Ninguna institución es inmune a los ciberataques

No hay ninguna duda de que cada vez vivimos en un mundo más digital, y con el avance de las tecnologías y la rapidez con la que está evolucionando las plataformas en Internet, nuestro bien más preciado, los datos, está siendo más afectado que nunca. Las filtraciones de datos y los ciberataques en general es algo que las empresas en una mayor o menor medida nunca dejarán de sufrir. 

Sin embargo, el problema es más grave cuando estas filtraciones afectan a los dos datos personales en las cuentas bancarias. Más allá del típico consejo de tener distintas contraseñas en tus cuentas, o de renovarlas cada cierto tiempo, tanto como empresa como particular podemos tomar medidas mucho mejores para evitar este tipo de filtraciones y de ataques en la red. 

En esta ocasión, con motivo del Día internacional del banco el pasado 4 de diciembre, nos gustaría centrarnos en las filtraciones de datos en los bancos, o en cualquier tipo de entidad que almacene datos relacionados con cualquier tipo de activo que poseemos, Y que directa o indirectamente acabe afectando nuestra economía. 

La oficina de seguridad del Internauta (OSI) ha compartido una guía con los pasos básicos a seguir en este tipo de situaciones. Los usuarios tenemos que saber que tenemos todo el derecho a obtener la información que cualquier empresa, con servicios online o que comparta sus servicios en formato digital, tiene sobre nosotros. 

En la mayoría de los casos, cuando, por ejemplo, nuestra contraseña ha sido filtrada, o cualquier otro dato como el correo o nuestro número de teléfono, lo primero que debemos hacer es cambiar estos datos, utilizando correos o números de teléfono alternativos a los filtros. Sin embargo, cuando lo que se ha robado son datos bancarios, debemos de contactar inmediatamente con nuestro banco y el proceso lleva mucho más tiempo, dinero, y sobre todo es mucho menos transparente. La pandemia trajo consigo un aumento muy acelerado del trabajo en remoto, el cual viene acompañado de una digitalización muy rápida, por lo que las opciones para los ciber delincuentes se han multiplicado.

Pero los clientes no son los únicos que se ven afectados por la filtración de datos. Bancos y otras organizaciones se están viendo afectadas por empleados y clientes insatisfechos que deciden “vengarse” de su banco, difundiendo información confidencial, a través de documentos y datos internos. 

Por supuesto, las instituciones financieras también se enfrentan a riesgos derivados de ciberataques. La cadena de ciber seguridad de estas instituciones es muy larga y compleja, por lo que cualquier mínimo fallo puede romper toda su seguridad. 

De acuerdo a un informe de Verizon DBIR 2021 (Data breach Investigations Report), el sector de servicios financieros y de seguros ha sufrido una gran serie de cambios en el entorno del ciber seguridad en los últimos años. Los actores internos han provocado un aumento de las brechas de seguridad o fugas de información en los últimos años, hasta llegar a ser un 44% del total. Además de que en el 96% de los casos, las motivaciones de los atacantes son únicamente financieras. 

Siempre van a existir los ciberataques y las fugas de información, y es por eso que este sector está sufriendo continuamente cambios en su regulación, siendo un desafío enorme para la industria. 

Las instituciones financieras, el punto de mira favorito

En el año 2014, se abrió expediente informativo para averiguar las razones por las cuales un correo electrónico interno, dirigido al gobernador y al Subgobernador del Banco de España, que incluía información confidencial, había acabado siendo publicado en un periódico con alcance nacional. 

Dicho e-mail, incluía un resumen de visitas de inspección vinculadas a tres entidades de crédito españolas, una información con carácter confidencial, según el Banco de España. El supervisor de esta operación procedió a abrir expediente con el objetivo de conseguir la aclaración sobre los hechos ocurridos y poder valorar las medidas aplicables a este tipo de casos. 

En particular, en el caso de las funciones de supervisión, el deber de confidencialidad es “una obligación básica cuyo cumplimiento es exigible tanto a las autoridades con competencias supervisoras como a las personas que trabajan en ellas”. 

Este tipo de casos de ataques cibernéticos a instituciones financieras son más comunes de lo que en realidad se cree, y es que no solo en España, en Irán en 2012, tuvo lugar una filtración tan importante que afectó a la mayoría de las instituciones financieras del país. El ataque en este caso, provino de un proveedor de tecnología de pago, que estaba intentando demostrar la ciberseguridad de tales organizaciones. El empleado, Khosrow Zare, que trabajaba como gerente en una compañía local, descubrió un fallo de seguridad en la red de pago, y tras varios reportes ignorados, decidió tomar el asunto por sus propias manos robando 3 millones de números de tarjetas de débito y crédito de los bancos y los hizo públicos. 

Las instituciones financieras deben de ser conscientes tanto de sus vulnerabilidades de seguridad cibernética internas como externas, ya que estas se enfrentan año tras año a múltiples amenazas de ciberdelincuencia. En el ámbito aspecto interno, Shaadow protege los documentos confidenciales de la empresas, y asegura su trazabilidad tanto en el formato digital, como físico.

La mayoría de estas violaciones de datos involucran ataques externos a la red, pero ha habido ocasiones en las que varios empleados de las propias instituciones afectadas, incluidos contratistas, expusieron los datos por una negligencia, o de manera intencionada. En estos casos los motivos de estos ataques pueden ir más allá del motivo económico, hasta el punto de denominarse “hackivistas” para irrumpir en las redes intentando demostrar cualquier causa que defienden. Pero sí, el motivo económico sigue siendo el predominante a la hora de cometer un delito de este tipo, ya que aunque las cosas están cambiando poco a poco, el dinero sigue estando en los bancos.