Por Alessandro Bazzoni<\/p>\n
Las empresas que operan en la industria de servicios financieros no est\u00e1n ajenas al hecho de que con frecuencia son blancos de diversas formas de delitos financieros y fraude. Sin embargo, el escenario ha ido cambiado con el paso del tiempo y los actores maliciosos han adaptado sus t\u00e1cticas para adaptarse mejor al mundo digital. ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, advierte que ciberdelincuentes ahora utilizan diferentes modalidades de fraude y extorsi\u00f3n, adem\u00e1s de atacar directamente a las empresas.<\/p>\n Seg\u00fan el \u00faltimo informe anual de IBM titulado\u00a0Cost of a Data Breach Report<\/a>, el costo promedio de una brecha de datos en el sector de servicios financieros fue de $5.85 millones de d\u00f3lares en 2020, una cifra superior a la de $3.86 millones de d\u00f3lares que manifestaron los encuestados del resto de los sectores econ\u00f3micos. Adem\u00e1s, el sector financiero sigue siendo un blanco atractivo para los actores maliciosos, dada la cantidad y el tipo de informaci\u00f3n que recolectan de sus clientes.<\/strong> En caso de existir una filtraci\u00f3n exitosa, los datos pueden ser utilizados por los atacantes para cometer fraude a trav\u00e9s del\u00a0robo de identidad<\/a>\u00a0o para ser\u00a0comercializados en mercados de la Dark Web<\/a>, lo que podr\u00eda provocar un da\u00f1o a la reputaci\u00f3n para la entidad que fue comprometida y tambi\u00e9n da\u00f1os financieros y a la reputaci\u00f3n para los clientes afectados.<\/p>\n Seg\u00fan la edici\u00f3n 2020 del informe\u00a0Data Breach Investigation Report<\/a>\u00a0que realiz\u00f3 Verizon, se estima que el 63% de los ataques que apuntan a las instituciones financieras son efectuados por actores externos motivados por la ganancia econ\u00f3mica. En estos casos, las organizaciones pueden esperar que los cibercriminales lleven adelante ataques de\u00a0credential stuffing<\/a>, ataques de ingenier\u00eda social, fraude, ataques de denegaci\u00f3n de servicio distribuido (DDoS) y de malware.<\/strong><\/p>\n Las organizaciones de todos los tama\u00f1os tienen la necesidad de mejorar sus medidas de seguridad para mitigar las chances de ser v\u00edctimas de los ataques dirigidos. De hecho, una reciente\u00a0<\/strong>encuesta de ESET<\/strong><\/a>\u00a0a 10.000 consumidores y l\u00edderes de negocios en varias partes del mundo revel\u00f3 que 45% de las empresas han experimentado una brecha de seguridad.<\/strong><\/p>\n Los atacantes podr\u00edan utilizar uno de los delitos en l\u00ednea m\u00e1s da\u00f1inos desde el punto de vista financiero: la estafa conocida como Business Email Compromise (BEC). En este tipo de ataque, el ciberdelincuente apunta a su v\u00edctima comunic\u00e1ndose desde una cuenta de correo electr\u00f3nico comprometida perteneciente a un\u00a0miembro de la empresa<\/a>\u00a0(generalmente de mayor jerarqu\u00eda) o a un miembro de una empresa con la cual se tiene una alianza comercial, solicit\u00e1ndoles que realicen una tarea leg\u00edtima, como comprar y enviar art\u00edculos o transferir pagos. Sin embargo, en lugar de proporcionar datos de una direcci\u00f3n o cuenta bancaria leg\u00edtima, el estafador agrega la suya propia, robando el dinero a la compa\u00f1\u00eda. Alternativamente, las organizaciones apuntadas pueden recibir un correo electr\u00f3nico fraudulento que contiene un enlace o un archivo adjunto que oculta malware, que en caso de ser descargado infectar\u00e1 la computadora e incluso puede llegar a extenderse por la red.<\/p>\n \u201cPara mitigar las posibilidades de que ocurra cualquiera de estos escenarios, las empresas deben proporcionar una formaci\u00f3n adecuada en ciberseguridad a sus empleados. Los\u00a0<\/em>programas de capacitaci\u00f3n para ense\u00f1ar a los empleados<\/em><\/a>\u00a0c\u00f3mo detectar correos de phishing u otro tipo de ataque que utilice la ingenier\u00eda social deben realizarse de forma rutinaria. Adem\u00e1s, una buena medida ser\u00eda proporcionar peri\u00f3dicamente a los trabajadores consejos para el trabajo remoto seguro y protegido, as\u00ed como orientaci\u00f3n sobre c\u00f3mo comunicarse utilizando\u00a0<\/em>herramientas de videoconferencia<\/em><\/a>\u00a0teniendo en cuenta la seguridad, o c\u00f3mo\u00a0<\/em>proteger el acceso remoto a los sistemas de la empresa<\/em><\/a>\u00a0de una manera segura<\/em>. Al tomar las medidas necesarias, las empresas podr\u00e1n protegerse a s\u00ed mismas de sufrir da\u00f1os monetarios o a la reputaci\u00f3n en el futuro<\/em>.\u201d, comenta Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.<\/p>\n En estos casos es preferible esperar lo mejor, pero planificar para lo peor. Todos los sistemas operativos y software deben ser actualizados y parcheados peri\u00f3dicamente. Si se contrata a un profesional o se tiene un departamento dedicado a la seguridad de la informaci\u00f3n, lo m\u00e1s probable es que ellos mismos administren estas actualizaciones o configuren sus sistemas de manera que se actualicen autom\u00e1ticamente a la \u00faltima versi\u00f3n disponible. Lo mismo debe hacerse si los sistemas son administrados por terceras partes. Seg\u00fan la encuesta de ESET, el 28% de las empresas no est\u00e1n invirtiendo activamente en nuevas tecnolog\u00edas para ayudar a proteger las finanzas o al menos no saben si lo est\u00e1n haciendo.<\/p>\n Los ataques de DDoS que tienen como objetivo interrumpir la capacidad de proporcionar servicios de las v\u00edctimas son otra de las amenazas con la que pueden tener que enfrentarse las empresas. Si una empresa se convierte en v\u00edctima de un ataque DDoS, sus sistemas se inundar\u00e1n de solicitudes que superar\u00e1n la capacidad de dar respuesta a los sitios web y los desconectar\u00e1. Esto podr\u00eda traducirse f\u00e1cilmente en cientos de miles de d\u00f3lares en ingresos perdidos para el negocio apuntado por los atacantes. Para reducir las posibilidades de que eso suceda, las empresas deben adquirir servicios de mitigaci\u00f3n de DDoS, as\u00ed como utilizar un proveedor de Internet que tenga suficiente ancho de banda, equipo y habilidades para manejar tales ataques y reducir la afluencia de tr\u00e1fico malicioso.<\/p>\n \u201cMientras las organizaciones financieras sigan siendo blancos lucrativos para la mayor\u00eda de los cibercriminales, deber\u00e1n continuar trabajando en mejorar sus defensas para mitigar la posibilidad de ser v\u00edctimas de las mayor\u00edas de las amenazas. Sin embargo, para construir mecanismos de defensas lo suficientemente fuertes las empresas necesitan tener un enfoque hol\u00edstico y balanceado, que consiste en invertir tanto en capacitaci\u00f3n para empleados como en <\/em>soluciones tecnol\u00f3gicas adecuadas<\/em><\/a> y planes de continuidad de negocios.<\/em>\u201d, <\/em>concluyen Guti\u00e9rrez Amaya de ESET.<\/p>\n\n
\n