Las empresas de servicios financieros han estado cada vez más bajo el ataque de los actores de amenazas cibernéticas, y es poco probable que esta trayectoria disminuya. Deben asegurarse de contar con las soluciones adecuadas para protegerse y defenderse a sí mismas, a sus clientes y a los sistemas financieros en los que participan. Es importante tener en cuenta que las soluciones requieren personas con una comprensión avanzada de cómo funcionan juntas las partes de una implementación eficaz de ciberseguridad. Para esto, la dirección corporativa debe asignar fondos, recursos y tiempo de los empleados para aprender, comprender y pensar sobre estas intersecciones. La educación continua para los profesionales de la seguridad cibernética es clave, lo que implica más que solo obtener una certificación de seguridad.
En esta publicación de blog, nos enfocamos en tres soluciones clave a las que los bancos y las cooperativas de crédito deben prestar atención: dos centradas en la identidad y el acceso, y una en elevar la preparación de los empleados para abordar las amenazas a la seguridad.
Las credenciales dan acceso a sistemas y derechos de autorización para aprobar todo tipo de transacciones y solicitudes financieras. Los piratas informáticos persiguen las credenciales mediante ataques de relleno de credenciales, phishing e ingeniería social. Por ejemplo:
Los clientes del OCBC Bank en Singapur perdieron un total combinado de $10,1 millones en diciembre de 2021 cuando respondieron a alertas por SMS supuestamente provenientes de OCBC para alertar sobre irregularidades en las cuentas. Casi 800 clientes hicieron clic en el enlace de la alerta por SMS e ingresaron las credenciales de su cuenta bancaria por Internet, momento en el que los estafadores transfirieron fondos de sus cuentas. El banco reembolsó a todas las víctimas afectadas como un "gesto único de buena voluntad", lo que hizo que el ataque de phishing a sus clientes fuera costoso para el banco.
Un pirata informático violó los datos personales de más de siete millones de usuarios de la aplicación de corretaje Robinhood al llamar a la línea de atención al cliente y engañar a un empleado de atención al cliente para que entregue las credenciales de su cuenta a varios sistemas de atención al cliente.
Los bancos y las instituciones de crédito deben protegerse contra los ataques de identidad o sufrir costosas consecuencias. Esto significa dar varios pasos.
Primero, muévete en la dirección de menos contraseñas y más datos biométricos para procesos de autenticación más sólidos para empleados y clientes. La identificación única de un empleado y la garantía de que la persona que proporciona las credenciales de autenticación es el empleado correcto es cada vez más probable que falle con nombres de usuario, contraseñas e incluso formas básicas de autenticación de múltiples factores. Las soluciones de identidad gestionada en las que la identificación biométrica mediante huellas dactilares o el reconocimiento facial están vinculadas a una identidad proporcionan una autenticación de alta seguridad para los empleados que realizan su trabajo, junto con claves criptográficas de hardware utilizadas en combinación con la biometría gestionada.
En segundo lugar, las empresas de servicios financieros también deben fortalecer los flujos de trabajo de identidad y autenticación para los clientes, no solo para los empleados. Los clientes forman parte integral del sistema financiero; acceden e interactúan con cuentas y productos de préstamo, e inician transacciones estándar y de alto valor. Brindar acceso al sistema a los clientes utilizando solo un nombre de usuario y una contraseña es una invitación abierta al compromiso, y son esenciales métodos más sólidos de autenticación dentro de las aplicaciones móviles, biometría para la autenticación de múltiples factores y principios de confianza cero para detectar características anormales de dispositivos y redes. La alta seguridad de que la persona que solicita acceso a una cuenta o inicia una transacción es quien dice ser es fundamental para evitar fraudes y pérdidas. La dependencia de los enfoques básicos de 2FA, como los códigos enviados por SMS o correo electrónico, debe eliminarse en los flujos de trabajo que otorgan acceso al sistema a los clientes porque las protecciones ofrecidas originalmente por estos enfoques son cada vez más fáciles de romper. Hay una creciente digitalización de la experiencia bancaria para los consumidores, impulsada por la fuerza por las órdenes de confinamiento y confinamiento durante la pandemia y el cierre de las sucursales con la erosión adicional de cualquier relación cara a cara restante entre los banqueros y los consumidores. El desarrollo de medios más sólidos de garantía de identidad es clave para la interacción continua con el cliente y las experiencias bancarias.
Finalmente, la identidad y la autorización deben monitorearse para detectar intentos de piratería, ataques de rociado de contraseñas, volcado de credenciales e intentos de usar credenciales robadas. Las soluciones de seguridad en la nube ofrecen capacidades para monitorear de dónde provienen las solicitudes de autorización, al igual que las soluciones de administración de identidad.
Cualquier empleado o contratista con derechos de acceso a datos y sistemas que excedan lo necesario para sus tareas laborales representa un riesgo para una organización de servicios financieros. Esto puede resultar en el robo de datos por parte de un empleado malicioso, el uso compartido excesivo accidental por parte de un empleado o el robo de datos por parte de un actor de amenazas externo después de comprometer las credenciales de un empleado. Una encuesta encontró que el 37 % de las empresas había detectado cuentas con privilegios excesivos en su entorno, y el 59 % de las empresas dijeron que las credenciales de las cuentas privilegiadas habían sido suplantadas con éxito.
Los sistemas que monitorean y analizan los niveles de acceso de los empleados (incluidos gerentes, ejecutivos, administradores de IT y contratistas) para identificar los derechos de acceso con privilegios excesivos permiten una intervención temprana para restablecer los derechos a un nivel más apropiado. Tal tamaño correcto reduce la probabilidad de que existan cuentas con niveles de acceso inapropiadamente altos, reduce la deriva de acceso cuando los derechos se extienden por error y disminuye el radio de explosión en caso de un ataque interno o una infracción externa. Los sistemas que abordan el acceso con privilegios excesivos utilizan modelos de IA y ML para crear una base normalizada de derechos de acceso para los empleados en función de un grupo de referencia; por ejemplo, un analista de marketing debe tener el mismo nivel de derechos que otros analistas de marketing en el departamento de marketing. Las desviaciones de la norma se pueden ajustar automáticamente o permitir que continúen con la autorización del gerente del empleado.
Para las personas que requieren altos niveles de acceso a los sistemas, las soluciones de gestión de acceso privilegiado (PAM) introducen medidas de seguridad adicionales. Por ejemplo, en lugar de activar continuamente los derechos de superusuario en la cuenta, el usuario solicita una concesión de acceso elevado por tiempo limitado o por transacción limitada que debe aprobarse, auditarse y revocarse automáticamente cuando haya transcurrido el tiempo o el se completa la transacción.
Finalmente, el acceso con privilegios excesivos también ocurre cuando las conexiones entre aplicaciones, como los tokens OAuth que se usan ampliamente en entornos SaaS, se otorgan de manera imprudente o inconsciente a actores malintencionados. Utiliza soluciones para evaluar continuamente la intención de las conexiones OAuth, detectar amenazas ocultas y fortalecer las configuraciones de seguridad.
Los empleados de las empresas de servicios financieros tienen las llaves de importantes sistemas financieros. Si un actor de amenazas puede comprometer a un empleado a través de un ataque de phishing, vishing, smishing o compromiso de correo electrónico comercial, entonces se pueden robar las credenciales y los fondos. Los empleados necesitan capacitación periódica sobre las señales de advertencia de las amenazas cibernéticas, los trucos comunes de ingeniería social y las mejores prácticas de higiene de seguridad para reducir la probabilidad de un ataque exitoso.
Los mejores programas de capacitación en concientización sobre seguridad de su clase incluyen métodos de evaluación además del contenido de capacitación para medir la eficacia de los empleados en la detección y mitigación de ataques. A los empleados o grupos de empleados que muestren poca eficacia a pesar de las intervenciones de capacitación recientes se les puede ofrecer capacitación adicional, protecciones de procesos más sólidas y mejores tecnologías de seguridad. Si los empleados se niegan a seguir las políticas de seguridad, vuelva a evaluar el estado de empleo en curso.
Dado que la industria de servicios financieros seguirá siendo un objetivo clave de los ciberdelincuentes, deben encontrar formas de prevenir los ciberataques. Hoy en día, los servicios financieros deben revisar la eficacia de sus protecciones de ciberseguridad actuales, invertir en nuevas soluciones para abordar las amenazas existentes y emergentes y seguir las mejores prácticas. ¿Dónde comienzan los bancos y las cooperativas de crédito? Lea nuestro artículo técnico para averiguarlo.