El sistema financiero colombiano, 10 años de transformación digital

Por: Diego Espitia.—

En los últimos 10 años el sistema financiero colombiano ha sido una de las industrias más impactada con la cuarta revolución de la industria, pues los clientes han forzado a una migración rápida de los principales servicios de la banca tradicional, a sistemas digitales que les permitan acceder a sus servicios desde múltiples canales de servicio, soportados en tecnologías de comunicaciones y servicios en Internet, que les permitan tener facilidad en la ejecución de cualquier servicio financiero.

Esto ha generado que las entidades financieras busquen diferentes formas de cumplir con las necesidades que sus nuevos clientes exigen, llevando a la creación de equipos que puedan desarrollar estos servicios digitales directamente o que los equipos de tecnología puedan realizar contratos con entidades externas para que desarrollen los servicios, según los requerimientos del mercado y con las pautas que se le exige por parte de los entes de control.

Estas necesidades han generado cambios no solo en las funciones de los equipos de tecnología, sino en las como la dirección de las entidades ven la necesidad de implementar toda la tecnología necesaria para soportar los nuevos servicios digitales que sustituyen a los servicios tradicionales, donde es fundamental la garantía no solo la usabilidad de estos servicios sino la seguridad de la información que genera, trasmite y manipula dentro de estos equipos o servicios.

Estos cambios también se han visto impulsados por los entes reguladores de los servicios financieros en todo el mundo, quienes han visto como los controles contables tradicionales ya no pueden brindar la garantía necesaria en el funcionamiento de industria y han generado normas específicas que buscan que la información con la que se soporta todo el sistema financiero entregue garantía en disponibilidad, integridad y confidencialidad, los cuales son los pilares en los que se soporta la seguridad de la información.

Por lo que los entes de regulación generaron inicialmente normas que garantizaran la seguridad a través de la implementación de tecnología, llevando a que las entidades financieras a implementar la estrategia de adquirir dispositivos especializados de seguridad en diferentes partes de sus infraestructuras de red o procesos de aseguramiento de sus servicios digitales internos o externos.

¿Maquinas que protegen?

Esta política llevo a las entidades a adquirir sistemas de detección y prevención de intrusos en la red, sistemas de antivirus avanzados para los dispositivos de sus trabajadores, mecanismo de control de acceso de redes, servicios de cifrado en la trasmisión de información en sus portales en Internet, mecanismos de chip en tarjetas de pago, pasarelas especializadas de para pagos en línea y un sin número de medidas basadas en equipos o tecnologías.

Sin embargo, ha sido en estos últimos cinco años cuando pese a todas estas adquisiciones y controles los sistemas financieros en todo el mundo se han visto más expuestos a los fraudes electrónicos y a los ataques cibernéticos, con casos que han sido ampliamente conocidos por la opinión pública y otros no tan difundidos, pero si han afectado sus finanzas.

Uno de los ejemplos más contundentes ha sido el que realizo un grupo de delincuentes informáticos conocidos como “Cobalt” o “Carnabak”, quienes robaron cerca de 100 entidades financieras en más de 40 países, usando la técnica de engaño más común en Internet, denominada Phishing. Donde usando un correo electrónico especialmente creado para sus víctimas lograban filtrar a las redes de computadores de las entidades financieras un Malware que tenía como objetivo comprometer la seguridad de los cajeros automáticos y así poder enviar la orden de expulsar dinero en algún punto de servicios donde una persona aguardaba a recoger la cantidad que el cajero expulsara. Logrando que el sistema financiero tuviera unas pérdidas calculadas en cerca de 10 mil millones de dólares.

Para que este ataque tuviera éxito, era necesaria la interacción del personal de la entidad, que debido al elaborado engaño del grupo de atacantes, no podía distinguir que el correo recibido contenía en realidad un adjunto maliciosos que suplantaba a las entidades regulatorias del sistema y que estaban perfectamente diseñados para cada uno de los diferentes destinatarios usados como puente de acceso en las entidades afectadas.

Dando muestras de que la política de seguridad que se adoptó por parte de las entidades y de los entes regulatorios, no había tenido en cuenta la debilidad de los usuarios a ser engañados y con esto saltar las medidas de control que los diferentes dispositivos de la red, pues las acciones eran ejecutadas supuestamente por un usuario que se consideraba como una fuente valida y que tenía la autorización para este tipo de procedimientos.

Esta rápida migración a servicios digitales nos deja otro claro ejemplo de errores tanto en las políticas exigidas como en la implementación de las medidas seguridad, son las aplicaciones móviles que las entidades bancarias ponen a disposición de sus usuarios. Las cuales fueron analizadas por ElevenPaths, que es la unidad de ciberseguridad de Telefónica, dejando al descubierto varias brechas en los controles de seguridad de estos desarrollos.

Detectando amenazas en todas las aplicaciones oficiales que fueron analizadas, encontrando que el error más común fue de desarrollos que no validan correctamente los datos que se ingresan y permitiendo a los atacantes realizar ejecuciones sobre la base de datos que les puede llegar a permitir extraer o modificar algún tipo de información.

El segundo error más encontrado fue el uso de permisos intrusivos a la privacidad del usuario y que no son necesarios para el cumplimiento de las operaciones bancarias que deben soportar estos mecanismos digitales que han surgido con la transformación de la industria.

Esto dos errores son de cara al cliente, pero de la cara a las entidades también se detectaron algunas brechas tras analizar la información pública de los archivos de las aplicaciones, donde se pudieron extraer detalles de los sistemas operativos y de las impresoras usada, los cuales evidencian falta de controles de seguridad y algunas debilidades por software obsoleto.

Un último ejemplo de cómo la rápida migración a servicios digitales ha expuesto la seguridad de la información en entidades financieras, fue un caso que no solo afecto a esta industria sino a millones de usuarios empresariales en todo el mundo, por un no implementar configuraciones de seguridad en los servicios especializados de seguridad que se adquieren.

Fue el caso de “Carbon Black”, un sistema de protección avanzada de respuesta de incidentes que se instala en los computadores de los empleados, el cual los equipos de tecnología deberían haber realizado una serie de configuraciones de seguridad para evitar que alguna configuración por defecto pudiera ser usada para extraer información u obtener control remoto de estos equipos de cómputo.

Esto se evidencio a mediados de 2016, cuando se hizo pública la fuga de algunos Terabytes de información privada de consumidores de todo tipo de empresas, pero que particularmente afecto a una gran cantidad de servicios financieros, pues mucha de la información expuesta fueron datos bancarios de las personas.

Ciberseguridad como prioridad de negocio

Estos y muchos incidentes más han hecho que la ciberseguridad tome una gran importancia en las mesas de dirección de las entidades financieras y que se estén tomando medidas no solo desde el punto de vista de tecnología, sino que abarque todos los procesos del sistema financiero para garantizar un manejo seguro de la información, que garantice la disponibilidad, confidencialidad e integridad de los datos, siempre teniendo en cuenta que la seguridad nunca será 100% efectiva y que deben contemplar escenarios de recuperación de desastres.

Esto está generando varios cambios en las infraestructuras de operación de las entidades financiera, donde se han creado áreas de ciberseguridad que trabajan de forma coordinada con los equipos tradicionales de seguridad física. Los cuales han empezado a apoyarse en la industria especializadas en seguridad de la información para la implementación y revisión de sus innovaciones o cambios de tecnología, que soporten la cambiante y vertiginosa necesidad de brindar nuevos y más simples mecanismos de servicios financieros a los usuarios.

Uno de estos cambios es la migración de servicios a la nube, a través de procesos que les permitan garantizar la seguridad, como la implementación de concentradores de acceso seguro a la nube, que se llaman CaSB, con los que es posible llevar a la nube las políticas de control de seguridad para monitorear y medir el riesgo asociado al acceso de los recursos en la nube, lo que es vital para garantizar que estas migraciones cumplan con todos los parámetros de seguridad que se requieren.

Sin embargo, esta migración a la nube conlleva otra serie de riesgos que las entidades han tenido que afrontar y aprender a mitigar, como es la desaparición de un perímetro de conexiones establecido, el cual era muy simple tener asegurado con las anteriores arquitecturas de servicio, pues toda la información se concentraba en las oficinas y en las máquinas de sus empleados, pero hoy con servicios financieros que pueden ser accedidos desde cualquier parte del mundo, con sistemas de pagos desplegados en todos los comercios y con sistemas de pago en línea que soportan millones de transacciones, esta frontera donde se manejaba la información a ha desaparecido.

Esta necesidad de seguridad en su entorno no es posible que la cubran directamente las entidades financieras, por lo que se han generado servicios como CyberThreat de Telefónica, donde a través de diferentes servicios se monitorea persistentemente sobre amenazas a la marca, al fraude en línea, posibles ataques cibernéticos que se estén organizando desde la diferentes puntos de red y la fuga de números de tarjetas de crédito y débito.

Estos servicios permiten monitorear las tarjetas crédito y débito que los bancos entregan a sus usuarios y que son expuestas a fugas de información como la sucedida en los hoteles Marriot y en las tiendas por departamentos de Target, las cuales terminan siendo ofrecidas en redes oscuras para que puedan ser usadas de forma ilegal en otros mercados. Por esto la herramienta busca en todas las redes los números que identifican a cada entidad y anuncia cuando alguna de estas tarjetas está siendo ofrecida de forma ilegal, mitigando la posibilidad de fraudes a sus clientes. 

Adicionalmente, el servicio permite mitigar los engaños orquestados en la red, donde se suplantan los servicios web de las entidades, que es la técnica más usada por los delincuentes organizados para obtener los datos de los usuarios para acceder a los sitios web oficiales y desfalcar a los usuarios. Lo que ha generado pérdidas millonarias para usuarios y entidades.

Esto nos lleva a uno de los principales retos que han encontrado las entidades financieras, que es poder identificar completamente a sus usuarios, ya sea los clientes finales que usan sus servicios financieros, a los proveedores que forman su cadena de suministro y a los empleados que gestionan o acceden a los servicios con los que funcionan las entidades, ya que la no identificación plena de quien está accediendo a los servicios permite la suplantación y el acceso no autorizado a información.

Para solucionar este reto es importante que se pueda validar en el usuario algo que conozca, algo que tenga y algo que sea, por lo que la pareja usuario y contraseña no brinda esa seguridad, y ha llevado a que las empresas especializadas generen lo que se ha denominado sistemas de múltiple factor de autenticación, exigiendo que sus usuarios validen su identidad a través de otros procesos que complementan o que sustituyen al usuario y contraseña.

Sin embargo, esto no ha llegado con fuerza a las entidades financieras quienes continúan controlando el acceso basados únicamente en la solicitud de usuario y contraseña, no siguiendo la evolución que empresas como Google o Microsoft ha generado en sus servicios de nube y sobre los cuales se soportan muchos servicios financieros. Uno de los principales inconvenientes es la usabilidad por parte de los clientes finales, a los que se requiere identificar plenamente, pero con mecanismos tan simples como la contraseña.

Para esta necesidad en ElevenPaths la unidad de ciberseguridad de Telefónica, se han desarrollado sistemas de identificación y autorización innovadores y simples, que permitan a los usuarios acceder a los servicios usando patrones como los usados para desbloquear los smartphones, usando tarjetas con patrones especiales   que puede ser usado en smartphone o en computadores portátiles y un desarrollo que permite mantener una autenticación constante basado en el comportamiento de uso de dispositivos móviles.

Estos mecanismos cumplen con la identificación plena de los usuarios, pues sistemas como “SmartPattern” se valida algo que conozca, que es el identificador que exija la entidad, como el correo electrónico o el número de teléfono; se valida algo que tiene, pues se requiere el móvil para que se realiza el patrón cargado como identificador y se valida algo que se es usando biometría comportamental a través de inteligencia artificial que valida patrones como velocidad, presión y otros cuando se hace el patrón.

Lo que puede ser implementado por las entidades financieras para cualquiera de sus tipos de clientes, el usuario final, el proveedor y el usuario interno, al cual adicionalmente con sistemas como Latch se les puede dar la opción de controlar cuando estos servicios pueden ser accedidos usando sus credenciales, usando un simple movimiento en el móvil, donde al estar en apagado el usuario no puede ser usado así se tengan las credenciales de acceso.

Aprendiendo de los errores iniciales, es necesario no solo implementar servicios de seguridad o dispositivos especializados, sino que se requiere monitorear persistentemente el funcionamiento general de sus servicios y de todas estas implementaciones, para lo cual es fundamental contar con el apoyo de un centro de operaciones de seguridad (SOC, por sus siglas en ingles) que les dé una visión de cómo evolucionan y cómo se comportan todas estas implementaciones realizadas, con el fin de conocer que se debe mejorar y que se debe configurar para mantener un nivel de seguridad alto.

Esto es muy difícil lograrlo si se hace directamente en las entidades financieras, pues no se tiene el conocimiento necesario, ni los apoyos de la industria especializada en seguridad, por lo que es muy usual que se contrate a expertos que tengan la capacidad de reaccionar ante un incidente de forma expedita y que se puedan apoyar no solo en el conocimiento propio, sino en el de la industria o en el de otros SOC que estén interconectados en el servicio.

Por esto Telefónica desarrollo un anillo de estos centros de operaciones de seguridad, desplegados en 10 países en el mundo y con colaboración en sitios donde la operadora no llega, como Medio oriente y Asía, a través de convenios de colaboración entre SOC’s y con la creación de CyberThreat Alliance, lo que permite a los equipos de servicio que gestionan la seguridad de múltiples entidades del sector financiero, conocer de antemano las posibles amenazas del sector.

Apoyando así a los equipos creados dentro de las entidades financieras, que tienen como objetivo el generar y comprobar los planes de respuesta de incidentes y planes de recuperación de desastres, que son necesarios en los ambientes cibernéticos actuales.

Conclusiones

El proceso de migración a la era digital por parte de las entidades financieras no ha sido fácil pero si ha sido muy acelerado, lo que ha motivado una gran serie de cambios en el sector en busca de mantener a sus clientes con ofertas innovadoras y tecnológicamente muy robustas, pero con la consigna de garantizar la seguridad de la información que se maneja.

Debido a que, sin lugar a dudas, esta industria es el objetivo más buscado por las organizaciones criminales, quienes ven la opción de obtener dividendos económicos directamente, ya sea afectando a los usuarios finales de los servicios financieros a través de engaños o afectando a las entidades financieras a través de la suplantación de clientes legítimos por los errores de validación de identidad que tienen estas entidades.

Tras años de aprendizaje el sector financiero ha aprendido que no puede hacer esto solo y que es necesario buscar aliados tecnológicos que los apoyen en los objetivos de brindar servicios en todos los canales de atención que hoy exige el usuario, pero garantizando la disponibilidad, integridad y confidencialidad que los datos de este sector ameritan.

Diego Samuel Espitia Montenegro

Chief Security Ambassador 

ElevenPaths Cybersecurity Unit of Telefónica

Colombia

@dsespitia

Deja un comentario