1 64 Table of Contents 66 116

Seguritecnia 461

SEGURITECNIA Febrero 2019 65 Seguridad en Entidades Financieras manipulación y cobro. Hoy, el hackeo de la dirección del correo electrónico de los propietarios o directivos de empre- sas facilita que el delincuente usurpe su identidad y ordene transferencias por el mismo medio a las sucursales titulares de la cuenta, a pesar de que las entida- des establecen para estas operaciones el uso de la banca online , pues este me- dio cuenta con unos altos niveles de se- guridad y autenticación. Mientras que las entidades financie- ras españolas y la mayoría de las gran- des firmas figuran entre los puestos de cabeza en los procesos de valoración de sus defensas en materia de ciberse- guridad, las medianas y pequeñas em- presas avanzan más lentamente por el gran esfuerzo económico que sig- nifica la protección de sus comunica- ciones y programas informáticos. Así, la suplantación de la cuenta de correo electrónico (con un agravante conocido como el “fraude del CEO”), que implica una importante mejora en los objetivos económicos de los ciberdelincuentes, es otro ejemplo de ese lamentable pro- tagonismo del correo electrónico. Según los datos publicados por la compañía eslovaca Eset, especializada en herramientas antivirus y antispyware , 2018 ha sido el año en el que más vulnerabi- lidades se han descubierto: unas 46 dia- rias, a finales de noviembre. Pero un as- pecto relevante de este estudio es que el correo electrónico, una vez más, continúa en los puestos de cabeza entre los méto- dos preferidos por los ciberdelincuentes, aunque los móviles siguen ascendiendo escalones con gran rapidez. Eset señala que la última variante del troyano banca- rio Danabot, resultante de su alianza con Gootkit, ha supuesto un aumento nota- ble en su eficacia en varios países euro- peos, especialmente en Polonia. Precisamente, cuando redactábamos estas líneas, el Ministerio del Interior hizo pública una brillante operación de la Unidad de Delincuencia Económica y Fiscal que, en colaboración con otras unidades policiales, ha puesto fin a una trama de fraude a gran escala con la de- tención de una banda internacional ra- dicada en España. Las principales tipologías de ataques de esta banda consistían, entre otras, en el “fraude del CEO” (conseguir que di- rectivos contables de empresas reali- cen importantes transferencias ordena- das, supuestamente, por el máximo di- rigente de la compañía); transferencias fraudulentas (ordenadas por correos electrónicos con la cuenta suplantada) desde las empresas víctimas a cuentas abiertas previamente en España y otros países con documentación falsa; ata- ques man in the middle (en los que el ci- berdelincuente consigue leer, insertar y modificar a su voluntad las comunica- ciones entre dos víctimas, procurando que ninguna de ellas detecte que ese enlace entre ambos ha sido vulnerado); y cartas nigerianas (una espectacular variedad de “ofertas”, participaciones en negocios del petróleo, premios millona- rios de la Loto, herencias, etc.). Otro fraude clásico que les reportaba pingües beneficios podría denominarse la estafa del cambio de cuenta beneficia- ria. Hackeada la cuenta de correo elec- trónico de una empresa proveedora de servicios, remitían al organismo público o compañía un correo para que el pago de los servicios prestados no se reali- zara a la cuenta habitual, sino a otra pre- viamente abierta en la misma o distinta entidad financiera con documentos fal- sos. La magnitud del botín puede dar una idea de la importancia del servicio policial: 25 millones de euros en todo el mundo, más de 100 empresas afectadas, listados de contacto de más de 500.000 corporaciones españolas y cuentas de correo electrónico de 1.000 de estas compañías con sus claves de acceso. Otros fraudes Habría que remontarse a mayo de 2018 para localizar otra importante opera- ción conjunta de la Policía Nacional, Mossos d’Esquadra, Policía de Rumanía, Europol y Eurojust contra el fraude (esta vez con un botín más discreto: ocho mi- llones de euros). F raudes mucho menos espectacula- res pero muy eficaces para los intereses de los delincuentes fueron hace años las llamadas telefónicas con el objetivo de conocer el pin tras haberse apode- rado en el buzón de correos domicilia- rio de la tarjeta renovada o los núme- ros de las conocidas como tarjetas de coordenadas para acceder a operar en banca telefónica. Hoy, la nueva versión digital de estas estafas se nos presenta a través de Internet, con la llegada de un correo electrónico con el diseño de una web del banco y un texto justifica- tivo o incluso amenazador para que se acceda a un enlace ( phishing , troyanos), donde le “renovarán” sus datos de au- tenticación; una maniobra que le per- mitirá conocer al delincuente los datos de la cuenta bancaria de la víctima. Hoy, los cajeros automáticos permiten todo tipo de operaciones, desde consul- tas del estado de nuestras inversiones a ordenar transferencias o solicitar e ingre- sar en la cuenta préstamos de importe significativo. Muchos son los clientes a los que la utilización de este canal les fa- cilita su relación con el banco. Pero esa facilidad requiere que los clientes cus- todien la tarjeta y presten especial aten- ción a la hora de marcar el pin , así como que las entidades financieras sigan desa- rrollando como hasta ahora herramien- tas que detecten movimientos inhabi- tuales en las cuentas de sus clientes. Paralelamente a lo que se ha dado en llamar “ingeniería social” con objeti- vos fraudulentos –o lo que es igual, “los mismos perros con distintos collares”–, los sistemas informáticos de las em- presas son objetivo de ciberdelincuen- tes con toda una batería de malware –desde la denegación de servicio al ransomware – con distintos y muy varia- dos objetivos: económicos, reputacio- nales, espionaje empresarial o simple- mente la consecución de méritos. Sea como fuere, toda esta larga re- lación de riesgos, amenazas y vulne- rabilidades (otro día hablaremos de las transferencias instantáneas a ni- vel europeo) exigen de grandes inver- siones en medidas de seguridad, a lo que lamentablemente poco van a po- der ayudar los tipos de interés, actual- mente en negativo, origen de la fuente más importante de ingresos de las en- tidades financieras. S

RkJQdWJsaXNoZXIy MzA3NDY=