Aumento de los ciberataques a los bancos

Cómo pueden responder las instituciones medianas

El panorama de las amenazas se está intensificando a un ritmo sin precedentes. Los ciberataques a los bancos han dejado de ser competencia del departamento de TI para convertirse en un problema de los consejos de administración, que influye directamente en la planificación estratégica, la propensión al riesgo y la viabilidad a largo plazo. La estabilidad del sector financiero está ahora inextricablemente ligada a su resistencia digital. En un entorno así, una postura reactiva en materia de seguridad allana el camino a trastornos operativos, sanciones reglamentarias y una pérdida catastrófica de la confianza de los clientes.

La Agencia de Ciberseguridad de la Unión Europea (ENISA) ha lanzado una dura advertencia: entre enero de 2023 y junio de 2024, el sector financiero de la UE experimentó 488 incidentes cibernéticos notificados públicamente. No se trata de una mera estadística, sino de un asalto sostenido y creciente a la integridad operativa y la confianza fundamental del sistema bancario de la región. Durante doce años consecutivos, el sector financiero ha incurrido en el coste medio más elevado de las violaciones de datos en todo el mundo, lo que refleja lo mucho que está en juego.

Una peligrosa brecha de vulnerabilidad

Aunque los grandes bancos internacionales dominan los titulares, son las instituciones de tamaño medio, incluidas las cajas de ahorros, los bancos cooperativos y los prestamistas regionales, las que ocupan una posición singularmente precaria. Estos bancos poseen datos y activos muy valiosos que atraen a sofisticados actores de amenazas, pero a menudo carecen de los recursos de sus homólogos más grandes, lo que crea una peligrosa "brecha de vulnerabilidad". Esta asimetría les coloca en una situación de grave desventaja en una lucha creciente contra adversarios altamente organizados y, en algunos casos, patrocinados por el Estado.

En este contexto, la ciberseguridad proactiva y basada en la inteligencia ha dejado de ser un gasto opcional para convertirse en un factor determinante del éxito a largo plazo de un banco. El discurso debe evolucionar de la ciberseguridad como centro de costes a la resiliencia como motor estratégico de confianza y crecimiento.

Patrones típicos de ciberataques a bancos

Comprender las tácticas habituales utilizadas por los ciberdelincuentes es esencial para desarrollar una defensa eficaz. Los métodos de ataque han evolucionado de simples exploits a campañas multietapa y altamente coordinadas dirigidas a la tecnología, los procesos y las personas.

Phishing e ingeniería social: Explotar la confianza

Los ataques de phishing ya no están plagados de faltas de ortografía y tácticas burdas. La ingeniería social moderna es una operación refinada. Los atacantes emplean ahora Inteligencia Artificial para producir contenidos pulidos y personalizados, utilizan tecnología de voz deepfake para imitar a ejecutivos y aprovechan el phishing de código QR ("quishing") para evadir los filtros de correo electrónico.

Estas técnicas se han convertido en el principal mecanismo para iniciar el fraude. Un informe de Tietoevry de 2024 documentó un aumento del 156% en las estafas de manipulación social y del 77% en los ataques de phishing, lo que subraya el crecimiento explosivo de esta amenaza. ENISA confirma que las instituciones financieras son objetivos principales, ya que los atacantes se hacen pasar por bancos en el 36% de los casos de ingeniería social, engañando a clientes y empleados para que revelen información sensible o aprueben transacciones fraudulentas.

El ransomware: De la encriptación a la extorsión

El ransomware se ha industrializado. La aparición de plataformas de ransomware como servicio (RaaS) en la dark web significa que ahora se pueden alquilar conjuntos de herramientas muy eficaces por tan solo 40 dólares, lo que reduce la barrera de entrada para los delincuentes e impulsa una explosión de los ataques. El plazo entre la violación inicial y el cifrado completo se ha desplomado de unos 60 días en 2019 a solo cuatro días en 2024.

Peor aún, los atacantes han adoptado una estrategia de "doble extorsión". Antes de cifrar los datos, filtran grandes cantidades de datos sensibles de empresas y clientes. Si no se paga el rescate, amenazan con exponerlos públicamente, agravando el daño reputacional, normativo y operativo. La investigación de Allianz Commercial muestra que el número de casos relacionados con la exfiltración de datos casi se duplicó, pasando del 40% en 2019 a casi el 80% en 2022, y las cifras de 2023 son aún más altas.

Compromiso de la cadena de suministro: vulneración desde el exterior

Los ciberataques a los bancos tienen cada vez más éxito, no porque se dirijan directamente a ellos, sino porque aprovechan las debilidades de sus cadenas de suministro digitales. Los proveedores externos, incluidos los proveedores de la nube, las empresas de software y los procesadores de datos, se han convertido en un importante vector de ataque. Según un análisis reciente de SecurityScorecard, el 96% de las 100 principales instituciones financieras europeas se vieron afectadas por al menos una brecha de terceros el año pasado, frente al 78% del año anterior.

El riesgo para la reputación es significativo. El público rara vez culpa a terceros; la responsabilidad y las consecuencias recaen sobre la institución principal. La vulnerabilidad MOVEit 2023, originada en un único producto de transferencia de archivos, desencadenó un efecto dominó mundial, comprometiendo a miles de organizaciones y causando daños estimados en más de 65.000 millones de dólares. Este incidente subraya la importancia de una gestión integral del riesgo de terceros.

Amenazas internas: Riesgos internos

Las amenazas internas tienen dos vertientes. La primera es el insider malicioso, un empleado descontento o comprometido que roba datos o sabotea sistemas deliberadamente. Bitkom informa de que el 36% de las empresas afectadas identificaron acciones internas intencionadas como el origen de un ataque.

Mucho más común, sin embargo, es la negligencia interna. Se trata de incidentes involuntarios causados por errores humanos. Según los informes de la directiva NIS de ENISA, el 73% de los incidentes fueron no malintencionados, derivados de fallos del sistema (64%) y errores de los usuarios (9%). Los servidores mal configurados, las actualizaciones de software defectuosas o el incumplimiento de los protocolos establecidos pueden exponer a las organizaciones a graves riesgos, incluso sin intención maliciosa.

Por qué los bancos medianos son especialmente vulnerables

Aunque todas las instituciones financieras se enfrentan a amenazas crecientes, los bancos medianos de la UE operan en una posición especialmente vulnerable. Son lo suficientemente importantes como para atraer a atacantes sofisticados, pero a menudo carecen de la escala, la infraestructura y los recursos para montar defensas comparables.

Los trastornos cibernéticos tienen implicaciones económicas más amplias. La paralización de una institución de tamaño medio puede afectar a regiones o sectores enteros de la economía. Para los adversarios que buscan desestabilizar los sistemas financieros, estas instituciones son objetivos de primer orden.

La brecha de recursos y conocimientos

El principal reto para los bancos medianos es el desajuste entre su atractivo para los atacantes y sus capacidades defensivas. Procesan importantes flujos financieros y almacenan datos sensibles, pero se ven limitados por sus presupuestos y personal.

Esta laguna plantea dos problemas fundamentales:

• Presupuesto: La ciberseguridad requiere una inversión sostenida en herramientas modernas, supervisión y pruebas. Las empresas medianas tienen dificultades para priorizarlas junto con otras necesidades empresariales.
• Talento: La escasez mundial de profesionales de la ciberseguridad ha creado una competencia feroz. Los bancos medianos a menudo no pueden igualar los salarios, las prestaciones o las oportunidades profesionales que ofrecen las grandes corporaciones o las empresas tecnológicas.

Infraestructura informática obsoleta 

Una vulnerabilidad significativa y a menudo subestimada para muchos bancos medianos establecidos es la carga de su propia historia, encarnada en los sistemas informáticos heredados. Muchas de estas instituciones se basan en plataformas bancarias centrales que tienen décadas de antigüedad, escritas en lenguajes como COBOL y que funcionan en sistemas mainframe que, aunque históricamente estables, se han convertido en un lastre importante en el entorno de amenazas moderno. Una encuesta realizada entre ejecutivos bancarios reveló que más del 53% estaba preocupado por su dependencia de la tecnología heredada y la "deuda técnica" acumulada que representa. 

Estos sistemas heredados crean riesgos de varias maneras. En primer lugar, amplían drásticamente la superficie de ataque. Nunca se diseñaron para el ecosistema digital actual, hiperconectado e impulsado por API. A medida que los bancos superponen aplicaciones móviles y web modernas a estos núcleos antiguos, crean entornos híbridos complejos y frágiles plagados de posibles vulnerabilidades de integración. Estos sistemas antiguos carecen intrínsecamente de funciones de seguridad modernas, como la gestión granular de identidades y accesos (IAM) y sofisticadas herramientas de supervisión, lo que dificulta su protección y deja peligrosos puntos ciegos para los equipos de seguridad. 

El elemento humano

El error humano sigue siendo la vulnerabilidad más impredecible. Ya se trate de ser víctima de un correo electrónico de phishing o de desconfigurar un sistema de seguridad, los empleados pueden exponer involuntariamente a la organización a riesgos importantes.

La formación genérica tradicional ya no es suficiente. La Autoridad Bancaria Europea (ABE) exige ahora programas específicos para cada función, actualizados periódicamente, que aborden las técnicas de ataque modernas, incluidas las mejoradas por la IA.

Medidas inmediatas para mejorar la seguridad informática

Para los bancos medianos, la prioridad debe ser elevar la línea de base. Las intervenciones clave incluyen:

• Gestión continua de vulnerabilidades: Pasa a una exploración de vulnerabilidades siempre activa. Dar prioridad a sistemas externos como VPN y portales de acceso remoto.
• Detección y respuesta modernas para puntos finales (EDR): Sustituye las herramientas antivirus obsoletas por sistemas de detección del comportamiento en tiempo real.
• Respuesta a incidentes y ejercicios de simulación: Crear planes de respuesta basados en NIST SP 800-61. Realiza periódicamente simulacros a nivel ejecutivo.
• Autenticación multifactor (MFA): Extiende la MFA a todos los sistemas clave, no sólo al correo electrónico o las VPN. Combínala con políticas de acceso con menos privilegios.

Estrategias de resistencia a largo plazo

Implantar una infraestructura de seguridad desde los cimientos es la clave de la seguridad a largo plazo. Una estrategia de continuidad de negocio es una forma integral de crear sistemas de respuesta y recuperación , un esfuerzo continuo para mantenerte seguro.

Sin embargo, los controles básicos son sólo el principio. La resistencia a largo plazo contra los ciberataques a los bancos requiere un modelo de seguridad moderno: Zero Trust.

Arquitectura de Zero Trust

La Zero Trust se basa en un principio fundamental: nunca confíes, verifica siempre. Sustituye las anticuadas suposiciones sobre la seguridad interna tratando a todos los usuarios y dispositivos como potencialmente comprometidos.

Entre los elementos clave figuran:

• IAM sólida: la identidad es el nuevo perímetro. Una IAM sólida garantiza que solo accedan los usuarios verificados.
• Microsegmentación: Divida las redes en zonas seguras. Evita que los atacantes se desplacen lateralmente una vez dentro.
• Acceso con mínimos privilegios: Concede sólo los permisos mínimos necesarios para cada usuario o proceso.
• Monitorización continua: Observe todo el tráfico, el comportamiento de los usuarios y el estado de los dispositivos en tiempo real. Revoca el acceso cuando surjan anomalías.

Descubra un resumen más detallado en nuestro whitepaper las ventajas de ZTNA frente a VPN.

Servicios de seguridad gestionados

Para muchos bancos medianos, crear una infraestructura de Zero Trust por sí solos no es realista. La asociación con un proveedor de servicios de seguridad gestionados (MSSP ) ofrece una solución escalable.

Los beneficios incluyen:

• Experiencia bajo demanda: Acceda a los mejores expertos en inteligencia sobre amenazas, análisis forense, cumplimiento de normativas y mucho más.
• Tecnología de nivel empresarial: Aprovecha herramientas avanzadas como SIEM, EDR y fuentes de amenazas en tiempo real.
• Rentabilidad: Convierte los gastos de capital en costes operativos predecibles, sin desembolsos iniciales.

Un MSSP permite a los bancos activar la supervisión 24/7, la respuesta a incidentes y la detección continua de amenazas, componentes esenciales de Zero Trust en acción.

La confianza es la nueva moneda

En el panorama financiero actual, digitalizado e interdependiente, la ciberseguridad ya no es sólo una cuestión técnica, sino que es fundamental para la confianza, la reputación y la competitividad del mercado.

Los bancos medianos de la UE deben estar a la altura de este momento. Deben dejar de tratar la ciberseguridad como un problema informático y empezar a ver la resiliencia como una ventaja estratégica.

Getronics está preparado para apoyar esta transformación, implantando marcos de confianza cero, mejorando la detección y la respuesta, y garantizando el cumplimiento de DORA, NIS2 y más allá.

Siguiente paso: Reserve una conversación con nuestro equipo de servicios o solicite una sesión informativa para ejecutivos adaptada a las necesidades de su institución.