Fraude en pagos transfronterizos: un ataque al corazón de los sistemas bancarios

El anuncio de la Society for Worldwide Interbank Financial Telecommunication levantó la comprensible alarma entre las entidades usuarias de dicha red, ya que suponía la constatación oficial de algo que se venía oyendo desde hacía algún tiempo: se están dando casos de ciberataques a los sistemas informáticos de algunas entidades con los que se ha logrado emitir pagos fraudulentos en cuentas abiertas previamente por los delincuentes.

Se están produciendo ciberataques a los sistemas de algunas entidades financieras con los que se emiten pagos fraudulentos en cuentas abiertas por los delincuentes

El caso más conocido y estudiado es el que se dio en el Banco Central de Bangladesh el pasado mes de febrero mediante el cual se consiguieron robar 81 millones de dólares al generar pagos falsos sobre cuentas abiertas asociadas a casinos de Filipinas. A este incidente, conocido por la industria financiera algún tiempo después, le han seguido otros, como el sucedido en el Banco Austro de Ecuador, en el Tien Pohn Bank vietnamita y en varios bancos de Rusia, Ucrania, Hong Kong…

Desde el comienzo de esta oleada de ataques, SWIFT se ha apresurado a afirmar una y otra vez que su red y su servicio de mensajería son seguros y que las brechas de seguridad están en los sistemas y procedimientos locales de las entidades que son objeto de estos robos. Tanto es así que se está urgiendo a que los bancos tomen medidas adicionales de seguridad y control de las operaciones con el objeto de prevenir más casos como este.

Lo que conocemos sobre el “modus operandi” de estos hackers es lo siguiente:

• Conocen la forma de introducirse en los sistemas de los bancos víctimas de sus ataques, logrando comprometer credenciales y claves de acceso a los puestos con acceso a la red de SWIFT.

• Modifican pagos existentes, desviándolos a cuentas creadas previamente.

• Mediante la instalación de “malwares”, modifican o inhiben los mecanismos y mensajes de control de pagos para que los departamentos de operaciones de los bancos no sean conscientes del robo en el momento en el que éste se está dando.

Es decir, son grandes conocedores del funcionamiento del sistema SWIFT y de los procedimientos internos de los bancos a los que atacan. Son también pacientes. Las cuentas a las que dirigieron los pagos en el caso del fraude al Banco de Bangladesh fueron dadas de alta no menos de un año antes.

Este tipo de ciberdelincuencia supone un punto de inflexión en el campo del fraude bancario, hasta ahora más enfocado a campañas de “phishing” a clientes minoristas, a falsificación de tarjetas de crédito y a cometer muchas estafas de poca cuantía. Este tipo de fraude tiene un perfil muy distinto: pocos casos, de cuantías enormes y sin temor a la repercusión mediática que generan.

Qué medidas estamos tomando los bancos

La complejidad del campo en el que nos movemos cuando hablamos de ciberseguridad exige que las medidas a aplicar sean llevadas a cabo en distintos ámbitos. En materia de ciberseguridad el riesgo cero no existe, por lo que cualquier obstáculo que se ponga a un posible atacante será una nueva medida disuasoria de ser elegidos como víctimas. Por nombrar las más importantes:

• Disponer de equipos propios de “hackers” que realicen ataques controlados que simulen los que nos podrían hacer los auténticos “hackers” (“hacking ético”). De los resultados de estos ataques se han de derivar acciones correctoras o mitigadoras que cierren posibles brechas de seguridad.

• Contar con antivirus de última generación, continuamente actualizados, e instalar de forma regular todos los “parches” que los fabricantes de software liberan, ya que estos casi siempre conllevan correcciones a vulnerabilidades técnicas de las que los hackers se aprovechan.

• Ser muy rigurosos en la aplicación de las normativas internas de seguridad, especialmente en lo referente a la segregación de funciones y a la escrupulosa aplicación del perfilado de acceso a los sistemas informáticos más críticos.

• Redoblar medidas de control operativo para evitar en lo posible acciones que puedan suponer pérdida monetaria.

• Avanzar en el uso de herramientas analíticas que alerten sobre patrones de pagos distintos a los esperados, a países en los que no se opere normalmente, con importes sospechosos (muy altos o muy bajos) o a horarios distintos de los habituales, etc. Además es necesario minimizar los “falsos positivos” refinando continuamente las alertas con tecnologías tipo “machine learning”.

• Contar con sistemas avanzados de monitorización que muestren en tiempo real las alertas descritas en el punto anterior y definir un sólido protocolo de actuación para cada tipo de alerta.

“Hay un antes y un después de Bangladesh”, ha declarado recientemente Gottfried Leibbrandt, presidente ejecutivo de SWIFT, para quien estos ataques se convertirán en un acontecimiento decisivo para el sector bancario. Los bancos han sido siempre objetivo preferente de la ciberdelincuencia y el hecho de que la forma de hacerlo no sea a través de los clientes, sino apuntando directamente a los sistemas “core” bancarios, inaugura un nuevo período de riesgos informáticos para la banca y el sistema financiero en general cuya prevención exige una aproximación diferencial.