El sector financiero en Colombia ha presentado en los últimos años uno de los mayores índices de crecimiento en el uso de canales digitales. Cada día se realizan más transacciones por Internet y pagos a través de dispositivos móviles. Se estima que la población bancarizada es del 81% y que hace dos años el 79,4% de la misma consultó o realizó operaciones por Internet. De ahí que sea tan importante la seguridad bancaria y de la información.
Esta evolución tecnológica ha traído nuevos riesgos y amenazas. Y, por lo tanto, grandes retos para las áreas de Seguridad. De acuerdo con el informe Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe de la Organización de los Estados Americanos (OEA), publicado en octubre de 2018, el 92% de las entidades bancarias identificó algún tipo de evento (ataques exitosos y no exitosos) de seguridad digital. Y el 37% manifestó que dichos ataques fueron exitosos.
Por otra parte, el Centro Cibernético Policial de la Dirección de Investigación Criminal e Interpol (DIJIN) de la Policía Nacional de Colombia reportó en el año 2017 un aumento del 28,3% en el cibercrimen respecto a 2016. El sector financiero fue el más atacado por los ciberdelincuentes, registrando 214.000 ataques por día, el 39,6% del total de ciberataques, lo que representa pérdidas cercanas a los 411 millones de pesos diarios. Y en el año 2018 se formularon cerca de 12.000 denuncias por ciberataques en las modalidades de suplantación de sitios web, transacciones no consentidas, violación de datos personales, acceso abusivo al sistema informático, hurtos por medios informáticos, etc.
La unión hace la fuerza
Las áreas de Seguridad de la Información y de Ciberseguridad deben trabajar en la prevención de estos ataques, dada la gran amenaza que generan para el sector y, por consiguiente, para sus usuarios. Se tiene que garantizar la seguridad de las aplicaciones que se crean, de los nuevos servicios que se ofrecen y de los dispositivos que se utilizan para asegurar su confiabilidad, identificar posibles vulnerabilidades y cubrirlas con un reto adicional, que es la generación de la menor fricción posible para el cliente.
En Colombia se han hecho grandes esfuerzos e inversiones para generar nuevos canales transaccionales que mejoren la experiencia de los clientes. Sin embargo, cada día se incrementan los ciberataques, lo que hace necesario tener mayores inversiones en seguridad. Si los clientes y las empresas no encuentran confiabilidad y seguridad para sus transacciones en los canales digitales, se afectaría su utilización y, por lo tanto, se perdería todo el esfuerzo e inversión.
Esta tarea, que puede resultar titánica, se ha convertido en una de las prioridades de las áreas de Seguridad y del gremio. Es así como la Asociación Bancaria y de Entidades Financieras de Colombia (Asobancaria) ha liderado la creación del CSIRT Financiero, un centro de respuesta a incidentes cibernéticos que brinda apoyo al sistema bancario para enfrentar las amenazas cibernéticas de una manera coordinada. Recurriendo al cliché la unión hace la fuerza, resulta evidente que el intercambio de información entre todo el sistema financiero permite desarrollar estrategias más eficientes para prevenir, detectar, mitigar y reaccionar ante eventos e incidentes de ciberseguridad y/o de fraude.
Asobancaria ha liderado la creación del CSIRT Financiero, que brinda apoyo para enfrentar las ciberamenazas de una manera coordinada
Circulares externas
Aunque a la fecha ningún ataque ha afectado la estabilidad financiera del sector o de una entidad, el impacto de un ciberataque de gran magnitud no se ha dimensionado de manera suficiente. En tal sentido, a la ciberseguridad debe dársele una relevancia mayúscula y con un alcance transversal a toda la institución.
En el Foro Económico Mundial de 2018 se puso de manifiesto que los ciberataques contra las empresas casi se duplicaron en cinco años y que los ciberincidentes son más recurrentes. Adicionalmente, el impacto de la ciberdelincuencia en el ámbito financiero va en aumento y se estima que en el año 2021 la afectación económica por ciberataques a nivel mundial podría llegar a los seis billones de dólares.
La Superintendencia Financiera de Colombia ha mostrado su interés y preocupación por asegurar que se brinden altos niveles de seguridad tanto en las instituciones como para los consumidores financieros. Es así como en los últimos años ha emitido tres circulares:
- La Circular Externa 007 de 2018, en la cual imparte instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad.
- La Circular Externa 008 de 2018, en la cual imparte instrucciones en materia de requerimientos mínimos de seguridad y calidad para la realización de operaciones, involucrando a las pasarelas de pago.
- La Circular Externa 029 de 2019, en la cual se imparten instrucciones en materia de requerimientos mínimos de seguridad y calidad para la realización de operaciones y acceso e información al consumidor financiero y uso de factores biométricos.
Ciberataques y fraude
La implementación de una estructura holística de detección, prevención, análisis, respuesta e investigación en el manejo del fraude y de las amenazas de ciberataques, en la cual participen diferentes áreas (Seguridad de la Información, Seguridad Informática y Prevención de Fraudes y Seguridad Bancaria trabajando de la mano con el área de Riesgo Operativo), permitirá aprovechar de una manera más eficiente las capacidades de integrar información y el uso de herramientas contra el fraude y los ciberataques.
- Seguridad de la Información como área responsable de definir, implementar, controlar y mantener el modelo de seguridad de la información con el fin de preservar la confidencialidad, integridad y disponibilidad del activo más importante de la organización: la información. El modelo de seguridad de la información es el conjunto de normas, políticas, procedimientos, estándares y herramientas que permiten preservar la confidencialidad, disponibilidad e integridad de la información. Igualmente, debe acometer los procesos de investigación de los eventos que se generen como alertas de incidentes de seguridad de la información.
- Seguridad Informática como área responsable del mantenimiento y monitoreo de herramientas tecnológicas que deben ser administradas de acuerdo con las normas definidas en el modelo de seguridad de la información y que permite generar alertas de incidentes de seguridad.
- Prevención de Fraudes como área responsable de la analítica de grandes bases de datos y de la generación de modelos de correlación de variables que permitan identificar el comportamiento del fraude y generar acciones preventivas en herramientas de monitoreo de transacciones.
- Seguridad Bancaria como área de investigación de los eventos de fraude que se presentan, con el fin de determinar causas y responsables, información que permite ir alimentando los modelos de correlación de variables que se desarrollan en el área de Prevención de Fraudes.
Una eficiente gestión de estas áreas debe contar con el acompañamiento de servicios externos de compañías especializadas. Especial atención merece la contratación de los servicios del Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) en el monitoreo de la infraestructura tecnológica de la entidad.
Los mayores riesgos que se pueden presentar y, por consiguiente, merecen mayor atención son:
- El robo de base de datos con información confidencial de la entidad.
- El compromiso de usuarios y claves con privilegios.
- El robo de información de clientes y los fraudes en cuentas de los clientes.
Es prioritario dar respuestas rápidas a los ataques cibernéticos evitando que los servicios que se prestan se vean interrumpidos y protegiendo la información de los clientes.
Se estima que en el año 2021 la afectación económica por ciberataques a nivel mundial podría llegar a los seis billones de dólares
Estrategias a considerar
Para detectar los ciberataques se hace necesario el uso de herramientas tecnológicas y el análisis de los eventos de ciberseguridad y de fraude. Deben hacerse inversiones generosas en este tipo de herramientas y soluciones, pues la cantidad de eventos que se presentan es de tal magnitud que así lo ameritan. Igualmente, debe contarse con un recurso humano altamente calificado que adelante las labores de monitoreo, análisis y respuesta de los eventos que se presentan.
Es claro que no es posible hacer predicciones. Sin embargo, este equipo debe estar en capacidad de identificar patrones de comportamiento. Y a partir de estos, se deben identificar oportunidades en la toma de decisiones y en la implementación de estrategias. Para tal fin es necesario el uso de analítica avanzada de grandes bases de datos con herramientas de machine learning e inteligencia artificial. La creación de modelos predictivos a partir del análisis diario e histórico del comportamiento del fraude, conjugado con el análisis del hábito transaccional de los clientes, es un gran apoyo en la labor de prevención y detección oportuna de fraudes.
El monitoreo de transacciones, y el paso de estas por motores de riesgo, permite identificar transacciones con potenciales niveles de riesgo de fraude, con altos niveles de certeza, generando mejores experiencias para los clientes, pues se hace de manera rápida, sin fricciones y segura. Las herramientas de prevención deben ser flexibles en su parametrización, pues tienen que ajustarse a la dinámica del fraude. Basados en el análisis permanente del fraude, se debe tener la posibilidad de ajustar reglas y parámetros de manera oportuna para mitigar o evitar la continuidad del fraude.
Otro aspecto importante en la prevención de ciberataques es la realización de pruebas de seguridad, simulación de eventos de crisis y continuidad de negocio, pruebas de red team y monitoreo permanente de las plataformas tecnológicas.
Asimismo, la capacitación y concientización de los empleados son fundamentales. Es necesario asegurar que todos los niveles de la organización, incluida la alta gerencia, los proveedores y los clientes, estén suficientemente informados sobre la forma como se presentan las amenazas y los procedimientos para identificarlas y tratarlas.
En esto no se deben ahorrar esfuerzos ni recursos, pues debe ser una estrategia permanente y continua, de tal forma que se convierta en una cultura de seguridad en la organización y en su entorno. Todos en la organización deben ser conscientes de las consecuencias que puede representar un ciberataque. El programa de concientización debe considerar estrategias de comunicación efectiva que permitan una recordación permanente y ha de contemplar mediciones de su efectividad a través de evaluaciones periódicas y pruebas simuladas de ingeniería social.
Evitar impactos
Detrás de estas estrategias hay un enorme esfuerzo que se debe desarrollar y que puede ir cambiando, dependiendo de la dinámica del negocio y de los niveles de ataque que se vayan presentando, pues lo que hoy puede resultar seguro y efectivo, el día de mañana probablemente no lo será. Sin embargo, la aplicación de un enfoque holístico, el trabajo en equipo con un recurso humano altamente calificado y las herramientas adecuadas permitirán evitar, o al menos mitigar, en gran medida los posibles impactos de los riesgos de ciberseguridad y de fraudes.