Los últimos ciberataques sufridos en importantes compañías del sector asegurador han puesto de manifiesto la debilidad de sus sistemas de protección digital. Estos ataques, cada vez más sofisticados y diseñados con un objetivo específico, provocan en las aseguradoras importantes pérdidas económicas, reputacionales o de información confidencial.

De acuerdo con diferentes estudios, el riesgo de ciberseguridad ha ido creciendo en los últimos años colocándose en el top 10 de riesgos de las entidades aseguradoras, incluso por encima de riesgos tan delicados como el riesgo operacional o riesgo de crédito.

Dada la naturaleza de este sector, los retos que se plantean son muy variados, ya que suelen convivir negocio B2C y B2B, multiproducto y multisector, con el añadido del carácter distribuido de las oficinas, bien sean de gestión, de atención directa al cliente o mediante agentes especializados.

Frente al desafío del teletrabajo

La puesta en marcha del teletrabajo como operativa de larga duración supone hacer frente a todas las amenazas que derivan de esta modalidad de trabajo no presencial. Además de tener que contar con las herramientas suficientes sin que ello repercuta de manera negativa en el trabajo, como puede ser una caída de las telecomunicaciones, las compañías deben estar preparadas las posibles amenazas que hay en el mercado.

Trabajar desde el domicilio particular significa que el empleado pueda hacer uso de su equipo personal en vez de del equipo corporativo, además de conectarse a la red doméstica. Este hecho puede suponer un riesgo, ya que puede contar con versiones desactualizadas de parches de Windows o de antivirus, y de los sistemas operativos que en ciertos casos han dejado de recibir soporte en enero de 2020, lo que agrava aún más la amenaza.

Impacto en cliente y usuario

Desde el sector seguros existe una gran preocupación sobre estas amenazas. De hecho, algunas compañías ya han sido ampliamente alcanzadas por los ataques, mientras que muchas de ellas ya han ido invirtiendo en diferentes recursos para evitar este tipo de situaciones.

Son de especial riesgo aquellas que ofrecen servicios sanitarios directos a clientes, por el impacto general de los datos de salud y el impacto especifico derivado de la situación de pandemia. En este caso, no sólo estaríamos hablando de una perdida de datos, sino también de un retraso en realizar pruebas médicas que pudieran ser de alta importancia.

Por último, es importante reseñar que un ciberataque de alto impacto, aunque sea contra una aseguradora en concreto, pone en tela de juicio la confianza digital del ciudadano con respecto a todas en conjunto a la hora de consumir servicios de este sector.

Una buena defensa es el mejor ataque

Recomendamos una serie de acciones imprescindibles para minimizar estos riesgos:

• Es fundamental disponer de un programa de concienciación en seguridad para todos los empleados, ya que los ataques que se producen van dirigidos a cualquier usuario de cualquier área o departamento. Fortalecer este componente es muy necesario para hacer frente a este tipo de amenazas.
• Entender el perímetro de seguridad en sentido amplio, de manera que se abarque a proveedores, agentes externos, oficinas de atención al cliente, etc con medidas de protección adecuadas a los riesgos específicos de cada uno de estos. Merece especial atención lo referente a productos sanitarios B2C, que se suelen entregar de manera presencial en oficinas de atención directa y que implica tener en cuenta una infraestructura de seguridad mínima, backups locales, formación específica, entre otras acciones.
• Disponer de las últimas actualizaciones de antivirus, firewalls, sistemas operativos y disponer de las herramientas para poder interceptar un posible ataque es crucial para poder mantener la supervivencia de una compañía.
• Contar con herramientas de monitorización, recuperación y respuesta ante incidentes, así como un plan de continuidad del negocio testeado y efectivo, de cara a poder actuar ante situaciones de crisis. Los ataques son cada vez más devastadores, por lo que lograr un alto grado de resiliencia en materia de infraestructura IT es una de las claves para sobrevivir con éxito a cualquier incidente de estas características.

Como conclusión, podemos afirmar que el riesgo cero en ciberseguridad no existe, aunque si se toman medidas y acciones a tiempo, la probabilidad de que un ataque tenga éxito se puede reducir en consideración.

Fuente de información:

cio.com

Descargar archivo en PDF

Se desarrolló un programa con 90 cuentas online personales «falsas».  Una vez que las cuentas estuvieron activas, se llevaron a cabo distintas técnicas para llamar la atención de los ciberdelincuentes con el objetivo de rastrear sus actividades durante los siguientes nueve meses.

El informe desvelaba detalles sobre las técnicas y comportamientos de los hackers, incluyendo cuánto tiempo pasa desde que realizan el phishing hasta que acceden a la información de la víctima, qué busca el ciberdelincuente en la cuenta hackeada, qué señuelos llaman su atención y qué prácticas de seguridad emplean para esconder su rastro.

Algunos de los datos más llamativos del informe son, por ejemplo, el hecho de que los hackers buscan información relacionada con los negocios. De hecho, el 25% de los phishers leyeron emails en cuyos asuntos se mencionaban las palabras «datos financieros«, «base de datos de clientes» o «contacto de proveedor».

Más del 50% de las cuentas sufrieron accesos al menos 24 horas después de que los hackers se hicieran con sus credenciales. Asimismo, los ciberatacantes accedieron en la mayoría de los casos de manera manual y no usando herramientas automáticas. En un 74% de las incidencias, las primeras alertas sucedieron en los siguientes 3 minutos después que que el hacker accediera a la cuenta, lo que indica que el hacker accedió a los «documentos-cebo» mientras exploraba la bandeja de entrada de la víctima.

Menos de las mitad de las falsas credenciales a las que los hackers accedieron fueron utilizadas, el estudio explique que posiblemente los hackers tienen acceso a tanta información que no cuenten con el tiempo suficiente para explorarla.

Además de los intentos de obtener información sensible de las cuentas hackeadas (la mayor parte de ella compuesta por contraseñas y números de tarjetas de crédito) los atacantes usaron estas cuentas para varias cosas: difundir campañas de phishing, scams relacionados con herencias, robo de contactos, peticiones de créditos y difusión de malware.

¿Cómo saber si eres víctima de phishing?

Si descubres que has sido objeto de un ciberataque del tipo phishing en un lapso relativamente corto de tiempo, puedes intentar minimizar el daño accediendo a tu cuenta (si es posible) para expulsar al hacker de la misma: cambia la contraseña y comprueba si el atacante ha cambiado cualquiera de las settings o configuraciones de tu cuenta para asegurarse de seguir teniendo acceso a la misma en caso de que modificaras la contraseña. Revisar por ejemplo si ha indicado una dirección secundaria de recuperación de contraseña, reenvío de emails a otra dirección, etc.

Si no tienes la seguridad completa respecto a si el atacante ha accedido a tu cuenta, puedes comprobar estas tres señales para cerciorarte:

1. Presencia de notificaciones del tipo «Nuevo aviso de inicio de sesión» en la «Papelera». Sólo el 2% de los atacantes, según el informe, borró de manera permanente el email con la alerta de nuevo inicio de sesión.
2. Si tu proveedor de correo electrónico ofrece un registro de actividad, compruébalo para ver si se han realizado acciones repetidas para marcar los mensajes como «no leídos».

3.Comprueba la carpeta de mensajes enviados para determinar si hay algún mensaje que te llama la atención. También revisa la «papelera» para descubrir notificaciones de «delivery failure». Durante la investigación, sólo el 13% de los atacantes borraron de manera permanente este tipo de mensajes.

Fuente de información: cybersecuritynews

Descargar archivo en PDF

La cadena de suministro y el ecosistema de partners de las organizaciones se han convertido en un nuevo vector de ataque para los ciberdelincuentes.

Lo anterior se desprende de una investigación indicando que un 98% de empresas ha recibido una ciberamenaza procedente del dominio de un proveedor, según un análisis realizado en un periodo de tan solo una semana en febrero de este año. Los resultados se basan en un estudio a unas 3.000 organizaciones en Estados Unidos, Reino Unido y Australia que, independientemente del tamaño o sector de la empresa, e incluso del país, determina que cualquiera está expuesta a estos riesgos de seguridad. Estas amenazas se convierten en una preocupación universal al constatar cómo los atacantes se aprovechan de cuentas comprometidas de proveedores, suplantando su identidad, para distribuir malware, robar credenciales y cometer fraudes en temas de facturación.

Esta investigación se revela que las amenazas de proveedores suplantados y comprometidos son más propensas a emplear la ingeniería social para aprovecharse de la naturaleza humana, ya que el 74% de las amenazas es de tipo phishing o de impostor como los ataques de compromiso de correo electrónico corporativo. Menos del 30% de las amenazas enviadas desde dominios de proveedores estaba relacionada con malware. Esto es a su vez una prueba más de que los atacantes se dirigen principalmente a las personas en lugar de atacar vulnerabilidades en la infraestructura de una organización. Los ciberdelincuentes están asimismo detrás de proveedores cloud explotando plataformas de colaboración populares, como Microsoft 365, Google G-Suite y Dropbox, para alojar o enviar más amenazas a un ritmo vertiginoso.

Respecto a este mismo estudio, tampoco es de extrañar que amenazas como la suplantación o spoofing de dominios solo representen el 3% del total de ataques enviados por parte de supuestos proveedores. A diferencia de otras amenazas mucho más extendidas, estas se suelen dirigir en concreto a muy pocas personas dentro de una organización.

Aunque ninguna compañía es inmune a las amenazas en las que se utilizan dominios de proveedores, las grandes organizaciones suelen estar más expuestas y experimentan más ataques de este tipo, cuadruplicando el número de mensajes fraudulentos recibidos que un cliente medio, según el análisis. Entre las organizaciones que sufren en mayor medida estas amenazas de supuestos proveedores están aquellas relacionadas con servicios financieros, fabricación, servicios públicos, comunicaciones, transporte, comercio mayorista y construcción.

No obstante, lo que sí funciona para que las organizaciones puedan defenderse de estos ataques es contar con una solución multicapa y holística de ciberseguridad. Una de las soluciones comprende la importancia de capacitar a los usuarios finales para que detecten y denuncien cualquier correo electrónico sospechoso a través de planes de concientización.

Automatizar la investigación y la respuesta a estos incidentes, con mayor visibilidad de qué proveedores suponen un riesgo, son otros de los avances al alcance hoy en día de todo tipo de organizaciones a través de herramientas de seguridad.

Fuente de información: diarioti.com

Descargar archivo en PDF

La seguridad es esencial para el éxito de cualquier negocio digital. Pero hay una cosa con la que siempre se debe contar: las amenazas relacionadas con la seguridad son inevitables. Y los resultados pueden ser devastadores. Las violaciones de seguridad erosionan la confianza y dañan la reputación.

Como CIO, CISO u otro líder en seguridad TI, es primordial mitigar el riesgo digital. El objetivo, por tanto, consiste en encontrar la solución de seguridad más eficaz para cada empresa, una tarea que es más fácil decir que hacer.

Al comenzar esta búsqueda, debemos concentrarnos en esos 4 elementos críticos que cualquier plataforma de seguridad de calidad debe ofrecer:

La Plataforma:  El valor de una plataforma de seguridad depende de nosotros y de las necesidades de nuestro negocio. Debemos hacernos las siguientes preguntas para poder determinar los elementos críticos que una plataforma debe proporcionarnos: ¿Qué significa la plataforma de seguridad para mí, como líder en seguridad? ¿Qué capacidades me ofrece? ¿Me permite moverme más rápido? ¿Cómo está asegurando nuestros activos? ¿Es fácil (o difícil) de gestionar?

Servicio y asistencia: Nuestro proveedor debe contar con expertos en seguridad altamente capacitados que proporcionen un profundo análisis de amenazas y estrategias personalizadas. Para muchas organizaciones, la protección contra amenazas de seguridad de gran alcance y en constante evolución requiere algo más que tecnología.

Frente a objetivos comerciales muy competitivos y un presupuesto de TI limitado, es posible que simplemente no dispongamos del tiempo, los recursos o el personal experto necesarios para proporcionar la mejor seguridad para nuestros sitios web, aplicaciones y API. Los servicios de seguridad bien gestionados podrían ayudar a reducir el tiempo de respuesta y aumentar la calidad de la mitigación al aprovechar un enfoque colectivo entre nosotros y el proveedor.

Cumplimiento Hay que asegurarse de que cualquier proveedor que estemos considerando cumpla estrictamente todas las regulaciones apropiadas para nuestro sector

como por ejemplo el Reglamento General de Protección de Datos (RGPD) de la UE.

Por último, ¿la solución cubre todas las bases? Hay ciertas funciones que cualquier proveedor de seguridad debe dominar y dirigir para cubrir sus necesidades. Estos son los requisitos básicos que debemos tener en mente cuando nos sumerjamos en el proceso de seleccionar un proveedor:

Proteccion DDoS, seguridad de las aplicaciones y APIs, protección contra la suplantación de identidad (phishing), credential stuffing, protección contra bots, acceso seguro a aplicaciones y protección contra malware.

Los líderes en seguridad deben ayudar a dotar a su negocio digital de la mentalidad, los recursos y la planificación necesarios para hacer frente a las inevitables amenazas. La seguridad ya no es simplemente un centro de coste por tanto tenemos la responsabilidad de ayudar proactivamente a la transformación digital, y consolidarnos como la base del negocio y de la innovación en nuestra organización.

Fuente de información: cybersecuritynews

Descargar archivo en PDF

Para las personas maliciosas, aprovecharse del miedo colectivo y la desinformación no es nada nuevo. Mencionar los titulares nacionales puede dar una apariencia de credibilidad a las estafas. Hemos visto esta táctica una y otra vez, por lo que no es de extrañar que las redes sociales temáticas COVID-19 y las campañas de correo electrónico hayan aparecido en línea. Esta publicación de blog proporciona una descripción general para ayudarlo a luchar contra ataques de phishing y malware, ejemplos de mensajes de phishing que hemos visto en la naturaleza relacionados con el coronavirus y COVID-19, y escenarios específicos a los que debe prestar atención (como si trabaja en un hospital , están examinando mapas de la propagación del virus o están utilizando su teléfono para mantenerse informado).

Evitar ataques de phishing

Los mensajes de estafa temática COVID-19 son ejemplos de “phishing”, o cuando un atacante envía un mensaje, correo electrónico o enlace que parece inocente, pero en realidad es malicioso y está diseñado para aprovecharse de los temores sobre el virus. El phishing a menudo implica hacerse pasar por alguien que conoce o hacerse pasar por una plataforma en la que confía. Su diligencia diaria es la mejor medida preventiva. Considere estos puntos antes de hacer clic: ¿Es una oferta atractiva? ¿Hay un sentido de urgencia? ¿Has interactuado anteriormente con el remitente a través de esta plataforma?

Si un correo electrónico parece demasiado bueno para ser verdad (“¡Nueva información sobre prevención y tratamiento de COVID-19! El archivo adjunto contiene instrucciones del Departamento de Salud de EE. UU. Sobre cómo obtener la vacuna GRATIS”), probablemente lo sea. Y si un correo electrónico requiere una acción urgente de su parte (“URGENTE: Ventiladores COVID-19 y entrega de prueba de paciente bloqueada. Acepte el pedido aquí para continuar con el envío”), tómese un momento para reducir la velocidad y asegúrese de que sea legítimo. Tenga en cuenta que las fuentes legítimas de información de salud probablemente no utilizarán correos electrónicos o mensajes de texto no solicitados para hacer anuncios.

Algunas medidas de sentido común para tomar incluyen:

Verifique la dirección de correo electrónico del remitente. ¿Son quienes dicen ser? Verifique que su nombre de contacto coincida con la dirección de correo electrónico real desde la que envía.

¡Intenta no hacer clic ni tocar! Si se trata de un enlace y estás en una computadora, aprovecha el desplazamiento del mouse para inspeccionar de cerca la dirección del dominio antes de hacer clic en ellos.

Intenta no descargar archivos de personas desconocidas. Evite abrir archivos adjuntos de cualquier dirección de correo electrónico o número de teléfono externo.

Obtenga la opinión de otra persona. Pregúntele a un compañero de trabajo: ¿esperábamos un correo electrónico de este remitente? O pregúntele a un amigo: ¿Le parece extraño este correo electrónico? Una buena práctica es utilizar un medio diferente para verificar (por ejemplo, si recibe un correo electrónico extraño que dice ser su amigo, intente llamar a su amigo por teléfono para verificar que sea de ellos).

Escenarios específicos para tomar en cuenta

A veces, los actores maliciosos usan mensajes de phishing para que inicies sesión en un servicio. Pueden proporcionar un sitio web que se parezca a un servicio de redes sociales que usa, un servicio que usa para el trabajo o un sitio web crítico que usa para pagos y banca. Sin embargo, a veces, los mensajes de phishing se usan para que descargue malware o software malicioso. Hemos incluido algunos escenarios más específicos donde hemos visto ataques de phishing y malware con temática COVID-19 a continuación.

Hospitales y trabajadores sanitarios en riesgo

Los hospitales en Nueva York están notificando a su personal sobre los ataques cibernéticos entrantes y han citado algunos tipos de ataques comunes diferentes que ya han aparecido, que incluyen:

• Un correo electrónico de phishing de un remitente que pretende representar a una organización conocida como la Organización Mundial de la Salud (OMS).
• Un correo electrónico de phishing que dice ser de los Centros para el Control y la Prevención de Enfermedades (CDC), que proporciona información vital sobre cómo prevenir y tratar COVID-19.
• Algunos correos electrónicos llevarán archivos adjuntos como PDF o archivos de documentos de Word que prometen llevar esa información vital, pero en realidad tienen un código malicioso incrustado que infectará su computadora.
• Otro tipo de campaña de phishing dirigida a hospitales proviene de remitentes que fingen ser proveedores médicos. En los correos electrónicos, afirman que sus entregas se han estancado o interrumpido y requieren alguna acción en nombre del personal del hospital para completar. El cuerpo del mensaje proporcionará un enlace que llevará al destinatario a un sitio que luego ejecutará código malicioso. Cuando se instala un código malicioso en una computadora, esto podría usarse para robar datos importantes o dañar el disco. Dos tipos de malware que se utilizan especialmente son los troyanos y el ransomware:

Troyanos: cuando se descarga, el software troyano puede funcionar como la aplicación legítima prevista, pero de hecho está haciendo cosas maliciosas en segundo plano. Un ejemplo en estos correos electrónicos de COVID-19 es el uso del troyano AzorUlt.

Ransomware: cuando se descarga, este software malicioso contiene los datos de una empresa, organización o individuo para el rescate.

Ransomware para teléfonos móviles

A veces, los atacantes pueden hacer que descargue una aplicación que pretende ser útil o que brinde información médica crítica, pero que en realidad instala malware. Un investigador de DomainTools informó recientemente sobre una distribución de ransomware para Android que se ha presentado como una aplicación de actualización de coronavirus. Al descargar la aplicación, encriptará y bloqueará el teléfono del usuario, exigiendo Bitcoin en rescate. Desafortunadamente para los desarrolladores de esta aplicación maliciosa (y afortunadamente para los usuarios afectados), un investigador descubrió que la clave de descifrado estaba codificada: cualquier persona afectada podría usar el mismo código para recuperar el control de su teléfono.

Fuente de información:

https://www.eff.org/

Descargar archivo en PDF

Como CIO hoy, te enfrentas a algunas opciones desalentadoras. Hace un mes, estabas inmerso en tu viaje de transformación digital. Estabas invirtiendo en nuevas capacidades digitales, como el aprendizaje automático. Te encontrabas refinando tus datos para ponerlos a disposición de los sistemas de aprendizaje automático. Estabas digitalizando tus procesos, creando la capacidad de tu empresa para operar digitalmente. Estabas implementando software para hacer que tu negocio sea más productivo y darle una ventaja competitiva.

La pandemia de coronavirus ha cambiado todo. Si bien los sectores individuales y las empresas se enfrentan a perspectivas diferentes, todas las empresas afrontan una gran incertidumbre sobre los ingresos y las ganancias futuras. Goldman Sachs pronosticó una contracción del 24% en el PIB de EE. UU. Para el segundo trimestre. James Bullard, presidente de la Fed de San Luis, cree que incluso podría ser una caída del 50%.

Las juntas y los CEOs preguntan qué significa este choque externo masivo para sus iniciativas de transformación digital, especialmente las grandes inversiones de capital. Es muy probable que tu CEO te pida que gaste e invierta menos, quizás mucho menos.

Un camino correcto y un camino equivocado

Hemos aprendido de recesiones anteriores que hay una manera correcta y una manera incorrecta de repensar las inversiones. El gran peligro en este momento es que los CEO adopten un enfoque directo, pidiendo a todos los departamentos que tomen el mismo porcentaje de reducción en un intento de ser justos.

Ese es el camino equivocado. La tecnología, bien hecha, mejora la productividad y la eficiencia. Claramente, invertir en este tipo de sistemas permite a las empresas hacer más con menos. Para empezar, a medida que las empresas adoptan el trabajo desde casa, las inversiones en videoconferencia y software de colaboración son esenciales. Además, con tanta incertidumbre, incluso puede ser útil acelerar, no solo mantener, su inversión en la automatización de procesos costosos.

Las iniciativas de software requieren una inversión fija significativa pero tienen un costo variable cero. Como resultado, el software proporciona la capacidad de escalar hacia arriba o hacia abajo. Esto facilita la administración en entornos volátiles y no ajusta constantemente el tamaño de la fuerza laboral en respuesta. El software incluso puede permitirte extraer más producción del capital físico, que generalmente es un costo hundido.

Por ejemplo, en una aerolínea que realiza recortes masivos en su horario, sin saber cuándo se recuperará el viaje, es difícil administrar los niveles de personal ante tanta incertidumbre. Cuanto más automatizados sean los procesos, más fácil será ser flexible. Es necesario aumentar la proporción de capital, incluido el software, y la mano de obra.

En resumen, cualquier inversión que  permita aumentar las capacidades de la fuerza laboral, o aumentar la eficiencia o la productividad en un proceso material, es obvio.

Priorizar inversiones

Ahora viene lo difícil. Estás en camino, con muchas iniciativas digitales en varias etapas de implementación. Está utilizando la inversión en tecnología para impulsar el crecimiento, digamos con nuevos productos digitalizados o nuevos canales de distribución.

A diferencia de las crisis anteriores, cuando las tecnologías digitales no eran tan cruciales para la ventaja competitiva, estas iniciativas son centrales esta vez. Dada la ventaja del primer motor en el mundo digital, las empresas no pueden correr el riesgo de quedarse atrás de sus competidores. Tomar un hacha a la inversión digital es el camino equivocado.

Entonces, ¿cómo elegir qué seguir haciendo, qué mantener en un patrón de espera y qué cortar?

Aquí hay algunas pautas:

Articula claramente los valores que deseas defender como empresa para dirigir la toma de decisiones. Antes de comenzar a evaluar tu cartera de proyectos y priorizar iniciativas, identifica los criterios (valores y marcos) que utilizarás para tomar decisiones. Es importante hacer esto primero porque te permite ser objetivo.

Desarrolla un plan de continuidad comercial para la tecnología. Debes comenzar con un enfoque en la supervivencia de tu negocio. Luego, prioriza los proyectos e iniciativas que tiene en marcha que son esenciales para mantener su negocio en funcionamiento, de acuerdo con sus valores. Sólo entonces considera tus inversiones en el crecimiento futuro.

Averigüa en qué están dispuestos a gastar sus clientes. ¿Cuáles de tus iniciativas están más estrechamente alineadas con la creación de valor para el cliente? No es aconsejable continuar invirtiendo en iniciativas de crecimiento cuando tus clientes no están gastando. A corto plazo, debes centrarte en las iniciativas de alto valor agregado.

Articular el camino hacia la escala y el valor. A continuación, a medida que evalúas tus inversiones, específica lo que se necesitará para construir cada una de ellas. Debes considerar cuidadosamente no solo los hitos del desarrollo, sino también la hoja de ruta arquitectónica que te permite capturar valor en el camino. En momentos como este, debes estructurar tus inversiones de manera modular, cada una de las cuales proporciona una prueba de concepto logrando un rendimiento suficiente.

Con tantas compañías construyendo plataformas de software que requieren funcionalidad y escala para alcanzar su máximo potencial, el pensamiento modular es aún más crítico. Observa cómo las grandes compañías de plataformas tecnológicas construyeron sus plataformas con el tiempo, con versiones anteriores que eran bastante primitivas desde el punto de vista de hoy. Es posible que desees seguir su ejemplo y repensar el alcance de los proyectos que ya están en marcha.

Sin embargo, hay un problema mayor. Esta crisis finalmente pasará y el movimiento hacia el mundo digital continuará. De hecho, incluso puede acelerarse durante la crisis a medida que utilizamos la tecnología para trabajar desde casa, colaborar con nuestros compañeros y mover más nuestras vidas en línea. Las empresas que se quedan atrás en la curva digital porque han reducido demasiado el gasto en TI estarán en problemas.

Fuente de información:

www.forbes.com

Descargar archivo en PDF

El Banco de México (Banxico), en su rol de operador del sistema de pagos, carece de una normativa en materia de seguridad informática y de gestión del riesgo operacional, determinó la Auditoría Superior de la Federación (ASF).

En el documento “Auditoria de ciberseguridad a la banca electrónica y medios de pago del sistema financiero del gobierno mexicano”, destacó que Banxico tampoco lleva a cabo procesos de revisión por un tercero independiente de las direcciones generales de Sistemas de Pagos de Infraestructura de Mercados (DGSPIM) y de Tecnologías de Información (DGTI).

En su análisis, la ASF incluye a Banxico, como organismo regulador, a la Comisión Nacional Bancaria y de Valores (CNBV) y a siete instituciones de la banca de desarrollo, entre ellas Bancomext, Nacional Financiera, Sociedad Hipotecaria Federal, Banobras, Banjercito y Banco del Bienestar, antes Bansefi.

La ASF señaló, como parte de la tercera entrega de informes individuales de la revisión la Cuenta Púbica 2018, que el instituto central no cuenta con mecanismos para determinar el perfil de riesgo de cada participante del Sistema de Pagos Electrónicos Interbancarios (SPEI).

Durante 2018 y 2019, ninguna entidad de la banca de desarrollo fue sujeta a una visita de inspección por parte de esta dirección (DGSPIM), para revisar el cumplimiento de los requisitos de seguridad informática y gestión de riesgo operacional en los sistemas de pagos”.

La Auditoría también encontró que la CNBV y Banxico no comparten información de los hallazgos y observaciones en materia de riesgo tecnológico y seguridad de la información que identifican en las actividades de supervisión y vigilancia.

El documento agrega que Banco de México no considera, en su plan de respuesta a incidentes de seguridad, posibles escenarios de actuación ante eventos en los que participantes puedan afectar a otros jugadores del sistema o al mismo operador.

Sin detallar instituciones, la ASF señaló que de las siete instituciones de banca de desarrollo que analizó, una tiene un nivel de madurez en ciberseguridad “muy bajo”; tres, “bajo”; una, “medio bajo”; y dos, “niveles medios”.

La ASF reconoce que, a partir de mayo de 2018, cuando Banjercito, Inbursa, Banorte, la casa de bolsa Kuspit y la caja de ahorro Las Huastecas fueron ciberatacadas por cerca de 300 millones de pesos, “Banxico fortaleció los mecanismos de seguridad de información”.

Sin embargo, destacó que aún hay pendientes, entre ellos un monto por aclarar de 1.5 millones de pesos derivados de este ataque.

Se presume un probable daño por un monto de 1.5 millones de pesos por concepto del pago del deducible de la póliza que celebró Banjercito con la aseguradora Inbursa, a raíz del incidente de ciberseguridad que se suscitó el 24 de abril de 2018”.

En 2018, el costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades e instituciones financieras en México fue de 107 millones de dólares.

Fuente de información:

heraldodemexico.com.mx

Descargar archivo en PDF

 

Se ha llevado a cabo un análisis sobre el recorrido de la ciberseguridad en el sector financiero español a lo largo de los últimos meses. Ya que, en 2019 los ataques contra las entidades financieras han aumentado un 20% con respecto al año anterior.

Asimismo, a lo largo del pasado año, se puso de manifiesto que el panorama de las amenazas era cada vez más diverso y con un mayor riesgo de sufrir ataques dirigidos y la presencia de una fuerza cibercriminal mejor organizada y equipada.

Hoy en día, los grupos establecidos de ciberatacantes disponen de un mayor número de recursos e invierten más en permanecer silentes dentro de las organizaciones, algo que pueden hacer durante meses e incluso años. Esta es una tendencia creciente y lo esperable es que en 2020 el cibercrimen se radicalice aún más.

Ciberataques simples 

El 2019 se ha caracterizado por la simpleza de las amenazas, ya que los atacantes han encontrado vías muy sencillas de penetración en las organizaciones financieras.

La mayoría de los ataques del pasado año se llevaron a cabo a través de simples ataques de ingeniería social vía correo electrónico, con  malware  del tipo Emotet/Trickbot  y también a través de intentos de BEC.

Las organizaciones financieras han sido muy azotadas estos últimos años por el cibercrimen y han tenido que naturalizar la ocurrencia de las brechas y acostumbrarse a que no sólo hay que protegerse, sino que también hay que trabajar en mejorar los tiempos de detección y las capacidades de respuesta.

A la vanguardia mundial en materia de ciberseguridad

Las últimas cifras publicadas en relación con la ciberseguridad muestran un claro incremento en el número de ciberataques producidos a la industria financiera. A pesar de que las entidades españolas ya se hallan a la vanguardia mundial en la materia.

La industria financiera se enfrenta a dos desafíos clave a lo largo de 2020;

• La importancia del papel de las “personas”, su cambio cultural y su concienciación dentro de las organizaciones
• La hiperregulación del sector,que exigirá un tratamiento cada vez más diligente y estandarizado de la ciberseguridad.

Descargar archivo en PDF