No hay ninguna duda de que cada vez vivimos en un mundo más digital, y con el avance de las tecnologías y la rapidez con la que está evolucionando las plataformas en Internet, nuestro bien más preciado, los datos, está siendo más afectado que nunca. Las filtraciones de datos y los ciberataques en general es algo que las empresas en una mayor o menor medida nunca dejarán de sufrir.
Sin embargo, el problema es más grave cuando estas filtraciones afectan a los dos datos personales en las cuentas bancarias. Más allá del típico consejo de tener distintas contraseñas en tus cuentas, o de renovarlas cada cierto tiempo, tanto como empresa como particular podemos tomar medidas mucho mejores para evitar este tipo de filtraciones y de ataques en la red.
En esta ocasión, con motivo del Día internacional del banco el pasado 4 de diciembre, nos gustaría centrarnos en las filtraciones de datos en los bancos, o en cualquier tipo de entidad que almacene datos relacionados con cualquier tipo de activo que poseemos, Y que directa o indirectamente acabe afectando nuestra economía.
La oficina de seguridad del Internauta (OSI) ha compartido una guía con los pasos básicos a seguir en este tipo de situaciones. Los usuarios tenemos que saber que tenemos todo el derecho a obtener la información que cualquier empresa, con servicios online o que comparta sus servicios en formato digital, tiene sobre nosotros.
En la mayoría de los casos, cuando, por ejemplo, nuestra contraseña ha sido filtrada, o cualquier otro dato como el correo o nuestro número de teléfono, lo primero que debemos hacer es cambiar estos datos, utilizando correos o números de teléfono alternativos a los filtros. Sin embargo, cuando lo que se ha robado son datos bancarios, debemos de contactar inmediatamente con nuestro banco y el proceso lleva mucho más tiempo, dinero, y sobre todo es mucho menos transparente. La pandemia trajo consigo un aumento muy acelerado del trabajo en remoto, el cual viene acompañado de una digitalización muy rápida, por lo que las opciones para los ciber delincuentes se han multiplicado.
Pero los clientes no son los únicos que se ven afectados por la filtración de datos. Bancos y otras organizaciones se están viendo afectadas por empleados y clientes insatisfechos que deciden “vengarse” de su banco, difundiendo información confidencial, a través de documentos y datos internos.
Por supuesto, las instituciones financieras también se enfrentan a riesgos derivados de ciberataques. La cadena de ciber seguridad de estas instituciones es muy larga y compleja, por lo que cualquier mínimo fallo puede romper toda su seguridad.
De acuerdo a un informe de Verizon DBIR 2021 (Data breach Investigations Report), el sector de servicios financieros y de seguros ha sufrido una gran serie de cambios en el entorno del ciber seguridad en los últimos años. Los actores internos han provocado un aumento de las brechas de seguridad o fugas de información en los últimos años, hasta llegar a ser un 44% del total. Además de que en el 96% de los casos, las motivaciones de los atacantes son únicamente financieras.
Siempre van a existir los ciberataques y las fugas de información, y es por eso que este sector está sufriendo continuamente cambios en su regulación, siendo un desafío enorme para la industria.
Las instituciones financieras, el punto de mira favorito
En el año 2014, se abrió expediente informativo para averiguar las razones por las cuales un correo electrónico interno, dirigido al gobernador y al Subgobernador del Banco de España, que incluía información confidencial, había acabado siendo publicado en un periódico con alcance nacional.
Dicho e-mail, incluía un resumen de visitas de inspección vinculadas a tres entidades de crédito españolas, una información con carácter confidencial, según el Banco de España. El supervisor de esta operación procedió a abrir expediente con el objetivo de conseguir la aclaración sobre los hechos ocurridos y poder valorar las medidas aplicables a este tipo de casos.
En particular, en el caso de las funciones de supervisión, el deber de confidencialidad es “una obligación básica cuyo cumplimiento es exigible tanto a las autoridades con competencias supervisoras como a las personas que trabajan en ellas”.
Este tipo de casos de ataques cibernéticos a instituciones financieras son más comunes de lo que en realidad se cree, y es que no solo en España, en Irán en 2012, tuvo lugar una filtración tan importante que afectó a la mayoría de las instituciones financieras del país. El ataque en este caso, provino de un proveedor de tecnología de pago, que estaba intentando demostrar la ciberseguridad de tales organizaciones. El empleado, Khosrow Zare, que trabajaba como gerente en una compañía local, descubrió un fallo de seguridad en la red de pago, y tras varios reportes ignorados, decidió tomar el asunto por sus propias manos robando 3 millones de números de tarjetas de débito y crédito de los bancos y los hizo públicos.
Las instituciones financieras deben de ser conscientes tanto de sus vulnerabilidades de seguridad cibernética internas como externas, ya que estas se enfrentan año tras año a múltiples amenazas de ciberdelincuencia. En el ámbito aspecto interno, Shaadow protege los documentos confidenciales de la empresas, y asegura su trazabilidad tanto en el formato digital, como físico.
La mayoría de estas violaciones de datos involucran ataques externos a la red, pero ha habido ocasiones en las que varios empleados de las propias instituciones afectadas, incluidos contratistas, expusieron los datos por una negligencia, o de manera intencionada. En estos casos los motivos de estos ataques pueden ir más allá del motivo económico, hasta el punto de denominarse “hackivistas” para irrumpir en las redes intentando demostrar cualquier causa que defienden. Pero sí, el motivo económico sigue siendo el predominante a la hora de cometer un delito de este tipo, ya que aunque las cosas están cambiando poco a poco, el dinero sigue estando en los bancos.
No institution is immune to cyberattacks
There is no doubt that we live in an increasingly digital world, and with the advancement of technologies and the speed at which Internet platforms are evolving, our most precious asset, our data, is being affected more than ever. Data leaks and cyber-attacks in general is something that companies to a greater or lesser extent will never cease to suffer.
However, the problem is more serious when these leaks affect personal data in bank accounts. Beyond the typical advice to have different passwords in your accounts, or to renew them from time to time, both as a company and as an individual we can take much better measures to avoid this type of leaks and attacks on the network.
On this occasion, to honor the International Banking Day on December 4, we would like to focus on data leaks in banks, or in any type of entity that stores data related to any type of asset we own, and that directly or indirectly ends up affecting our economy.
The Internet Security Office (OSI) has shared a guide with the basic steps to follow in this type of situation. Users need to know that we have every right to obtain the information that any company, with online services or that shares its services in digital format, has about us.
In most cases, when, for example, our password has been filtered, or any other data such as email or our phone number, the first thing we must do is to change these data, using alternative email or phone numbers to the filters. However, when what has been stolen is banking data, we must immediately contact our bank and the process takes much more time, money, and above all is much less transparent. The pandemic brought with it a very rapid increase in remote working, which is accompanied by a very rapid digitization, so the options for cyber criminals have multiplied.
But customers are not the only ones affected by data breaches. Banks and other organizations are being affected by dissatisfied employees and customers who decide to “take revenge” on their bank by disseminating confidential information through internal documents and data.
Of course, financial institutions also face risks from cyber-attacks. The cyber security chain of these institutions is very long and complex, so any slightest failure can break their entire security.
According to a report from Verizon DBIR 2021 (Data Breach Investigations Report), the financial services and insurance sector has undergone a large number of changes in the cyber security environment in recent years. Insiders have led to an increase in security breaches or data leaks in recent years, and are now 44% of the total breaches. Moreover, in 96% of cases, the attackers’ motivations are solely financial.
There will always be cyber-attacks and information leaks, and that is why this sector is continually undergoing regulatory changes, which is a huge challenge for the industry.
Financial institutions, the favorite target
In 2014, an informative file was opened to find out the reasons why an internal email, addressed to the Governor and Deputy Governor of the Bank of Spain, which included confidential information, had ended up being published in a newspaper with national reach.
This e-mail included a summary of inspection visits linked to three Spanish credit institutions, information of a confidential nature, according to the Bank of Spain. The supervisor of this operation proceeded to open a file in order to obtain clarification of the facts and to be able to assess the measures applicable to this type of case.
In particular, in the case of supervisory functions, the duty of confidentiality is “a basic obligation whose compliance is enforceable both by the authorities with supervisory powers and the people who work in them”.
This type of cases of cyber-attacks on financial institutions are more common than is actually believed, and it is not only in Spain, in Iran in 2012, there was a leak so important that it affected most of the country’s financial institutions. The attack in this case, came from a payment technology provider, which was trying to demonstrate the cybersecurity of such organizations. The employee, Khosrow Zare, who worked as a manager at a local company, discovered a security flaw in the payment network, and after several ignored reports, decided to take matters into his own hands by stealing 3 million debit and credit card numbers from the banks and made them public.
Financial institutions must be aware of both their internal and external cybersecurity vulnerabilities, as they face multiple cybercrime threats year after year. On the internal side, Shaadow protects confidential company documents and ensures their traceability in both digital and physical formats.
Most of these data breaches involve external attacks on the network, but there have been occasions when several employees of the affected institutions themselves, including contractors, exposed data through negligence or intentionally. In these cases the motives for these attacks may go beyond the economic motive, to the point of calling themselves “hacktivists” to break into networks trying to prove whatever cause they espouse. But yes, the economic motive is still the predominant one when it comes to committing a crime of this type, because although things are changing little by little, the money is still in the banks.
