéticos para los sistemas de pago y las infraestructuras asociadas. El propósito final puede ser con fines de lucro (por ejemplo, ransomware, espionaje industrial), geopolítico (ataques patrocinados por el estado en infraestructuras críticas) o descontento general (hacktivismo).
Las consecuencias de los ciberataques pueden ser graves. Las interrupciones del negocio y las fallas del sistema de TI pueden dañar la integridad y la disponibilidad de los activos y servicios. Las violaciones de datos comprometen la confidencialidad de los datos confidenciales, con pérdidas financieras y de reputación. El fraude y el robo incluyen la pérdida de fondos o cualquier información (por ejemplo, propiedad intelectual) que puede o no ser personalmente identificable. En algunas circunstancias, los ciberataques podrían tener implicaciones sistémicas y causar graves dislocaciones económicas.
Covid-19, trabajo remoto y cambios en el panorama de las amenazas cibernéticas
El Covid-19 ha precipitado el paso al trabajo desde casa (FMH). Las instituciones financieras, al igual que otras organizaciones, han cambiado temporalmente al trabajo remoto para proteger a sus trabajadores. Trasladar la mayoría de las actividades al mundo digital podría aumentar el riesgo de ciberataques. Por ejemplo, el uso de tecnologías de acceso remoto como el protocolo de escritorio remoto (RDP) y la red privada virtual (VPN) aumentó un 41% y un 33%, respectivamente, en los dos primeros meses del brote de Covid-19. A menos que se gestione bien, esto puede permitir nuevas oportunidades para que los actores de amenazas penetren en los sistemas de TI y lleven a cabo ataques cibernéticos, junto con otros tipos de delitos financieros. La FMH también puede cuestionar los planes de continuidad del negocio y la respuesta a un incidente operacional o cibernético.
El reciente hackeo de SolarWinds subraya los riesgos de los proveedores externos. En diciembre de 2020, se informó que los piratas informáticos habían insertado malware en el producto Orion de la compañía SolarWinds, utilizado por miles de empresas y agencias gubernamentales de todo el mundo. Los ataques a la cadena de suministro de software son uno de los tipos de amenazas más difíciles de mitigar, ya que aprovechan las relaciones de confianza establecidas y las comunicaciones de máquina a máquina utilizadas para proporcionar actualizaciones de software esenciales. Si bien el sector financiero no fue un objetivo principal, los piratas informáticos obtuvieron acceso en marzo de 2020 y permanecieron sin ser detectados durante muchos meses. La escala completa del ataque no ha sido completamente revelada.
El sector financiero se ha visto afectado con relativa mayor frecuencia por los ataques cibernéticos que la mayoría de los otros sectores desde que comenzó la pandemia. Los datos sobre los ataques se pueden obtener de Advisen, una organización con fines de lucro que recopila información de fuentes confiables y públicamente verificables (principalmente en los Estados Unidos), que cubren la fecha, el actor, el monto de la pérdida y otras características. Existe un fuerte vínculo entre la prevalencia de los acuerdos de la FMH, medido por el índice de la FMH por sector de Dingel y Neiman (2020), y la incidencia de ataques cibernéticos entre fines de febrero y junio de 2020 (Gráfico 2, panel de la izquierda). El sector financiero ocupa un lugar destacado en ambas cuentas (cuadrado rojo). Fuera del sector de la salud, el sector financiero tiene la mayor proporción de eventos cibernéticos clasificados como relacionados con Covid-19 en los últimos meses (panel de la derecha). Algunos ejemplos son los ataques de phishing que utilizan explícitamente la incertidumbre en torno al Covid-19 para atraer a los usuarios a abrir archivos adjuntos fraudulentos u otorgar acceso a las redes a los atacantes.
Las empresas de pago, las aseguradoras y las cooperativas de ahorro y crédito se han visto especialmente afectadas. Una encuesta realizada entre instituciones financieras por el Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC, por sus siglas en inglés) encontró un aumento sustancial en el phishing, el escaneo sospechoso y la actividad maliciosa contra páginas web para que el personal de la FMH acceda a la red. Las empresas de pago, las compañías de seguros y las cooperativas de ahorro y crédito han visto el mayor aumento en los hackeos. Los ataques relacionados con Covid-19 crecieron con la propagación de la pandemia, de menos de 5,000 por semana en febrero a más de 200,000 por semana a fines de abril. Aumentaron aún más en alrededor de un tercio en mayo y junio en comparación con marzo y abril. La encuesta destacó que, en el 45% de los casos, el personal de la FMH abrumó los procesos de infraestructura de escritorio virtual (VDI)/VPN. En un tercio de los casos, los planes de TI de continuidad del negocio no se prepararon para una fuerza de trabajo en el hogar a largo plazo (panel de la derecha). Una quinta parte de las firmas financieras informaron que sus actividades de operación de red se interrumpieron durante la pandemia.
La migración masiva a la FMH puede hacer que el personal de las instituciones financieras sea más vulnerable. A medida que el personal trabaja desde casa a través de dispositivos y redes privados y emitidos por la empresa, pueden surgir nuevos riesgos. En un hogar, varios miembros de la familia podrían estar iniciando sesión en la misma red, exponiendo potencialmente los dispositivos a malware que luego podría ingresar al entorno empresarial de una empresa. Se ha demostrado que algunas instalaciones de videoconferencia tienen estándares de seguridad subóptimos. La vigilancia de los comerciantes también puede estar sujeta a consecuencias no deseadas. Las reglas regulatorias requieren que las llamadas de los comerciantes sean grabadas y monitoreadas, pero los comerciantes han estado trabajando desde casa y las llamadas pueden no registrarse. Otro factor en juego es la expansión de la gama de opciones de autoservicio disponibles para los clientes en línea, para operaciones de gestión de patrimonio, hipotecas, solicitudes de préstamos, etc. Garantizar controles de seguridad robustos se vuelve aún más esencial.
La evidencia hasta ahora sugiere los mismos actores, intenciones y métodos de amenaza que antes de la pandemia, pero nuevas oportunidades dada la incertidumbre relacionada con Covid-19. Las estratagemas de phishing no son nuevas, pero el volumen de tales intentos se ha disparado. Un informe reciente encontró que una cuarta parte de los incidentes cibernéticos respondidos en el Reino Unido durante agosto de 2019 a agosto de 2020 involucraron a delincuentes y estados hostiles que explotaban la pandemia de Covid19 (NCSC (2020)). En la Unión Europea (UE), los actores de amenazas comprometieron los servicios VPN de las instituciones de la UE que permiten al personal trabajar desde casa (CERT-EU (2020)). En otros casos, los actores de amenazas imitaron fuentes confiables como la Organización Mundial de la Salud para que los usuarios abrieran enlaces y archivos maliciosos (Microsoft (2020)). En un caso, un ataque DDoS pudo interrumpir el comercio en una importante bolsa de valores durante cuatro días consecutivos (Hope (2020)), lo que subraya los riesgos de piratería en infraestructuras críticas.
Políticas para reducir los riesgos para la estabilidad financiera
La política debe tener en cuenta dos tendencias a corto plazo. En primer lugar, es probable que el trabajo remoto siga siendo más alto que en el período anterior a Covid-19. Es posible que los planes de continuidad del negocio diseñados para interrupciones a corto plazo deban adaptarse a la FMH durante períodos más largos, y los procesos de negocios deban adaptarse a la «nueva normalidad». En segundo lugar, es probable que las instituciones financieras continúen moviendo partes de sus operaciones de TI a entornos de nube pública. Como el mercado de servicios en la nube está altamente concentrado, hay advertencias sobre una mayor homogeneidad en el sector financiero y puntos únicos de falla. Una encuesta reciente indica que el 82% de las empresas aumentaron el uso de la nube como resultado de la pandemia de coronavirus y el 91% está planeando un uso más estratégico de la nube en un futuro próximo. A través de software, hardware y proveedores compartidos, los incidentes podrían, en principio, propagarse más rápidamente, lo que llevaría a mayores pérdidas para las instituciones financieras y estrés en el sistema financiero.
Los responsables políticos y las empresas están trabajando activamente juntos para mitigar los riesgos cibernéticos y sus implicaciones sistémicas. Por ejemplo, muchas organizaciones del sector público y privado están fortaleciendo su resiliencia operativa, y muchas han participado en «juegos de guerra» o simulaciones de ataques cibernéticos. Estos ejercicios pueden ayudar a identificar vulnerabilidades y mejorar la preparación y la línea de comunicación. Además, los supervisores y supervisores financieros están aprovechando las normas u orientaciones nacionales o internacionales para promover la resiliencia cibernética. Además de las iniciativas globales, hay varios grupos regionales y foros de cooperación. El BPI continuará apoyando la cooperación internacional en esta área, reconociendo que la ciber resiliencia es fundamentalmente un bien público global.