Hackers prueban que robar 81 mdd sin ser atrapados va más allá de la ficción

Post invitado de Otto Berkes* Al igual que las bacterias que se desarrollan con el fin de luchar contra potentes antibióticos, las amenazas de hoy en el ambiente cibernético están cambiando constantemente para explotar nuevas vulnerabilidades. Por este motivo, al igual que los antibióticos, nuestros sistemas de protección de seguridad digital deben evolucionar (a nivel personal, comercial y gubernamental), cambiar con el paso del tiempo y ser activos, robustos e innovadores. El antecedente más reciente de un ataque del cibercrimen es el robo de 81 millones de dólares (mdd) en fondos del banco central de Bangladesh, así como un banco en Ecuador y al menos uno más en otro país. El robo descarado es una dura lección que demuestra que los malos nunca duermen y lo que antes era “suficientemente bueno”, en términos de seguridad digital, ya no es así. Para operar este robo digno del cine negro, los ladrones digitales se filtraron en lo que se pensaba que era el sistema de mensajería financiera más seguro del mundo, conocido como SWIFT, una cooperativa belga dirigida por propios miembros de los bancos y usado por 11,000 instituciones financieras a escala mundial. El ataque a la red bancaria SWIFT no mostró un nuevo tipo de ataque informático, sino que reveló un astuto esquema que combina varios métodos existentes de una manera sofisticada y única. SWIFT dijo que los ladrones robaron credenciales de operadores legítimos que les permitieron enviar mensajes aparentemente auténticos, que fueron usados para llevar a cabo transferencias fraudulentas. Después, instalaron un software malicioso en las computadoras del banco, el que les permitió manipular impresoras y ocultar los rastros de los mensajes fraudulentos. “Los atacantes claramente exhiben un conocimiento profundo y sofisticado de los controles operativos específicos dentro de los bancos objetivo, conocimiento que probablemente fue adquirido a partir de intrusos maliciosos, ataques cibernéticos, o una combinación de ambos”, señaló SWIFT en un comunicado. Proteger la red SWIFT y a sus miembros, o a cualquier ecosistema interconectado, requiere actualmente de una aproximación colaborativa y multifacética que debe ser manejada como un desafío relevante para los negocios y no simplemente como una cuestión tecnológica. En primer lugar, la ingeniería social de las debilidades humanas por parte de los malos actores debe ser combatida con la ingeniería social hecha por los chicos buenos. Los ataques previos a las redes de pago, a menudo han involucrado al llamado “spearfishing”,  un método usado por los criminales que busca que las personas abran correos electrónicos falsos desde donde se descarga software malicioso, permitiendo a los estafadores robar credenciales para iniciar sesión en los sistemas. Además del malware, los ciberdelincuentes desplegaron herramientas, incluyendo el software key-logger que monitorea y registra las teclas oprimidas en un teclado, para robar credenciales del banco de Bangladesh del sistema SWIFT. Continuar fomentando la educación, tanto dentro como fuera de la organización sobre las últimas técnicas de “spearfishing” ayudará a aumentar la conciencia y reducir el fraude. Los dispositivos móviles y otros dispositivos conectados al Internet de las cosas son nuevos puntos de vulnerabilidad y deben ser bloqueados. Los ladrones de banco también se aprovecharon de un eslabón débil en la cadena de seguridad, un lector de PDF usado para generar informes de confirmaciones de pago. Una revisión regular de la cartera enfocada en la seguridad a través de todo el negocio y ayudará a identificar las amenazas emergentes, las brechas y las estrategias de mitigación. Asimismo, debemos entender que el perímetro de seguridad ya no depende de las paredes del castillo, no importa que tan protegido esté. Ahora, el nuevo perímetro es la identidad. Es el punto donde el usuario –los millones de usuarios– está accediendo a cualquier sistema dado en el borde de la red. Las empresas deben asegurarse que los usuarios son quienes dicen que son, y que la información y los servicios de los que pueden acceder coinciden exactamente con su papel. Los nombres de usuario y contraseñas ya no son suficientes para mantener la confidencialidad de las comunicaciones. Aumentar la identidad básica de los protocolos de autenticación avanzados –como la autenticación de múltiples factores– puede ayudar a asegurar la autenticidad de identidad, ayudando a los bancos más pequeños a actualizar su seguridad de una manera relativamente fácil y rentable. Algunos datos y servicios también pueden necesitar una mayor seguridad que otros. Por ejemplo, una contraseña sencilla puede ser suficiente para que un consumidor acceda a la información del saldo en un escenario de banco en línea. Sin embargo, la transferencia de fondos por parte de los empleados del banco debe requerir la verificación de una identidad adicional con el fin de completar la transacción. Y lo más importante, también tenemos que mejorar el seguimiento y la análisis de las cuentas de los usuarios privilegiados. La creciente interconexión de nuestros sistemas comerciales, financieros e incluso de gobierno evidencia, que hoy más que nunca los usuarios  tienen un acceso privilegiado para ejecutar estos sistemas. Un acceso privilegiado debe darse sólo durante el tiempo que sea necesario y debe ser monitoreado en todo momento, especialmente, porque el crimen cibernético en muchas ocasiones es perpetrado por los internos. La detección de fraude de software puede reconocer un comportamiento anormal, como los intentos de escalar privilegios, o cambios en el comportamiento de estas cuentas. Y si el acceso privilegiado se ve comprometido, las historias del acceso a la cuenta ayudarán a entender mejor lo que pasó y por qué. Los ataques SWIFT son importantes no sólo por la gran cantidad de dinero que fue robado, sino porque los atacantes usaron una combinación de métodos conocidos para comprometer un sistema financiero que opera en el sistema nervioso central de la economía mundial. Las empresas deben aprender de esto y examinar cuidadosamente sus propias prácticas. Tenemos que preguntarnos si vamos más allá de “lo suficientemente bueno” para mantener la salud y la seguridad de nuestros sistemas. Además de  combatir el fuego con fuego usando una combinación probada de antídotos de seguridad bien conocidas para contener y evitar la propagación de un nuevo ataque SWIFT. De lo contrario, el caos de Bangladesh solamente tendrá más secuelas.   *Otto Berkes es director de tecnología del desarrollador de software CA Technologies. Anteriormente en Microsoft, fue uno de los inventores de Xbox.