• LOS BANCOS, PRINCIPALES OBJETIVOS DE LOS CIBERATAQUES EN NAVIDAD
Informes:

LOS BANCOS, PRINCIPALES OBJETIVOS DE LOS CIBERATAQUES EN NAVIDAD

17-12-2018

Según nuestro último informe sobre ciberseguridad, los bancos y las instituciones financieras son los principales objetivos de los ciberataques en la época navideña. El informe también también indica que las entidades bancarias han sufrido 154 ciberataques desde 2015 hasta el tercer trimestre de 2018. Estos ciberataques han comprometido cerca de 150 millones de registros, una cifra que equivale a la población de Rusia.

El nuevo informe revela que los ciberdelincuentes han abandonado sus objetivos sobre las criptomonedas tras el incidente del pasado enero y han vuelto a realizar ataques bajo el esquema de rescate y correo electrónico comercial, pero armados con nuevas herramientas y desarrollos tecnológicos y una experiencia mejorada.

Nuestra Firma advierte que las instituciones financieras son el objetivo principal de los ciberataques en Navidad, debido a la preferencia de los cibercriminales por operar en días festivos, por lo que la se recomienda reforzar la seguridad cibernética en dichas fechas.

Según el informe, en las entidades financieras confluyen tres factores claves que las convierten en objetivos principales de los ciberdelincuentes:

  • El sector alberga una gran cantidad de información sensible de los clientes;
  • La liquidez de sus activos;
  • Su potencial para manipular o perturbar los mercados.

El informe sobre ciberseguridad recoge tres consejos principales para que los bancos afronten con mayor seguridad la época navideña: Ejercer una mayor vigilancia durante los días festivos en los que están cerrados, ya que los ciberdelincuentes aprovechan estas fechas para pasar desapercibidos durante un período de tiempo más largo, instalar puertas traseras, revender información sobre infracciones a otros hackers, organizar ataques adicionales y/o transferir fondos robados.

En segundo lugar, seguir las recomendaciones de los organismos reguladores internacionales, ya que estos están exigiendo a las instituciones financieras que rindan cuentas por negligencia cibernética con mayor frecuencia. La Autoridad de Conducta Financiera del Reino Unido (FCA) emitió su primera multa por un fallo cibernético este mismo año. Entre los casos analizados en el informe se encuentra la imposición por parte de la FCA de una multa de 16,4 millones de libras esterlinas a Tesco Bank a principios de octubre de 2018, por una infracción en 2016 que aprovechó una debilidad cibernética sobre la que la agencia reguladora había advertido previamente al banco.

Por último, nuestra Firma advierte que estar asegurado no significa estar cubierto. Por ello, aconseja leer la letra pequeña de la póliza del seguro cibernético. En un caso detallado en el informe, un banco nacional asumió una responsabilidad cibernética mayor de la esperada, debido a las diferentes interpretaciones de las cláusulas de las pólizas de seguros.

Un aspecto que relevante del informe sobre ciberseguridad también señala que el comportamiento básico de seguridad cibernética entre personas, empresas y organizaciones muestra ciertos signos de erosión por la consolidación de datos personales entre un número limitado de grandes empresas, por la creciente dependencia de los dispositivos interconectados y por el constante bombardeo de amenazas en línea e infracciones de datos.

Nuestra Firma subraya que las empresas que realizan un análisis de coste-beneficio sobre la adopción de controles más estrictos de la privacidad de los usuarios u otras medidas de ciberseguridad mejoradas, a menudo optan por no hacer nada, siempre y cuando las posibles multas o los costes de recuperación se encuentren dentro de un rango tolerable.

El informe además señala una tendencia: las personas renuncian a obtener el control total de su presencia digital, aceptando la transparencia a cambio de comodidad. Más allá de las preocupaciones éticas sobre la privacidad, las consecuencias son que los ciberdelincuentes aprovechan cada vez más la complacencia de los empleados y las organizaciones para ejecutar ataques aparentemente básicos con resultados potencialmente graves.

Recomendaciones para 2019

Una de las principales recomendaciones es que los servicios financieros, desde el punto de vista de la ciberseguridad, adopten un modelo de ciberseguridad basado en amenazas.  La industria financiera concentra las inversiones en ciberseguridad en lo que consideran sus activos más valiosos. El problema es que esto a menudo difiere del objetivo principal de los delincuentes, de ahí el consejo de nuestros expertos de hacer que la seguridad cibernética esté ‘basada en amenazas’.

Los directores financieros, en su calidad de administradores de las finanzas de los bancos, deben dedicarse directamente a identificar esos activos e invertir en los medios necesarios para garantizar la seguridad de la institución. Las entidades financieras deben ampliar aún más su ciberseguirdad y exigir que la cúpula directiva de los bancos tenga un papel integral en la protección de la seguridad de la institución, recomienda BDO.