- Publicidad/Advertisement -

El viernes pasado, Ekaterina Glebova, una funcionaria de la oficina de prensa del банк Российской (en español Banco de Rusia), el cual es el Banco Central de la Federación Rusa, reconoció al diario The Wall Street Journal, que fueron víctimas de un robo de 2.000 millones de rublos (casi U$D31.3 millones de dólares) a través de un ataque informático que vulneró sus sistemas de seguridad.

Los ciberdelincuentes, atacaron varias cuentas bancarias propiedad del regulador financiero por una cantidad superior a los €73.000 millones de euros. No obstante, una vez que el área de sistemas detectó el movimiento no autorizado de dinero, pudo congelar algunas de las cuentas empleadas para realizar la sustracción del dinero, recuperando de esta forma parte del monto objeto del ataque.

Después del ataque al банк Российской, la banca mundial en alerta

bank-of-rusia-has-been-hacked

Este hecho llama la atención y enciende las alarmas del sector financiero, pues constituye en sí el último caso de una serie de ataques de alto nivel contra instituciones financieras a nivel global, desde América a Europa o Asia.

- Publicidad/Advertisement -

La portavoz del банк Российской, Ekaterina Glebova, manifiestó a The Wall Street Journal, que hasta ese momento no tienen claro en qué momento tuvo lugar la intrusión a la red del banco ni mucho menos la identidad del o los atacantes, aunque sí reconoció que fue realizada mediante la falsificación de credenciales de un cliente corporativo.

Igualmente, otro funcionario del банк Российской, Artyom Sychyov, explicó en una rueda de prensa, que los ciberdelincuentes habían intentado sustraer en principio alrededor de 5.000 millones de rublos, aunque dio pocos detalles del incidente. De acuerdo con el comunicado de prensa del banco, “las ciberamenazas pueden tener efectos potencialmente graves para el sistema financiero. En este sentido, los esfuerzos de las instituciones financieras para mejorar sus sistemas de información e (intercambiar información respecto a ataques cibernéticos) cobran vital importancia.” Es más que obvio que esta situación es un tema complejo, ya que últimamente , reguladores financieros de todo el mundo han exhortado a la banca mundial a fin de que sean reforzados los protocolos de seguridad informática ante la creciente ola de ataques informáticos contra instituciones financieras en todo el mundo.

Los ataques en serie

federal-reserve-bank-ny-and-bb

Este temor a ciberataques han recrudecido desde que en febrero del año en curso, cuando un grupo de ciberdelicuentes sustrajo la cantidad de U$D81 millones de dólares en fondos que el Banco Central, Bangladesh Bank, (en español el Banco de Bangladesh), que tenía depositados en una cuenta en el propio banco del Federal Reserve Bank of New York, (en español Reserva Federal de Nueva York), que por decir lo menos, se preciaba de ser uno de los más seguros a nivel mundial. En ese caso, la intrusión se realizó a través de la red SWIFT “Society for Worldwide Interbank Financial Telecommunication”, una red global utilizada por todas las grandes instituciones financieras para ordenar y ejecutar transferencias de manera segura e inmediata. En esta oportunidad Cibercriminales utilizaron un malware, que en opinión de Sergei Shevchenko, un investigador de seguridad de BAE Systems, sería apenas una parte de un “kit de herramientas de ataque más amplio” que fue empleado para ejecutar lo que ha sido uno de los grandes y espectaculares robos cibernéticos de la historia.

Sergei Shevchenko, informó en el Blog de BAE Systems, que el código empleado en el ataque al Federal Reserve Bank of New York, de febrero “podrían ser usadas factiblemente para ataques
similares en el futuro.
” Este malware, detectado por ESET como una variante de Win32/Agent.XZH, es significativamente muy complejo, gracias a que contiene una funcionalidad “sofisticada”, que le permitió acceder al “software local de SWIFT Alliance Access que se ejecuta en la infraestructura de la víctima“, por lo que cualquier institución financiera global que emplee este SWIFT, estará en peligro de ser atacado de la misma manera.

baesystems-ai-sergei-shevchenko-swift-theat

De hecho, en ese informe de marzo a juicio de Sergei Shevchenko, “El atacante puso un esfuerzo significativo en borrar la evidencia de sus actividades, trastornando los procesos de negocio normales para permanecer sin ser detectado y obstaculizando por una posible respuesta de la víctima“, cosa que en realidad ocurrió.

Este hecho en sí mismo, es preocupante, ya que SWIFT, es el proveedor global de servicios seguros de mensajería financiera, que es usado por bancos para transferir miles de millones de dólares día tras día en el sector interbancario. Esto obligó a que todas las instituciones financieras que ejecutan SWIFT Alliance Access y otros sistemas similares revisaran seriamente su seguridad para asegurarse que no están expuestos por la vulnerabilidad detectada por el malware.

La posición de SWIFT

swift-position

Por su parte SWIFT respondió directamente a la prensa que el malware detectado no impacta en sus servicios centrales de mensajería ni en su red indicando lo siguiente: “Entendemos que el malware está diseñado para esconder los rastros de pagos fraudulentos de las aplicaciones locales de base de datos de los clientes y solo puede ser instalado en los sistemas locales de los usuarios por atacantes que han identificado y explotado exitosamente debilidades en su seguridad local“, aclarando que en ningún momento la red SWIFT en sí no puede ser vulnerada por un ataque de este tipo, ya que sólo ataca al terminal del lado del cliente.

Lo que llamó la atención de este ataque sufrido por el Federal Reserve Bank of New York, es que de no ser por un simple error ortográfico por parte de los atacantes, éstos podrían haber transferido hasta U$D1.000 millones de dólares de la cuenta del Bangladesh Bank. De igual forma, este movimiento no pasó inadvertido a los oficiales bancarios quienes notaron la extrañeza de la operación, informando del desvío ilegal de fondos.

Durante este ataque, se ejecutaron 4 órdenes de transferencia de fondos desde la cuenta del banco a diferentes entidades de Filipinas y Sri Lanka, para no levantar sospechas dado que habitualmente ese banco envía órdenes de transferencias a esas zonas, pero la quinta orden de transferencia hizo saltar las alarmas de los responsables del monitoreo de operaciones motivado a que los delincuentes escribieron erróneamente una palabra en inglés y sobre todo el breve espacio de tiempo en las operaciones entre una y otra transacción.

Las transacciones enviaron fondos a casinos de Filipinas, para aprovechar la laxa legislación que existe en los mismos, que los exime de tener que identificar el origen de los fondos de sus clientes.

Más bancos afectados

2-more-banks-affected

Posteriormente, se conoció en mayo de este mismo año, el caso del banco ecuatoriano Banco del Austro, el cual fue víctima de un ataque informático perpetrado hace 15 meses atrás, en el cual le fueron sustraídos unos €11,2 millones de euros, en el cual, gracias a una manipulación de la base de datos de SWIFT les había impedido descubrir el golpe sino hasta más de un año después del ataque. Luego, ese mismo mes, en el otro lado del mundo, en Asia específicamente, el banco vietnamita Tien Phong Commercial Joint Stock Bank, denunció haber sido víctima de un ataque informático que empleaba el mismo “modus operandi” y que derivó en la sustracción de U$D1 millón de euros.

Hasta el momento fue la lista de los bancos que reconocieron ser atacados este mismo año bajo esa modalidad, pero es indudable que es posible que existan bancos que no hayan manifestado públicamente haber sido víctimas de un ataque de este tipo, para evitar los problemas de relaciones públicas y con sus stockholders (en español accionistas).

SWIFT, parece ser el nuevo objetivo de ciberdelincuentes

swift-target

Gracias a todas éstas noticias, el mito de la seguridad infranqueable de los sistemas de pagos interbancarios queda desmentido en su totalidad, pues aunque el objeto del ataque en sí no es la red SWIFT, si es el canal por el cual se sustrae indebidamente el dinero de los bancos. Indudablemente, el punto de falla del sistema SWIFT, es en primer lugar la forma en la que se asignan y custodian las credenciales de acceso a los clientes y en segundo lugar, los terminales que se usan para el acceso a SWIFT, que al ser infectados por el malware, roban credenciales, claves de acceso y hasta otorgan a los atacantes, acceso remoto al sistema vulnerado.

En el mismo ataque al банк Российской, el banco central de Rusia, es posible que se haya empleado el mismo “modus operandi”, pero hasta el momento no se han ofrecido mayores detalles al respecto, por lo que la prensa especializada, basándose en comentarios de algunos analistas de seguridad, se declinan por pensar que dicho banco también fue atacado de la misma manera.

Bajo sospecha

lazarus-hackers-group

Diferentes fuerzas de seguridad en materia de fraudes financieros y hasta la Interpol, atribuyen todas las intrusiones señaladas a una banda de cibercriminales conocida como Lazarus, posiblemente vinculada con el régimen norcoreano de Pyong Yang, por lo que sus acciones se enmarcan más allá del simple robo financiero y tienen un origen político más que todo.

De hecho, para las autoridades el perfil de la banda, los convierte en los primeros sospechosos a nivel mundial por ser especialistas en realizar este tipo de ataques, luego de haberse encontrado algunas líneas de código (reusadas) que son coincidentes entre los distintos ataques al sector financiero, así como otros de otro tipo que fueron realizados contra los gobiernos de EEUU y Corea del Sur, siendo hasta ahora el más relevante por su repercusión a nivel mediático el ataque a la multinacional japonesa Sony Pictures.

En todo caso, Lazarus es el principal señalado por las autoridades, pero hasta ahora es poco lo que pueden hacer, pues se desconoce la identidad y ubicación real de sus integrantes.

Curándose en salud, la banca acumula Bitcoin

ransomware-warning

El ataque a los sistemas para obtener un rédito económico a través del hurto de dinero electrónico no es el único problema de seguridad que debe atender la banca a nivel mundial, pues el Ransomware y los ataques DDoS están haciendo estragos en muchos sistemas a nivel mundial, por su empleo cada vez mayor para someter a sus víctimas a pagar fuertes sumas para liberarse de dichos ataques.

La ciberextorsión a cambio de criptomonedas son cada vez más frecuentes, por ello podemos ver ataques de Ransomware como el ocurrido hace una semana al metro de San Francisco, en California, EE.UU., en el cual un malware con la capacidad de encriptar todo el disco duro de la víctima, secuestró una cifra cercana a los 2000 computadores, para lo cual se exigieron unos 100 Bitcoins (U$D73.000) para ese momento, de forma que pudieran recibir la clave de desencriptado para liberar los equipos o los ataques DDoS, en los cuales se satura la capacidad de los servidores víctima, hasta hacerles caer por un período de tiempo, dejando paralizados los accesos a datos sensibles sobre sus operaciones y clientes.

Por supuesto, como los bancos no son ajenos a este tipo de ataques, algunas instituciones financieras que hacen vida en la City de Londres, en Reino Unido, han decidido acumular Bitcoins para pagar por un rescate en caso de ataque, ya que ello puede ser más económico que pagar las caras consecuencias de no hacerlo.

Esta decisión se vió reforzada por un informe de la compañía de ciberseguridad McAffee, donde quedó demostrado que el ransomware había aumentado un 128% durante este mismo año, por lo que la banca de la City de Londres, tomó la decisión de protegerse ante una eventual escalada en los ataques que les impida acceder a la prestación de servicios de forma prolongada.

ethical-hacking

Estos escenarios de ciberataques al sector financiero demuestran que todos los sistemas son vulnerables y por ende, es posible que sean víctimas de pérdida de dinero, datos o la confianza de sus clientes algo que sin duda pondría en peligro el negocio bancario a nivel global.

Las ciberamenazas hacia el sector financiero son posibles por las jugosas ganancias que pueden dejar en una sola operación de intrusión, por ello es relevante que las instituciones financieras presten especial atención a sus áreas de sistemas y al personal que labora en ellas, de manera que tengan el mejor equipo posible que sea capaz de brindar el monitoreo y soporte necesario, que ofrezcan soluciones rápidas ante un eventual ataque de este tipo.

Algo importante de resaltar es que el sector financiero ruso supuestamente advirtió que está preparándose para enfrentar futuros ciberataques, con la finalidad de neutralizarlos o mitigar sus pérdidas. No obstante, ello es una labor titánica y que es poco probable que tenga éxito, pues los atacantes siempre llevan a su favor el sigilo y en la mayoría de los casos llevan días navegando en sus redes para encontrar las vulnerabilidades a explotar antes de que pudieran tan siquiera ser realmente detectados. Quizás, lo más importante es una labor preventiva en cuanto a seguridad, la contratación de expertos de primer nivel que puedan mantener los sistemas en un nivel aceptable de seguridad.

Si te ha gustado esta nota, puedes considerar hacer una donación al responsable del artículo, patrocinarle o simplemente regalarle una propina, ingresando en este Link: EspacioBit.com.ve: Donaciones y Patrocinios 🙂 indicando vía email a quién va dirigida dicha propina. Gracias.

Fuentes: CBR.ruBB.org.bd, NewYorkFED.org, SWIFT.com, BAESystemsAI.Blogspot.co.uk: BAE Systems Threat Research Blog: Two bytes to $951m, BancodelAustro.com, TPB.vn.

Otros fuentes y links de interés en inglés/español: WSJ.com: Russian Central Bank: Hackers Stole $31 Million From Correspondent Accounts, Mundo.SputnikNews.com: Los bancos rusos se preparan para reaccionar a posibles ciberataques.

Compártelo - Share it!
  • Yum
- Publicidad/Advertisement -

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.