Los bancos y las instituciones financieras son los principales objetivos de los ciberataques en la época navideña, según el último informe sobre ciberseguridad de BDO, una de las mayores organizaciones globales de servicios profesionales, que también indica que las entidades bancarias han sufrido 154 ciberataques desde 2015 hasta el tercer trimestre de 2018. Estos ciberataques han comprometido cerca de 150 millones de registros, una cifra que equivale a la población de Rusia.

El nuevo informe de BDO revela que los ciberdelincuentes han abandonado sus objetivos sobre las criptomonedas tras el incidente del pasado enero y han vuelto a realizar ataques bajo el esquema de rescate y correo electrónico comercial, pero armados con nuevas herramientas y desarrollos tecnológicos y una experiencia mejorada.

BDO advierte que las instituciones financieras son el objetivo principal de los ciberataques en Navidad, debido a la preferencia de los cibercriminales por operar en días festivos, por lo que la Firma recomienda reforzar la seguridad cibernética en dichas fechas.

Según BDO, en las entidades financieras confluyen tres factores claves que las convierten en objetivos principales de los ciberdelincuentes: i) El sector alberga una gran cantidad de información sensible de los clientes; ii) La liquidez de sus activos y iii) su potencial para manipular o perturbar los mercados.

El informe de BDO recoge tres consejos principales para que los bancos afronten con mayor seguridad la época navideña: Ejercer una mayor vigilancia durante los días festivos en los que están cerrados, ya que los ciberdelincuentes aprovechan estas fechas para pasar desapercibidos durante un período de tiempo más largo, instalan puertas traseras, revenden información sobre infracciones a otros hackers, organizan ataques adicionales y/o transfieren fondos robados.

En segundo lugar, seguir las recomendaciones de los organismos reguladores internacionales, ya que estos están exigiendo a las instituciones financieras que rindan cuentas por negligencia cibernética con mayor frecuencia. La Autoridad de Conducta Financiera del Reino Unido (FCA) emitió su primera multa por un fallo cibernético este mismo año. Entre los casos analizados en el informe de BDO se encuentra la imposición por parte de la FCA de una multa de 16,4 millones de libras esterlinas a Tesco Bank a principios de octubre de 2018, por una infracción en 2016 que aprovechó una debilidad cibernética sobre la que la agencia reguladora había advertido previamente al banco.

En tercero, BDO advierte que estar asegurado no significa estar cubierto. Por ello, aconseja leer la letra pequeña de la póliza del seguro cibernético. En un caso detallado en el informe, un banco nacional asumió una responsabilidad cibernética mayor de la esperada, debido a las diferentes interpretaciones de las cláusulas de las pólizas de seguros.

BDO también señala que el comportamiento básico de seguridad cibernética entre personas, empresas y organizaciones muestra ciertos signos de erosión por la consolidación de datos personales entre un número limitado de grandes empresas, por la creciente dependencia de los dispositivos interconectados y por el constante bombardeo de amenazas en línea e infracciones de datos.

La Firma subraya que las empresas que realizan un análisis de coste-beneficio sobre la adopción de controles más estrictos de la privacidad de los usuarios u otras medidas de ciberseguridad mejoradas, a menudo optan por no hacer nada, siempre y cuando las posibles multas o los costes de recuperación se encuentren dentro de un rango tolerable.

El informe además señala una tendencia: las personas renuncian a obtener el control total de su presencia digital, aceptando la transparencia a cambio de comodidad. Más allá de las preocupaciones éticas sobre la privacidad, las consecuencias son que los ciberdelincuentes aprovechan cada vez más la complacencia de los empleados y las organizaciones para ejecutar ataques aparentemente básicos con resultados potencialmente graves.

Recomendaciones para 2019

BDO recomienda que los servicios financieros, desde el punto de vista de la ciberseguridad, adopten un modelo de ciberseguridad basado en amenazas.  La industria financiera concentra las inversiones en ciberseguridad en lo que consideran sus activos más valiosos. El problema es que esto a menudo difiere del objetivo principal de los delincuentes, de ahí el consejo de BDO de hacer que la seguridad cibernética esté ‘basada en amenazas’.

Los directores financieros, en su calidad de administradores de las finanzas de los bancos, deben dedicarse directamente a identificar esos activos e invertir en los medios necesarios para garantizar la seguridad de la institución. Las entidades financieras deben ampliar aún más su ciberseguirdad y exigir que la cúpula directiva de los bancos tenga un papel integral en la protección de la seguridad de la institución, recomienda BDO.