¿Cómo combatir la creciente amenaza del ciberdelito financiero?  

Ciberestandares

 

La adopción de estándares de seguridad es una defensa clave en la lucha contra los hackers. 

A medida que el uso de la banca en línea se empieza a popularizar en América Latina también aumentan las amenazas cibernéticas.

La Organización de Estados Americanos (OEA) informó que sólo en 2017, 9 de cada 10 entidades bancarias de la región fueron víctimas de ataques cibernéticos, el 37% de los cuales fueron catalogados como exitosos.

Dentro de los casos más notorios estuvieron el ataque al Sistema de Pagos Electrónicos Interbancarios (SPEI) de México en abril de 2018, cuando varios de los mayores bancos del país detectaron transferencias no autorizadas, y el del Banco de Chile en mayo del mismo año, a través del cual fueron robados 10 millones de dólares.

Mientras más profunda sea la adopción de las transacciones bancarias en línea, más vulnerables se vuelven los sistemas a los atentados cibernéticos. “En el mundo digital, si no hay masa crítica, los defraudadores no van a invertir tiempo”, dice Edmundo Fariñas, vicepresidente de seguridad de información corporativa de TODO1, proveedor de servicios tecnológicos del sistema financiero con sede en Miami. Los hackers “buscan la mezcla de países donde haya una buena profundización de internet y que esas víctimas usen los servicios bancarios de entidades lo suficientemente osadas para exponer varias transacciones financieras, como pagos de servicios, envío de dinero, o pagos por proveedores”, agrega.

Una de las principales líneas de defensa de las que disponen los bancos y sus proveedores de servicios tecnológicos (TSP, por sus siglas en inglés) es la adopción de estándares, mejores prácticas y marcos metodológicos para garantizar que las transacciones de los clientes se procesen en un ámbito seguro.

Entre los estándares más utilizados en la región, según el informe de la OEA, están las normas ISO 27001 y COBIT. 

Ciberdelito FinancieroLa primera plantea una serie de lineamientos que deben seguir las organizaciones para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información (ISMS, por sus siglas en inglés). El ISMS asegura que los arreglos de seguridad estén listos para enfrentar los cambios en las amenazas a la seguridad, las vulnerabilidades y los impactos comerciales.

El marco más usado es el de Objetivos de Control para las Tecnologías de la Información y Relacionadas (COBIT, por sus siglas en inglés), que es una guía de gestión de referencia desarrollada por la Asociación de Auditoría y Control de Sistemas de Información dirigida al control y supervisión de tecnología de la información dentro de una organización.

La diferencia clave entre ISO 27001 y COBIT es que la primera es únicamente para fines de seguridad de la información, mientras que la segunda es para la gestión y el gobierno de los procesos comerciales de tecnología de la información.

Ante las crecientes amenazas de los ataques cibernéticos, además de los reguladores, son los clientes de los proveedores de tecnología y los propios usuarios finales los que exigen la adopción de estos estándares internacionales a la hora de confiar sus transacciones financieras a los bancos.

“Si cumples con este estándar, ya recibes el diploma. Para algunos mercados se vuelve una necesidad”, dice Fariñas, de TODO1.

En América Latina, algunos mercados son más vulnerables que otros, lo que no está ligado necesariamente a un marco regulatorio débil, o a la lenta adopción de estándares de seguridad por parte de algunas entidades, sino, como dice Fariñas, a la existencia de una masa crítica de clientes.

Según el informe de amenazas de seguridad en internet 2019 (ISTR) de la empresa de seguridad cibernética Symantec, Brasil, México y Chile ocupan el cuarto, sexto y décimo lugar con respecto al mayor número de ataques de ransomware en todo el mundo, mientras que Brasil y México encabezaron la lista de países con la tasa de enlaces maliciosos enviados por correo electrónico.

De hecho, la defensa contra los atentados cibernéticos ha pasado a ser una de las mayores preocupaciones de las empresas en la región. Según una encuesta de percepción del riesgo cibernético en América Latina, realizada por la consultora Marsh en conjunto con Microsoft, el 73% de las más de 500 empresas sondeadas clasificó el riesgo cibernético como una de las cinco principales preocupaciones para su organización, frente a menos de la mitad, un 47%, en 2017. Sin embargo, en la misma encuesta se notó una percepción general de que la regulación gubernamental y los estándares de la industria tienen una eficacia limitada para ayudar a gestionar el riesgo cibernético.

De todas formas, un 53% reconoció que las políticas y estándares nacionales o internacionales sobre ciberseguridad son esenciales para que las empresas adopten mejores prácticas.

TODO1, por ejemplo, cuenta con la “certificación” de AICPA (Instituto Estadounidense de Contadores Públicos Certificados) desde hace 15 años. En la práctica, eso significa por ejemplo que antes de que un cliente tenga acceso a una cuenta o que la empresa libere una aplicación de negocios al público es necesario pasar por un proceso de validación, señala Fariñas.

La AICPA contempla el Marco de Información de Administración de Riesgo de Ciberseguridad, el cual permite a todas las organizaciones adoptar un protocolo proactivo y ágil para la gestión de riesgos de ciberseguridad y comunicar esas actividades con las partes interesadas.

Para las empresas proveedoras de servicios financieros, la adopción de estos estándares puede ser engorrosa pero necesaria.

“Es como comer más sano: me sale más caro, me fuerza a ser más selectivo, no me permite saciar mi hambre o hacer mercado en cualquier parte, me obliga a documentarme más, pero me hace ir menos veces al médico, me hace tener una mejor figura, me hace sentirme mejor”, concluye Fariñas.