Bancos bajo ataque: "La ciberseguridad de los bancos es un festival del humor"

06/09/2018
Publicat a: El Confidencial

A los bancos les crecen los enanos desde que se han metido en Internet. Antes fortalezas casi inexpugnables, la moda de la nube y la necesidad de tener todos los servicios en línea les han llenado los sistemas informáticos de agujeros de seguridad. No pasa día que no tengamos noticias de algún ciberataque con éxito a bancos, como la reciente publicación en Internet, por parte del grupo The Shadow Brokers, de todos los detalles de 14.000 tarjetas bancarias de entidades que operan en Chile (https://cybersecuritynews.es/los-bancos-de-chile-bloquean-tarjetas-ante-una-nueva-filtracion-de-datos/).

¿Ya no son seguros los bancos? Esta pregunta sigue siendo tabú a día de hoy, a pesar de las cada vez más noticias de espanto. Solo en julio y agosto, con medio mundo de vacaciones, hemos visto un grave error informático de Wells Fargo (https://money.cnn.com/2018/08/04/news/companies/wells-fargo-mortgage-modification/index.html), que provocó que embargasen las viviendas de cientos de personas; un ciberatraco de 13,5 millones al banco indio Cosmos (https://securelist.lat/operacion-internacional-de-cibercrimen-roba-135-millones-de-dolares-a-un-banco-de-india-en-dos-dias/87539); un banco de Virginia al que han robado millones de dólares dos veces en menos de un año (https://krebsonsecurity.com/2018/07/hackers-breached-virginia-bank-twice-in-eight-months-stole-2-4m/) o ataques de ransomware en bancos de Perú (https://blog.segu-info.com.ar/2018/08/peru-varios-bancos-sufren-un-ataque-de.html).

No hemos visto aún incidentes de esta envergadura en España, pero todo el que trabaja en seguridad de banca sabe que es cuestión de tiempo. Los robos aumentan así como los botines, especialmente en Asia y Latinoamérica. El 'modus operandi' suele ser siempre el mismo: engañan a los empleados para que ejecuten un virus que dará entrada a los ladrones al sistema. Estos modificarán configuraciones para hacerse con importantes cuentas cuyo dinero drenarán, bien haciendo transferencias a otros bancos, bien llenando tarjetas de crédito que serán vaciadas en los cajeros de casinos o países, como Hong Kong, que permiten sacar hasta 20 mil millones de dólares (https://www.scmp.com/news/hong-kong/law-crime/article/2130616/hk20-billion-month-surge-suspicious-atm-withdrawals-hits).

Los responsables de la seguridad de los bancos sienten gran preocupación, aunque sigue existiendo en este sector una ley del silencio que nos ha obligado a proteger a nuestras fuentes, publicando solo sus iniciales y no sus nombres enteros, por temor a posibles represalias laborales. CB, consultor y auditor habitual de sistemas bancarios, asegura tras su obligado anonimato: "La ciberseguridad de los bancos es un festival del humor".

Las auditorías que se suelen hacer una vez al año, dos si el banco es muy grande, han llegado a mostrar agujeros como "poder listar los NIFs de los clientes o los registros de morosos, colarse en el sistema de documentación de hipotecas, transferir dinero sin validar que la cuenta de origen es la tuya, o entrar en el banco físicamente y llevarte discos duros", explica CB.

La mayoría de estas auditorías solo pueden hacerse en las redes internas porque el lío de proveedores es tan grande en el exterior, que es muy difícil conseguir todos los permisos para realizar las pruebas. Las redes internas están protegidas por cortafuegos y detectores de intrusos que deberían parar los ataques, pero la realidad no es tan evidente, según CB: en un importante banco español los auditores pudieron entrar directamente, evitando el cortafuegos.

"Los bancos tienen muchos problemas técnicos derivados de integrar a otros bancos y unir sus redes a las suyas, lo que provoca que supriman controles", afirma el consultor. También por el hecho de "tener que ofrecer un elevado volumen de servicios al exterior". Para programar estos servicios, explica CB, "tiran mucho de consultoras que subcontratan a chavales sin experiencia, lo que significa productos mal hechos y con agujeros por un tubo". Un banco español fue atacado precisamente a través de la consultora que le llevaba la programación.

VX, ex auditor QSA y ISO27001, quien actualmente tiene un cargo de responsabilidad en el departamento de seguridad de una entidad financiera de Barcelona, le secunda: "Hay bancos que lo tienen todo tan externalizado que su propia gente no sabe qué tiene". CB añade: "Lo que tienen es un buen lío y el tiempo de los programadores se va en documentarlo todo, procedimientos para arriba y para abajo, para poder paliar el no tener a gente realmente buena".

El problema de fondo, asegura, es que las entidades afrontan la ciberseguridad "por ingeniería financiera y no por productividad, consideran inversión que una empresa externa les ponga 10 curreles en la oficina, en vez de coger a uno bueno". De todas formas, es difícil que alguien bueno quiera trabajar en seguridad bancaria, afirma CB: "Todos los informáticos que conozco que han trabajado en bancos han tenido, al menos, sustos, casi nadie quiere trabajar allí".

GM, cuya carrera laboral se sitúa en la gran banca, los bancos de los bancos, lo confirma: "España va sobrada de personas con alta experiencia en el sector de la seguridad informática, el problema cuando trabajan en bancos es la precariedad en la que se mueven la mayoría de las veces, y no me refiero solo a salarios, también a que los bancos no se dan cuenta de que hay sectores estratégicos que no hay que tercerizar".

Según GM, "los bancos de capital español no parecen ser todo lo seguros que dicen ser, aunque algunos de ellos están intentando atajar los ataques antes de que lleguen". Para la experta bancaria, lo más vulnerable es "la banca pequeña" y en cuanto a ataques, "el 'phishing' y el teléfono, llamando por teléfono a un empleado pueden filtrar muchos datos".

Lo peor en los bancos españoles, asegura GM, es "la improvisación, ser reactivos en vez de prevenir, y desconocer el mundo del crackeo, además de seguir apostando por mercados vulnerables como el chino". Aunque hay leyes como la Ley de Protección de Datos que "los bancos la tienen bien sabida, pero indagas un poco más y quedan a la vista vulnerabilidades como falta de cifrado o falta de controles de seguridad".

CB añade otro flanco: "La banca online hace aguas, con servicios que ya son viejos y cosas muy sangrantes, como nula segmentación entre los servidores de la banca online y los de las oficinas, provocando que yo pueda ver desde un servidor hackeado los ordenadores de los curreles del banco". Se cuenta que un equipo de auditores consiguió entrar en un Terminal Punto de Venta virtual y espiar hasta conseguir 200.000 VISAs completas.

"Los bancos han ido a lo 'ciber' tarde y tienen problemas tan complejos que no es fácil, ¿cómo proteges los sistemas más antiguos? Hasta hace pocos años los cajeros iban con Windows95", explica VX. A esto hay que añadir la "brutal" cantidad de ataques automatizados que reciben, añade CB, lo que hace muy complicado detectar el ataque de un humano. Por eso, dice, "están obsesionados con preservar las evidencias, porque de vez en cuando pasan cosas". Cosas que "si el atacante no las cuenta, ellos tampoco", asegura CB.

Para colmo, las certificaciones no son de fiar afirma VX: "La legislación está hecha para que digas que cumples sobre el papel, pero hay pocas auditorías 'in-situ'". Aunque la banca es un sector muy regulado, "normas como Basilea II solo piden al Banco de España que tenga planes de contingencia y continuidad como principales medidas de seguridad", afirma.

Al resto de entidades se les pide, según el experto, "que hagas informes y aportes alguna evidencia, pero ya está, o bien que hagas auditorías, pero no que las cumplas". Buena parte de las revisiones que debe pasar la banca son "no obligatorias". A finales de julio el Banco Central Europeo anunciaba por primera vez un paquete de tests de ciberseguridad para los bancos europeos, pero estos exámenes serán voluntarios (https://www.adslzone.net/2018/07/23/bce-ataque-bancos-europeos).

Una de las auditorías más severas del sector, Payment Card Industry (https://blog.isecauditors.com/2018/08/publicada-la-version-3-del-estandar-pci-pin.html), para actores que usan tarjetas de crédito, no es obligatoria para las entidades bancarias más grandes, afirma VX. Y los que sí están obligados pueden evitarla: "Los datáfonos tienen que pasar el PCI, pero hay una cadena de supermercados española que tiene datáfonos no oficiales y los bancos tienen que aceptarlo porque, si no, les dice que cambiará de banco", explica.

Por otra parte, en el mundo de las certificaciones hay "mucho mercadeo", asegura VX, como "presionar al auditor para que te haga la certificación, o comprarla, o auditar la red por partes para que todo salga bien, apagando ahora una, ahora la otra; hay mucha picaresca". En 2013, explica, "expulsaron a una auditora porque hacía las auditorías en la marisquería, y muchas veces te preguntan quién ha expedido el certificado porque ya saben que hay gente que dice: 'Si pagas más, te audito menos'. Por suerte no son mayoría".

CB añade: "Si se supiese todo, la gente entraría en pánico". GM explica: "La responsabilidad va desde la Comisión Europea hasta los propios bancos", y reconoce que si se diese un robo importante en un banco europeo, muy posiblemente "los gobiernos interarían taparlo el mayor tiempo posible". Pero a veces no se puede tapar, como fue el caso de la Society for Worldwide Interbank Financial Telecommunication (SWIFT), una red donde circulan las grandes transferencias entre bancos.

En 2016 removió los cimientos de la ciberseguridad bancaria un ataque al Banco Central de Bangladesh (https://en.wikipedia.org/wiki/Bangladesh_Bank_robbery) y su acceso a SWIFT. Redirigieron a un casino de Filipinas 81 millones de dólares. Después lo repitieron en bancos de Ecuador, Vietnam, Chile (https://latesthackingnews.com/2018/06/10/chilean-bank-computers-crashed-after-swift-hack-attempt/) y Ucrania (https://thehackernews.com/2016/06/ukrainian-bank-swift-hack.html).

Debido a ello, explica VX, "SWIFT se está poniendo las pilas y obligando a las entidades a demostrar que tienen lo que se les pide o, si no, pierden la licencia". También los grandes bancos empiezan a espavilar: El BBVA reconoce en sus cuentas de 2017 un "aumento en la frecuencia y sofisticación de los ciberataques que sitúan la ciberseguridad entre las prioridades para el sector financiero". El Banco de Santander, en su informe anual, habla de "una total atención frente a los riesgos de ciberseguridad".(https://amp-expansion-com.cdn.ampproject.org/c/s/amp.expansion.com/empresas/banca/2018/03/22/5ab2b983468aebbb5b8b45a6.html)

Ambos bancos acaban de crear nuevos marcos de seguridad informática para sus respectivas estructuras organizativas, con comités específicos y nuevos servicios de detección anticipada, así como la contratación de directivos que, en el caso del Santander, deben llevar el seguimiento de la ciberseguridad hasta "el más alto nivel", implicando a "los principales ejecutivos". BBVA ha creado una nueva unidad de coordinación de estos temas y CaixaBank, un grupo CiberSOC especializado en respuestas a incidentes de seguridad informática. ¿Conseguirán sobrevivir a la avalancha?

 



Mercè Molist