Lectura 5:00 min
No pinta un 2019 sólido para la ciberseguridad en México
El spearphishing, los ataques a través de las cadenas de proveeduría de las instituciones y una mejor preparación por parte de los ciberatacantes son las principales tendencias de ciberseguridad para el 2019, según expertos.
El año que está a punto de comenzar no será sólido para la ciberseguridad en México. Luego de que el 2018 estuvo marcado por los ataques cibernéticos a diversas instituciones del sistema financiero mexicano, especialistas adelantaron a El Economista que en 2019 habrá más de estos ataques ante los que la ciberseguridad en el país no está preparada.
El frustrado ataque al Banco Nacional de Comercio Exterior (Bancomext) mexicano, el robo de alrededor de 300 millones de pesos de cinco instituciones financieras a través del Sistema de Pagos Electrónicos Interbancarios (SPEI) y el más reciente ataque en contra de la Aseguradora AXA son ejemplo de la estrategia que siguen los atacantes cibernéticos en México, la cual reúne las principales tendencias en torno a la seguridad informática previstas por los expertos: el spearphishing, los ataques a través de las cadenas de proveeduría de las instituciones y una mejor preparación por parte de los ciberatacantes.
De acuerdo con Carlos Ayala, director de Respuesta a Incidentes de Mandiant Latinoamérica, los ataques al sistema financiero del 2018 en México y América Latina tienen como mejores cualidades que fueron acciones dirigidas, estructuradas y sofisticadas que se abalanzaron sobre un sector particular.
Mandiant es propiedad de Fireeye, compañía de análisis y prevención de vulnerabilidades que en octubre pasado reveló detalles sobre un grupo de atacantes denominado APT38 que, según la compañía, “es responsable de cometer delitos financieros en nombre del régimen de Corea del Norte” al robar alrededor de 1,100 millones de dólares de instituciones financieras a través del sistema SWIFT en 11 países, entre los que se encuentran México, Chile y Bangladesh.
“Si se analiza APT 38, es importante destacar que la amenaza no fue de pisa y corre. Son operaciones que llevaron bastante tiempo”, dijo Ayala. Según el especialista, en este caso los atacantes estuvieron hasta dos años monitorizando a los usuarios clave de las instituciones, “cómo acceden, los horarios, flujos operativos. Fue una operación bastante larga, de entendimiento, que afectó no solamente en nuestro país y que además proviene de un grupo que sigue activo”.
Phishing, puerta de entrada
El phishing, es decir el engaño cometido contra una persona a través de medios digitales con el fin de que entregue información de manera voluntaria, es la puerta de entrada de amenazas como las que representa el grupo APT38. En 2018, México le arrebató a Brasil el primer lugar entre los países de América Latina que más recibieron ataques de phishing, con un aumento de 120% contra el 2017, de acuerdo con la firma de ciberseguridad Kaspersky Lab.
“Quizá suene trillado, porque me imagino que en todos lados te lo platican o lo lees, pero sigue siendo tan efectivo enviarle un correo a un usuario final para que le de clic a una liga o para que ejecute algo o previsualice algún contenido para que el contenido malicioso encuentre una vulnerabilidad y le abra la puerta al adversario”, dijo Carlos Ayala.
“Seguiremos viendo que el spearphishing es el vector de compromiso más usado, porque sigue siendo muy efectivo. Es una forma de burlar la seguridad en la que invierten las organizaciones y es una forma de llegarle al usuario final, que es el menos entrenado en materia de seguridad”, añadió.
En esto concuerda Santiago Cavanna, director de Cuentas de Soluciones de Seguridad y Administración de API de la empresa californiana CA Technologies, para quien el principal problema va seguir siendo el phishing, lo mismo que cualquier técnica que busque engañar al usuario, a lo que se suma el que los bancos están fomentando que los usuarios utilicen cada vez más canales digitales.
“No reconozco un aumento en la complejidad de los ataques. Los ataques siguen siendo bastante básicos en términos de volumen y de impacto. El phishing sigue siendo el principal vector de ataque”, dijo Cavanna en entrevista con El Economista desde Argentina.
Otra de las puertas de entrada a sistemas como el SPEI para los ciberdelincuentes son las cadenas de suministro. Todas aquellas compañías proveedoras de la empresa objetivo se vuelven un conducto por el cual los atacantes pueden abrir brechas de seguridad. De acuerdo con el Banco de México, las cinco instituciones financieras que fueron atacadas a través del SPEI tenían un proveedor en común que se convirtió en la pieza mediante la que se fracturó el sistema financiero mexicano.
De acuerdo con Carlos Ayala, es muy común que se comprometa un objetivo a través de la cadena de suministro y en el caso del sistema financiero en particular, “se vuelve un mecanismo muy interesante para los adversarios que quieren comprometer una institución”, dijo.
Talento, principal tendencia
Pero la principal tendencia que identifica el especialista de Mandiant rumbo al 2019 es el talento de los atacantes, que cada vez es mayor. “ Quizá no hayamos visto el tipo de talento al que nos estamos enfrentando hoy en día porque no habíamos sido víctimas. Lo que se espera es seguir viendo mejoras en las tácticas, técnicas y procedimientos de estos grupos”, dijo.
La especialización de los atacantes se debe a que las organizaciones que financian a este tipo de grupos lo que buscan es monetizar el talento que tienen reclutado, ante lo que ni las instituciones financieras ni el gobierno mexicano han avanzado mucho en los últimos años.
“Los adversarios nos comprometen en sus términos no en los nuestros. No está mal que sigamos desarrollando leyes y regulaciones, pero tenemos que ir más allá del cumplimiento normativo y tenemos que hablar más del gobierno (governance) y empezar a enfocarnos más en el sentido real de la protección”, dijo Carlos Ayala.