Banks">
Un Paso Adelante Del Fraude
Un Paso Adelante Del Fraude
Un Paso Adelante Del Fraude
USD 6,000,000,000,000
COP 18,000,000,000,000,000
¿Quiénes atacan y qué tan exitoso es un ataque cibernético?
80% de los ataques son “Hacktivists & Script Kiddies” – 1% de tasa de éxito.
Capacidad de
Confianza en el mercado
ganar clientes
Despidos Existencia de la
empresa a largo plazo
2017
1 Palabra
Caso:
Banco de México
En el 2018, el sistema financiero mexicano fue victima de ciberataques, cinco de los cuales fueron confirmados por el Banco de México.
Estos incidentes generaron pérdidas estimadas en aproximadamente USD 21 millones, manipulando el Sistema de Pagos Electrónicos Interbancarios (SPEI), entre
el 17 de abril y el 8 de mayo.
El banco central confirmó, al resumir las conclusiones a las Auditorías Forenses aplicadas a los bancos afectados, que la vulnerabilidad que originó el evento de
cibersegurdad inició en los sistemas desarrollados por un tercero.
Una de las instituciones afectadas reconoció la explotación de una vulnerabilidad en el servicio Web que conecta sus sistemas con SPEI, aunque aseguró que el
incidente no afectó a ninguno de sus clientes.
Luego, a medida que la investigación fue avanzando se conoció públicamente que los atacantes lograron realizar transferencias no autorizadas hacia cuentas
creadas para este propósito y cuentas de usuarios legítimos. Posteriormente, en una compleja red de participantes, parte de esos fondos habrían sido extraídos
en distintas localidades a través de cajeros automáticos o ventanillas.
A los 17 días de haber sido objeto de ciberataques en el sistema de conexión de bancos al SPEI, el Banxico formalizó la creación de una nueva Dirección de
Ciberseguridad.
A fines de julio, el Banxico endureció las medidas de seguridad que deben seguir las instituciones financieras que participan en el SPEI, entre las que se
encuentran pruebas de confianza a su personal y a terceros involucrados en los procesos, así como la designación de oficiales de seguridad que sean
responsables de diseñar y ejecutar la verificación de políticas de prevención de riesgos de seguridad así como de implementar medidas correctivas.
El tipo de ataque fue “sabotaje” “Este era un evento destinado a dañar al banco, se dieron cuenta que ese era el objetivo y cuadraba con un tipo especifico de
banda criminal”.
Al darse cuenta, desde el banco comenzaron a cancelar dichas operaciones, pero cuatro tuvieron éxito.
El ataque provino de Europa del Este o China, país al que se dirigió la mayor parte de los fondos, por lo que el Banco de Chile comenzó acciones legales en Hong
Kong.
▪ Usar Data Analytics para monitorear transacciones con características similares en el futuro (el ciber criminal
de pronto todavía existe en el sistema).
▪ Asegurar que la investigación forense cubre todas las áreas necesarias.
▪ Pedir registros de transacciones y cualquier movimiento de red hacia áreas geográficas similares para
identificar posibles movimientos inusuales.
▪ Validar si el equipo de Seguridad / TI tiene suficientes recursos y herramientas (¿por qué entro un malware?).
Caso:
Distribuidor de Automóviles
En 2018, un distribuidor de Automóviles perdió 1.2 millones de dólares cuando un hacker cambio la cuenta de banco de un proveedor. El ciber criminal había
infiltrado los sistemas contables y correos electrónicos por 6 meses antes de cambiar la cuenta, escalando privilegios para obtener correos internos de la
compañía y entendiendo el método de negocio con cada proveedor. La empresa pagó una transferencia internacional común a un nuevo número de cuenta,
después de haber recibido un correo electrónico por parte del proveedor pidiendo cambio de la cuenta. Verificando el correo del proveedor en detalle, el
dominio era similar, pero no real.
El robo de los datos ocurrió ya que la compañía no había instalado software de cifrado en todos sus dispositivos de pago (Datafono). En la investigación
realizada detectaron accesos no autorizados en la red interna y encontraron malware instalado en sus dispositivos de pago, estos dispositivos guardan los
registros detallados de las tarjetas, al no tener un cifrado es blanco fácil para obtener la información.
Los datos personales de los clientes que fueron sustraídos podrían ser usados para tareas de robo o suplantación de identidad, podrían comprar objetos por
internet, ya que cuentan con la información necesaria para realizar este tipo de compras.
Continuidad del
Protección Negocio
Enfoque
Cibernético de
Auditoría Interna
Manejo de
Crisis /
Detección Comunicación
Mejoramiento
continuo
¿Qué puede hacer auditoría interna con relación al Crimen Cibernético?
Evaluar el programa de
Identificar y actuar Hacer énfasis en que el
Aprovechar la seguridad cibernética de la
sobre las monitoreo de seguridad
relación con el organización contra el marco
oportunidades para cibernética y la respuesta a
comité de de seguridad cibernética
mejorar la incidentes cibernéticos debe
auditoría y la como el NIST, reconociendo
capacidad de la ser una prioridad de la alta
junta para Asegurarse que debido a que el marco
organización para gerencia, un claro protocolo
aumentar la que el riesgo no llega al nivel de control,
identificar, evaluar puede ayudar a justificar y
conciencia y el de seguridad el programa de
y mitigar el riesgo sostener esta prioridad.
conocimiento cibernética cibersegurdad puede requerir
de cibersegurdad a
sobre las esté evaluaciones adicionales de
un nivel aceptable.
amenazas formalmente ISO 27001 y 27002.
cibernéticas y integrado en
asegurarse que la el plan de
Reconocer que el junta siga muy auditoría. Actualizarse y Abordar cualquier escasez de
riesgo de comprometida tener una recursos y de personal de TI
Buscar oportunidades para
seguridad con los asuntos compresión / Auditoría, así como la falta
comunicarle a la gerencia que, con
cibernética no es de seguridad actual de como de tecnología / herramientas
respecto a la cibersegurdad, la
solo externo. cibernética y las tecnologías y de apoyo, las cuales pueden
capacidad preventiva mas solida
Evaluar y mitigar esté al día sobre tendencias obstaculizar los esfuerzos
requiere una combinación de
las amenazas la naturaleza emergentes están para gestionar el riesgo de
seguridad humana y de tecnología,
potenciales que cambiante del afectando a la seguridad Cibernética.
una combinación complementaria
podrían resultar riesgo de empresa y su
de herramientas de educación,
de las acciones de cibersegurdad. perfil de riesgo
conciencia, vigilancia y tecnología.
un empleado o de
socio comercial. ciberseguridad.
SOC
(security operations center)
4. Jefe de operaciones
3. Cazador de amenazas - Oportunidad para auditoría interna
Defensa Activa
1.Recopilación de inteligencia local (legal): análisis de los registros propios de la organización, datos
. de tráfico de red y malware encontrados en el sistema
2.Recopilación de inteligencia remota
Violación de CFAA - Ley de fraude y abuso
3.Rastreando activamente el atacante y informático (EE. UU.) - acceso no autorizado a
sistemas y datos informáticos.
4.Atacando activamente al atacante
1.Recopilación de inteligencia local (legal): análisis de los registros propios de la
organización, datos de tráfico de red y malware encontrados en el sistema
Reporte de Hallazgos
Investigación = Proactiva
¡Gracias!
Andreas.Piiters@co.ey.com