La calidad de las defensas de seguridad de TI continúa mejorando drásticamente a medida que las empresas invierten fuertemente para proteger sus recursos de información. Marcos como el Reglamento General de Protección de Datos (RGPD) y PCI DSS han añadido una presión de cumplimiento muy necesaria para garantizar que la seguridad siga siendo una consideración primordial para las empresas.
Sin embargo, la ciberdelincuencia sigue siendo especialmente rentable. Lejos de detener la delincuencia, estas nuevas medidas de seguridad simplemente obligan a los hackers a ajustar su ángulo de ataque.
Bancosmexicanoscomprometidos por un socio
Los delincuentes se han dado cuenta de que las posibilidades de romper la estructura de defensa en detalle (múltiples contramedidas de seguridad) que protegen a un banco son increíblemente escasas. Así que han empezado a buscar otros servicios conectados que puedan proporcionar un punto de entrada a la red del banco.
Este fue ciertamente el caso de cinco bancos mexicanos que perdieron cientos de millones de pesos a manos de ladrones en mayo de 2018. Todos los bancos utilizaron un componente de software de terceros para conectar los sistemas de pago, y fue aquí donde los delincuentes lograron encontrar un punto débil en materia de seguridad.
Aprovechando esta brecha, se generaron miles de giros postales electrónicos falsos, que dirigían el efectivo hacia cuentas bancarias controladas por los delincuentes. Luego visitaron los locales físicos del banco y retiraron el efectivo.
Se estima que entre 300 y 400 millones de pesos (15.4 millones de dólares) fueron robados antes de que se descubriera el hacking.
Una lecciónimportante para los bancos, y también para otras empresas
Una vez comprometido el servicio externo, los hackers tenían acceso directo a una conexión de confianza, por lo que todas sus transacciones eran tratadas como legítimas. Para los bancos implicados, este incidente representa un grave fallo en la gestión de riesgos de terceros.
La verdad es que mecanismos de ataque similares podrían utilizarse contra cualquier empresa, no sólo contra los bancos. A medida que las organizaciones adoptan más servicios de TI alojados y conexiones de terceros, también tienen la posibilidad de verse comprometidas, ya que los hackers atacan a contratistas, distribuidores e incluso proveedores de software.
El intercambio de datos con socios de confianza se ha vuelto crucial para crear servicios eficaces centrados en el cliente. Sin embargo, esta confianza debe ir acompañada de un enfoque integral de la seguridad de extremo a extremo.
A las instituciones financieras se les exige que aseguren el pleno cumplimiento del PCI DSS de cualquier sistema de terceros conectado al suyo propio. El comerciante/adquirente puede no tener el control de estos sistemas externos, pero sigue siendo responsable de cada violación de sus propias defensas.
As a result, merchants and acquirers must Como resultado, los comerciantes y adquirentes deben evaluar cuidadosamente cualquier credencial presentada por proveedores de servicios terceros antes de conectarse. También tendrán que poner en marcha un proceso de presentación de informes e intercambio de información para abordar los problemas de seguridad antes de que sean identificados y explotados por los delincuentes.
En el caso de los comerciantes y adquirentes que ya hayan conectado servicios de terceros a los suyos propios, debe llevarse a cabo una revisión urgente de la seguridad. Estas pruebas tampoco deben ser un ejercicio aislado. Tal y como exigen las mejores prácticas de PCI DSS, los comerciantes y adquirentes deben evaluar de forma rutinaria sus procesos y disposiciones de seguridad, incluidos los servicios de terceros conectados. Incluso si no pueden solucionar los problemas identificados, el comerciante/adquirente puede presentar una solicitud urgente a su proveedor.
La razón por la que estos ataques a través de terceros han tenido tanto éxito es que no están comprendiendo bien el riesgo. La metodología de evaluación de riesgos de terceros de Advantio está diseñada específicamente para identificar amenazas potenciales y proteger mejor su negocio contra la piratería informática. Para obtener más información - o para organizar una auditoría de los servicios de terceros - por favor póngase en contacto.
