En un año, los ataques cibernéticos contra las instituciones financieras pasaron de uno a cuatro por trimestre, lo que representó afectaciones por 784.7 millones de pesos, reveló el Reporte de Estabilidad Financiera del Banco de México (Banxico) a diciembre de 2019.
Además, hubo una diversificación en cuanto a los servicios afectados, “desde transferencias electrónicas hasta cajeros automáticos”, reconoció el Banxico.
Se observó la vulneración de software, operaciones fraudulentas ejecutadas por terceros laborando al interior de la institución, robo de contraseñas, abuso de deficiencias en la validación de saldos y vulneración de equipos de telecomunicaciones, entre otros.
Los ataques se enfocaron en vulnerar sistemas conectados a los bancos que no fueron desarrollados por las instituciones sino por algún tercero, como los canales de banca móvil y los provistos por corresponsales o empresas fintech asociadas con los bancos.
El documento reconoce que los ciberdelincuentes muestran amplio conocimiento de protocolos y sistemas de interconexión para acceder a cuentas y servicios de transferencia de los bancos.
Para los hackers y ciberdelincuentes, atacar un banco representa un retorno de inversión, señaló Eloy Ávila, director de Tecnología en Darktrace para América.
“Deben existir controles efectivos para desalentar estos ataques, pero cada institución necesita una estrategia de seguridad integral que evolucione con la empresa moderna y los códigos de ataque cambiantes.
“Los hackers son oportunistas y quieren maximizar sus ganancias o impacto con un trabajo mínimo”, indicó el directivo.
“Cuando 300 millones de pesos fueron robados de los bancos mexicanos se convirtieron en un objetivo más atractivo para los hackers; las debilidades conocidas en el SPEI trajeron más actores cibernéticos al campo de juego”, comentó.
Roberto Martínez, analista senior de Seguridad de Kaspersky, explicó que hay un surgimiento de grupos cibercriminales locales, regionales y globales, ya que al existir huecos legales, el costo-beneficio de estas actividades puede ser mayor que el riesgo al que se enfrentan.
Finalmente, aconsejó que el primer paso a dar por las instituciones consiste en orientar sus esfuerzos de forma estratégica, apoyándose en información de inteligencia que les permita conocer a sus adversarios, así como las técnicas que utilizan.