El mayor uso de canales online y móviles para resolver las necesidades bancarias expone a las entidades financieras a nuevas amenazas. Con el avance de las transacciones sin efectivo, cada vez más operaciones son electrónicas. Los canales digitales son una solución práctica y una demanda de muchos clientes; pero también presentan retos a nivel de la ciberseguridad.
En la actualidad los ciberdelincuentes buscan que los usuarios sean víctimas de phising u otro tipo de ataques de suplantación de identidad como vishing o smishing. Se trata de dos modalidades de robo que en la mayoría de los casos se generan por falta de concientización y conocimiento del tema.
Los dispositivos móviles y las aplicaciones que se utilizan para la banca están en la mira de los ciberatacantes. Asegurar servicios avanzados de banca electrónica hoy es clave, pero a medida que las aplicaciones de los bancos evolucionan y crecen, exponen más API, lo que hace que la superficie de ataque también crezca. Los ciberdelincuentes también están explotando este fenómeno, atacando las aplicaciones web y las API con métodos avanzados.
Riesgos y vulnerabilidades
Un relevamiento internacional detectó que durante el cuarto trimestre de 2021 los bancos fueron atacados en promedio 703 veces por semana, lo que representó un aumento interanual del 53%. “Desde estafas de phishing y ataques de denegación de servicio hasta ataques sofisticados por parte de actores de estados-nación, las amenazas cibernéticas dirigidas a los bancos están en constante aumento”, destacaron los autores del reporte.
Hay distintas formas en las que un banco puede ser vulnerable a los ataques. La más común es a través de su sitio web, donde los clientes pueden ingresar su información, como detalles de tarjetas de crédito y números de cuenta. Por otro lado los cajeros automáticos y las aplicaciones de banca móvil en los teléfonos inteligentes también generan vulnerabilidades.
Para protegerse frente a estos desafíos los bancos pueden asociarse con otras organizaciones y socios de seguridad que ofrecen servicios administrados; también pueden implementar programas continuos de capacitación para su personal; y pueden adquirir herramientas de detección y respuesta que les ayuden a ser proactivos y prevenir ataques. Además pueden desarrollar programas de concientización para que los clientes no revelen datos confidenciales.
Por ejemplo, el cifrado SSL es uno de los pocos protocolos de seguridad de la banca digital para resguardar los datos en la web actual; protege las credenciales de los usuarios y las transacciones en tránsito, aunque no protege a los bancos de sus vulnerabilidades internas, como el fraude de empleados o contratistas o proveedores externos comprometidos.
En lo que respecta a las aplicaciones bancarias para detectar y prevenir los ataques las entidades necesitan implementar defensas de seguridad específicas de la aplicación, por ejemplo, pueden incorporar seguridad en sus aplicaciones móviles desde el principio.
Ofrecer un entorno seguro
Una mala gestión de la seguridad informática puede tener distintas consecuencias negativas, desde el simple robo de información hasta la obtención de datos del cliente sin su autorización, e incluso el pedido de recompensas para evitar la divulgación de los datos robados.
Por otra parte las malas prácticas de ciberseguridad de los clientes de banca digital pueden comprometer su información en segundos. Para prevenir infracciones debido a errores de los clientes las entidades bancarias deben usar aplicaciones móviles bien diseñadas con una experiencia de usuario optimizada y funciones de seguridad integradas. Por ejemplo, un usuario puede utilizar el escáner de huellas digitales en su teléfono u otro método de autenticación multifactor para acceder a su cuenta. Además, las entidades tienen la opción de enviar correspondencia periódica a sus clientes sobre la importancia de las buenas prácticas de seguridad.
Como consigna general los bancos deben probar constantemente sus controles y estar muy al tanto de las amenazas de ciberseguridad en constante evolución. Actualmente los enfoques de seguridad informática se basan en la “confianza cero” (Zero Trust), un marco que asume que la seguridad de una red compleja siempre está en riesgo ante amenazas externas e internas. Además, la tendencia pasa por generar mallas de ciberseguridad, una infraestructura de seguridad de TI que crea límites más pequeños y personales alrededor de cada punto de acceso.
En Accion Point colaboramos con los bancos sus procesos de transformación digital y podemos ayudarles para que optimicen sus canales digitales también desde el punto de vista de la ciberseguridad.
