Nueva York (CNN Business) – Piratas informáticos tienen como rehén a uno de los oleoductos más importantes de Estados Unidos, un acontecimiento sorprendente que debería servir como advertencia para un objetivo aún mayor: la industria financiera del país.
El escenario de pesadilla es que un ataque del estilo del ransomware contra el oleoducto Colonial perturbe a los principales bancos o incluso a los mercados financieros, lo que daría un golpe al flujo de dinero y la confianza en el sistema. En lugar de filas en las estaciones de servicio, las redes sociales estarían en llamas con imágenes de cajeros automáticos rotos o cuentas de bolsa inaccesibles.
Estos no son riesgos teóricos. Los bancos y las bolsas de valores en el extranjero se han visto afectados por ciberataques dañinos en los últimos años.
La buena noticia es que los bancos y las bolsas, más que los oleoductos y otra infraestructura física envejecida, tienen algunas de las defensas cibernéticas más sólidas del sector privado, dijeron expertos en seguridad a CNN Business.
“Los bancos son definitivamente objetivos fortalecidos. Son algunos de los objetivos más duros que existen, fuera del Gobierno mismo”, dijo Paul Prudhomme, asesor de inteligencia de amenazas cibernéticas en IntSights y excontratista de la Comunidad de Inteligencia de EE.UU. “Pero como vimos con SolarWinds, el Gobierno mismo no es inmune al peligro”.
Si los piratas informáticos rusos pudieron infiltrarse en agencias gubernamentales federales críticas a través del ataque a SolarWinds, nada está completamente a salvo de las amenazas cibernéticas.
“Puntos ciegos”
Aunque se cree que los grandes bancos tienen defensas sólidas, los expertos en seguridad y los funcionarios de la industria temen que los hackers puedan infiltrarse en la industria a través de terceros con una seguridad laxa.
Brendan Conlon, quien trabajó en la Agencia de Seguridad Nacional de EE.UU. durante más de una década, dijo que mientras los grandes bancos “practican una buena higiene cibernética”, los consultores, bufetes de abogados, contratistas y proveedores en los que confían pueden ser vulnerables a los ataques tipo ransomware.
“Es probable que estas instituciones tengan puntos ciegos en su cadena crítica de suministro”, dijo Conlon, quien ahora es vicepresidente de la firma de ciberseguridad BlueVoyant. “En los últimos años, se han centrado en su propia seguridad. Ahora deben reconocer el riesgo que presentan sus proveedores menos seguros para su negocio”.
El Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC, por sus siglas en inglés), la autoridad para las amenazas cibernéticas que enfrenta la industria, es consciente de esta amenaza.
“Las instituciones con programas sólidos de ciberseguridad están bien posicionadas para prevenir ataques de ransomware en sus propias redes, pero el riesgo de verse afectadas por proveedores externos está aumentando”, dijo el CEO de FS-ISAC, Steven Silberstein, a CNN Business, en un comunicado.
Silberstein también señaló que los operadores de ransomware han “crecido y madurado en sofisticación, lo que los convierte en un área de preocupación”.
La industria financiera es un gran objetivo para muchos grupos diferentes, desde delincuentes organizados –que buscan robar dinero– hasta grupos con motivaciones políticas –que intentan hacer una declaración–.
En su informe anual, Nasdaq dijo que las amenazas potenciales incluyen ataques de Gobiernos extranjeros, hacktivistas, personas con información privilegiada y organizaciones criminales.
Los grupos respaldados por el Estado pueden tener la capacidad para llevar a cabo ataques sofisticados, pero la mayoría de los países no querrían hacer tanto daño que perjudicaran sus propios intereses financieros y económicos.
El mayor temor de Jerome Powell no es la inflación, es cibernético
El cierre del oleoducto Colonial, que entrega casi la mitad de la gasolina y el diésel a la costa este, muestra el impacto en el mundo real de ciberataques cada vez más sofisticados. Las compras de pánico por parte de conductores nerviosos amplificaron la escasez de suministro, lo que provocó importantes interrupciones en las estaciones de servicio en el sureste.
El presidente de la Reserva Federal, Jerome Powell, advirtió –el mes pasado– que los ciberataques son la amenaza número uno para el sistema financiero mundial, incluso más que los riesgos crediticios y de liquidez que desencadenaron la crisis financiera de 2008.
Durante una entrevista en “60 Minutes”, Powell dijo que uno de los temores es que los hackers logren cerrar un procesador de pagos importante, evitando que el dinero fluya de una institución financiera a otra. Eso podría hacer que parte del sistema financiero “se detenga”, dijo Powell.
Hay un precedente para eso.
En 2016, el banco central de Bangladesh fue atacado por piratas informáticos y el FBI culpó a Corea del Norte. En febrero, el Departamento de Justicia de EE.UU. acusó a tres norcoreanos de conspiración para robar y extorsionar más de US$ 1.300 millones en efectivo y criptomonedas de bancos y otras empresas. Los fiscales acusaron a los agentes de apuntar a bancos de todo el mundo, incluidos los bancos de Malta, en 2019.
Las bolsas de valores son objetivos enormes
Nueva Zelandia sufrió una versión de eso en el verano pasado, cuando un ciberataque que se originó en el extranjero provocó cortes periódicos de la bolsa de valores de la nación durante varios días. A diferencia del ataque de ransomware al oleoducto Colonial, la Bolsa de Nueva Zelandia se vio afectada por un ataque distribuido de denegación de servicio (DDoS) “sofisticado y severo”. Pero el resultado fue el mismo: una interrupción de una pieza crítica de la infraestructura.
Los mercados de Wall Street saben que hay una gran diana en sus espaldas.
“Nuestro papel en el mercado global puede ponernos en mayor riesgo de un ciberataque”, advirtió Nasdaq a los inversores en su informe anual. La bolsa agregó que gran parte de su fuerza laboral está trabajando de forma remota durante la pandemia y aumentó su dependencia de la red doméstica de empleados.
La presidenta del NYSE, Stacey Cunningham, dijo a CNBC –a principios de esta semana– que la bolsa está “trabajando constantemente” con su propio equipo, reguladores y otros agentes del mercado para garantizar “que nuestros mercados estén seguros”.
JPMorgan dice que los ataques futuros son “inevitables”
Más de US$ 350 millones en pérdidas se han atribuido a ataques de ransomware solo este año, dijo el secretario de Seguridad Nacional de EE.UU., Alejandro Mayorkas, en la sesión informativa de la Casa Blanca, el martes.
“Esta amenaza no es inminente, está sobre nosotros”, dijo Mayorkas.
Danny Jenkins, CEO de la firma de ciberseguridad ThreatLocker, le dijo a CNN Business que los bancos se ven afectados por intentos de ataques de ransomware “casi todos los días”, pero que se mitigan.
“La probabilidad de que un banco importante se desconecte por completo es pequeña, pero no imposible”, dijo, y agregó que hay “una probabilidad mucho mayor” de que las redes de cajeros automáticos o las sucursales principales se interrumpan.
JPMorgan Chase, Bank of America, Wells Fargo y otros bancos estadounidenses se vieron afectados por una ola de ataques DDoS a partir de 2012, que bloquearon el acceso de los clientes a los sitios web. Esos incidentes sirvieron como un llamado de atención para la industria, lo que provocó que los bancos redoblaran las medidas de seguridad. En 2016, el Departamento de Justicia acusó a siete iraníes –que se cree que habían estado trabajando en nombre del Gobierno de Irán y la Guardia Revolucionaria Islámica– por esos ataques.
“JPMorgan Chase ha experimentado fallas de seguridad debido a ataques cibernéticos en el pasado, y es inevitable que ocurran violaciones adicionales en el futuro”, dijo el banco en su informe anual, que menciona “ciber” 67 veces, en comparación con solo 17 veces en 2014. “Cualquier incumplimiento de este tipo podría tener consecuencias graves y perjudiciales para JPMorgan Chase o sus clientes y clientes”.
JPMorgan reconoce que “no tiene control sobre” la seguridad de los sistemas de sus numerosos clientes, contrapartes y proveedores de servicios externos. El banco agregó que su exposición a ataques cibernéticos podría aumentar por el hecho de que muchos de sus empleados están trabajando de forma remota y debido al mayor uso de aplicaciones de videoconferencia.
Los hackers se están volviendo más sofisticados y automatizados
Los funcionarios de la administración Biden han expresado en privado su frustración con lo que ven como los débiles protocolos de seguridad y la falta de preparación del oleoducto Colonial, dijeron a CNN funcionarios familiarizados con la investigación del Gobierno.
“El sector financiero tiende a tomarse la seguridad más en serio que el petróleo y el gas”, dijo Jenkins, CEO de ThreatLocker. Citó presupuestos de tecnología de la información (TI) más grandes.
Jon DiMaggio, un exanalista de la Comunidad de Inteligencia, está de acuerdo y dice: “Hay objetivos mucho más fáciles que los bancos que pueden pagar lo mismo”.
Sin embargo, a DiMaggio le preocupa que el cálculo de riesgo-recompensa se vea alterado por el hecho de que algunos hackers sofisticados han comenzado recientemente a utilizar la automatización para acelerar drásticamente sus ataques, haciéndolos más difíciles de detectar.
“Va a ser una amenaza mucho mayor para las instituciones financieras”, dijo DiMaggio, estratega jefe de seguridad de la firma de inteligencia de amenazas Analyst1.
Para mantenerse al día con los bandidos, instó a los bancos a confiar más en las ciberdefensas impulsadas por inteligencia artificial.
“Como cazador de amenazas, odio decir eso porque deja sin trabajo a tipos como yo”, dijo.
Prudhomme, ejecutivo de IntSights, lo describió como un “juego constante del gato y el ratón” entre empresas y hackers.
“Justo cuando desarrollas una nueva defensa y crees que estás en pie”, dijo, “algún actor encontrará la manera de eludirla”.