ciberseguridad

 La ciberseguridad de la banca empieza por casa

The wall street journal- 27 de Diciembre de 2015  

Aterrorizados por una serie de recientes ataques cibernéticos, los bancos están gastando miles de millones de dólares en su intento por defenderse de un ejército sin rostro de intrusos digitales.

No obstante, las mayores amenazas pueden venir de dentro.

Los bancos temen que los empleados estén exponiendo involuntariamente información valiosa a los hackers o dejando pistas en línea que hagan posible un ataque digital. Para fortalecer sus defensas, las compañías prohíben a sus empleados usar dispositivos portátiles, como unidades USB, les advierten que tengan cuidado con lo que publican en las redes sociales e incluso los desalientan a poner mensajes como “Estoy fuera de la oficina” como respuesta automática en sus correos electrónicos.

Varios bancos también analizan si sus empleados abren sin querer la puerta de sus empresas a los hackers cuando son víctimas de intentos de phishing, un tipo de engaño en el que los delincuentes persuaden a los destinatarios para que hagan clic en enlaces que a menudo contienen malware que permite acceder a contraseñas u otra información sensible.

Semanas después de que J.P. Morgan Chase & Co. sufrió una violación masiva de datos que expuso la información de 76 millones de clientes, el mayor banco de Estados Unidos por activos envió un e-mail de phishing falso a sus más de 250.000 empleados para ponerlos a prueba. Aproximadamente 20% de los destinatarios hizo clic en el enlace, según fuentes cercanas.

Un representante no quiso hacer comentarios sobre las iniciativas que el banco ha llevado a cabo desde entonces para prevenir que sus trabajadores hagan clic en correos electrónicos que podrían exponer datos. La empresa prohíbe a su personal usar sus direcciones de e-mail laboral para uso privado, tales como registrarse en sitios de compras o cuentas de redes sociales como LinkedIn, según una nota enviada a los empleados tras el ataque cibernético. J.P. Morgan ha indicado que en 2016 prevé invertir alrededor de US$500 millones en seguridad cibernética, aproximadamente el doble que en 2014.

Aunque empresas de todos los sectores se enfocan en salvaguardar su seguridad en línea, los bancos están en una posición única, ya que deben proteger tanto la información confidencial de sus clientes como enormes sumas de dinero.

Brian Moynihan, presidente ejecutivo de Bank of America Corp., ha manifestado que el presupuesto de ciberseguridad es ilimitado y que se está focalizando cada vez más en sus trabajadores.

Wells Fargo & Co., el mayor banco del mundo por capitalización de mercado, también está aumentando su inversión en seguridad cibernética. “Gastamos un océano de dinero” en ciberseguridad, dijo su presidente ejecutivo, John Stumpf, en una entrevista reciente. “Es el único gasto que me pregunto si es suficiente”. Una portavoz se negó a cuantificar el presupuesto de la empresa para este fin.

Una de las mayores preocupaciones de los bancos es determinar hasta qué punto deben monitorear la conducta de sus empleados en los medios sociales, donde pueden fácilmente publicar detalles sobre sus responsabilidades laborales que los hackers podrían utilizar para decidir quién es el mejor blanco dentro de una organización. La situación puede volverse más delicada cuando se trata de publicaciones de carácter personal, tales como fotos de las vacaciones, que podrían alentar a los delincuentes a entrar en el domicilio y robar su computadora portátil de trabajo, señalan expertos en seguridad cibernética.

En general, alrededor de 30% de las violaciones de datos registradas este año fueron por errores de los empleados, según un sondeo publicado este mes por la Association of Corporate Counsel.

“No saben que lo que están haciendo aumenta el riesgo para su organización”, dice Theodore J. Kobus III, abogado especializado en seguridad de datos del bufete BakerHostetler, en Nueva York.

Morgan Stanley fue víctima de un reciente ataque cibernético prominente, en el que un asesor financiero accedió ilegalmente a datos de clientes del banco, que luego se llevó a su casa. El asesor, Galen Marsh, se declaró culpable de un delito grave en septiembre y está a la espera de la sentencia.

Los fiscales sospecharon inicialmente que Marsh también había sido partícipe de la publicación en línea de algunos de esos datos, lo que él niega. Según documentos dados a conocer en los tribunales este mes, los ejecutivos de Morgan Stanley creen que hackers rusos tuvieron acceso a la computadora en la casa de Marsh, robaron los datos de los clientes y los publicaron en Internet. Morgan Stanley se ha negado a hacer más comentarios al respecto.

Para los hackers, el phishing, que se realiza cada vez más a través de correos electrónicos que parecen provenir de un alto ejecutivo dirigidos a un empleado, siguen siendo una táctica básica.

La oficina cibernética del FBI en Nueva York recibe quejas sobre este tipo de ataques “casi a diario”, dice Richard Jacobs, agente especial a cargo de delitos cibernéticos del organismo.

TD Bank Group, compañía de servicios financieros canadiense que tiene aproximadamente 1.300 sucursales en EE.UU., informó que este año comenzó a enviar ataques simulados de phishing a sus empleados donde se les pedía que, por ejemplo, hicieran clic en un enlace para recibir un paquete o descargar un formulario del departamento de recursos humanos.

Cuando alguien hacía clic en ese enlace falso, aparecía un mensaje de video en la pantalla diciéndole que había sido víctima de un falso ataque de phishing y explicándole cómo deberían haber manejado la situación. “Nuestro objetivo no es asustar a la gente”, explica Glenn Foster, jefe de seguridad cibernética de TD. Los empleados que cayeron en el intento simulado de phishing probablemente recibirán otro e-mail falso pronto, agrega.

Incluso bancos pequeños están monitoreando la conducta de sus trabajadores. Pinnacle Financial Partners Inc., que tiene cerca de US$6.000 millones en activos, envía e-mails de phishing falso a sus 1.100 empleados más o menos cada tres meses. “Todos bromean al respecto”, cuenta Clayton Weber, director de seguridad de la información de la entidad.

A pesar de que los empleados saben que el banco los pone a prueba con regularidad, alrededor de 2% hace clic en el correo electrónico de phishing falso, señala.