Un paso adelante del Fraude

Andreas Piiters Ostenfeldt

Gerente – Laboratorio Forense EY
 Año 2021

USD 6,000,000,000,000

COP 18,000,000,000,000,000
¿Quiénes atacan y qué tan exitoso es un ataque cibernético?

5% de los ataques son patrocinados por gobiernos – 98% de tasa de éxito.

20% de los ataques son de Ciber Criminales – 20% de tasa de éxito.

80% de los ataques son “Hacktivists & Script Kiddies” – 1% de tasa de éxito.
Capacidad de
Confianza en el mercado
ganar clientes

Despidos Existencia de la
empresa a largo plazo

Multas Caída del valor de la

empresa
2 X Cyber Attacks – 1.5 Mil Millones de Usuarios

2017

USD 350,000,000 – 7,25% del valor de la empresa

COP 1,050,875,325,846
Para ustedes ¿Que área
tiene el mayor riesgo
en Crimen Cibernético?

1 Palabra
Caso:
Banco de México
En el 2018, el sistema financiero mexicano fue victima de ciberataques, cinco de los cuales fueron confirmados por el Banco de México.
Estos incidentes generaron pérdidas estimadas en aproximadamente USD 21 millones, manipulando el Sistema de Pagos Electrónicos Interbancarios (SPEI), entre
el 17 de abril y el 8 de mayo.

El banco central confirmó, al resumir las conclusiones a las Auditorías Forenses aplicadas a los bancos afectados, que la vulnerabilidad que originó el evento de
cibersegurdad inició en los sistemas desarrollados por un tercero.

Una de las instituciones afectadas reconoció la explotación de una vulnerabilidad en el servicio Web que conecta sus sistemas con SPEI, aunque aseguró que el
incidente no afectó a ninguno de sus clientes.

Luego, a medida que la investigación fue avanzando se conoció públicamente que los atacantes lograron realizar transferencias no autorizadas hacia cuentas
creadas para este propósito y cuentas de usuarios legítimos. Posteriormente, en una compleja red de participantes, parte de esos fondos habrían sido extraídos
en distintas localidades a través de cajeros automáticos o ventanillas.

A los 17 días de haber sido objeto de ciberataques en el sistema de conexión de bancos al SPEI, el Banxico formalizó la creación de una nueva Dirección de
Ciberseguridad.

A fines de julio, el Banxico endureció las medidas de seguridad que deben seguir las instituciones financieras que participan en el SPEI, entre las que se
encuentran pruebas de confianza a su personal y a terceros involucrados en los procesos, así como la designación de oficiales de seguridad que sean
responsables de diseñar y ejecutar la verificación de políticas de prevención de riesgos de seguridad así como de implementar medidas correctivas.

¿Qué puede hacer auditoría interna para mitigar el riesgo?

▪ Verificar que las nuevas políticas de prevención sean debidamente implementados.
▪ Validar que las medidas correctivas sean efectivas.
Caso:
Banco de Chile
En mayo 2018, en el Banco de Chile, desconectó unas 9 mil estaciones de trabajo en sus sucursales en un intento por frenar la propagación de un virus. Tras ello
se generaron cuatro transacciones fraudulentas que lograron sustraer cerca de USD 10 millones.
El ciberataque que sufrió el banco sólo afectó a dineros de la institución y no a los fondos de los clientes. No se perdió ningún tipo de información, ni claves, ni
fondos de los clientes.

El tipo de ataque fue “sabotaje” “Este era un evento destinado a dañar al banco, se dieron cuenta que ese era el objetivo y cuadraba con un tipo especifico de
banda criminal”.

Al darse cuenta, desde el banco comenzaron a cancelar dichas operaciones, pero cuatro tuvieron éxito.
El ataque provino de Europa del Este o China, país al que se dirigió la mayor parte de los fondos, por lo que el Banco de Chile comenzó acciones legales en Hong
Kong.

¿Qué puede hacer auditoría interna para mitigar el riesgo?

▪ Usar Data Analytics para monitorear transacciones con características similares en el futuro (el ciber criminal
de pronto todavía existe en el sistema).
▪ Asegurar que la investigación forense cubre todas las áreas necesarias.
▪ Pedir registros de transacciones y cualquier movimiento de red hacia áreas geográficas similares para
identificar posibles movimientos inusuales.
▪ Validar si el equipo de Seguridad / TI tiene suficientes recursos y herramientas (¿por qué entro un malware?).
Caso:
Distribuidor de Automóviles
En 2018, un distribuidor de Automóviles perdió 1.2 millones de dólares cuando un hacker cambio la cuenta de banco de un proveedor. El ciber criminal había
infiltrado los sistemas contables y correos electrónicos por 6 meses antes de cambiar la cuenta, escalando privilegios para obtener correos internos de la
compañía y entendiendo el método de negocio con cada proveedor. La empresa pagó una transferencia internacional común a un nuevo número de cuenta,
después de haber recibido un correo electrónico por parte del proveedor pidiendo cambio de la cuenta. Verificando el correo del proveedor en detalle, el
dominio era similar, pero no real.

¿Qué puede hacer auditoría interna para mitigar el riesgo?

▪ Verificar los protocolos de cambio de cuentas bancarias de los clientes.
▪ Monitorear frecuentemente cambios de cuentas y que tienen todos los pasos de seguridad necesarios.
▪ Verificar registros de correos electrónicos para validar usuarios no autorizados presentes en el sistema.
▪ Revisión de políticas e informar al comité de auditoría la falta de entrenamiento en temas de “phishing” o
ingeniería social.
Caso:
Empresa Privada en Colombia
Una Empresa Privada en Colombia perdió control sobre el ambiente de calidad de su plataforma tecnológica perdiendo 1 mes completo de desarrollo preparado
para producción. Después de la investigación forense, se encontró que la Compañía no había desactivado adecuadamente el acceso de un ex-empleado que salió
descontento. El ex-empleado entró a la infraestructura y borró segmentos de sistema. La empresa no tenia un respaldo adecuado del sistema y perdió todo el
trabajo hecho. El costo interno de desarrollo mas el costo de investigación y acciones correctivas resulto en mas de COP. 900.000.000.

¿Qué se puede hacer para mitigar el riesgo?

▪ Verificar los protocolos de usuarios en el sistemas.
▪ Cruzar información entre RRHH e historial de empleados para estar pendiente de posibles personas con
comportamientos inusuales y crear una mapa de riesgo por los empleados identificados.
Caso:
Forever 21
La compañía confirmó que sufrió un robo de información de pagos de sus clientes, reportada el 14 de noviembre de 2017. Los datos que adquirieron los Ciber
Delincuentes fueron la información de tarjetas de crédito de los clientes, fecha de expiración de la tarjeta, y verificación de la tarjeta, en algunos casos
inclusive se logró adquirir los nombres de los dueños de las tarjetas de crédito afectadas.

El robo de los datos ocurrió ya que la compañía no había instalado software de cifrado en todos sus dispositivos de pago (Datafono). En la investigación
realizada detectaron accesos no autorizados en la red interna y encontraron malware instalado en sus dispositivos de pago, estos dispositivos guardan los
registros detallados de las tarjetas, al no tener un cifrado es blanco fácil para obtener la información.

Los datos personales de los clientes que fueron sustraídos podrían ser usados para tareas de robo o suplantación de identidad, podrían comprar objetos por
internet, ya que cuentan con la información necesaria para realizar este tipo de compras.

¿Qué se puede hacer para mitigar el riesgo?

▪ Instalar programas de cifrado o cifrar la información privilegiada.

▪ Validar que en todo los equipos, sin excepciones se encuentran cifrados cuando se maneja información
privilegiada.
▪ Validar en registros, movimientos inusuales en la red y verificar que las políticas de firewall estén
actualizadas.
 ¿Han leído las
Políticas y protocolos
de Ciber Seguridad
de su empresa?
¿El área de auditoria
interna, fraude y
ciberseguridad de su
empresa se reunen
frecuentemente para
discutir estrategias?
¿Saben dónde encontrar
fuentes de datos para
identificar posibles
incumplimientos en
protocoles de
cibersegurdad?
Para quienes dijeron que
sí, ¿Cuáles fuentes de
datos usan?
¿Tienen a alguien en su
área que habla
“cyber/TI”?
¿Dónde está la responsabilidad de Auditoría Interna?
▪ Incluir la toma de decisiones basadas en el riesgo en las operaciones
1 Línea de defensa diarias.
Funciones de Negocio ▪ Definir los umbrales de riesgo aceptados y escalar cualquier riesgo fuera
Funciones de TI de lo tolerado.
▪ Realizar procedimientos de mitigación de riesgos según corresponda.

2 Línea de defensa ▪ Establecer el modelo de gobierno de riesgos, incluidas las políticas y

TI normas.
Riesgos ▪ Implementar herramientas, procedimientos y monitoreo de mitigación de
riesgos.
▪ Supervisar el riesgo.

3 Línea de ▪ Evaluar de forma independiente la efectividad del programa.

defensa ▪ Reportar la efectividad de la gestión de riesgos a la junta.
Auditoría
▪ Cumplir con requerimientos de la ley Colombiana en ciberseguridad.
Interna
Dados los recientes ciberataques de alto perfil, las pérdidas de datos y las
expectativas regulatorias, es fundamental para la auditoría interna conocer los
riesgos cibernéticos y electrónicos y estar preparado para abordar las preguntas y
preocupaciones planteadas por el comité de auditoría y la junta directiva.
5 componentes importantes para combatir el Crimen Cibernético

Continuidad del
Protección Negocio
Enfoque
Cibernético de
Auditoría Interna

Manejo de
Crisis /
Detección Comunicación
Mejoramiento
continuo
 ¿Qué puede hacer auditoría interna con relación al Crimen Cibernético?

Qué puede hacer auditoría interna?

Evaluar el programa de
Identificar y actuar Hacer énfasis en que el
Aprovechar la seguridad cibernética de la
sobre las monitoreo de seguridad
relación con el organización contra el marco
oportunidades para cibernética y la respuesta a
comité de de seguridad cibernética
mejorar la incidentes cibernéticos debe
auditoría y la como el NIST, reconociendo
capacidad de la ser una prioridad de la alta
junta para Asegurarse que debido a que el marco
organización para gerencia, un claro protocolo
aumentar la que el riesgo no llega al nivel de control,
identificar, evaluar puede ayudar a justificar y
conciencia y el de seguridad el programa de
y mitigar el riesgo sostener esta prioridad.
conocimiento cibernética cibersegurdad puede requerir
de cibersegurdad a
sobre las esté evaluaciones adicionales de
un nivel aceptable.
amenazas formalmente ISO 27001 y 27002.
cibernéticas y integrado en
asegurarse que la el plan de
Reconocer que el junta siga muy auditoría. Actualizarse y Abordar cualquier escasez de
riesgo de comprometida tener una recursos y de personal de TI
Buscar oportunidades para
seguridad con los asuntos compresión / Auditoría, así como la falta
comunicarle a la gerencia que, con
cibernética no es de seguridad actual de como de tecnología / herramientas
respecto a la cibersegurdad, la
solo externo. cibernética y las tecnologías y de apoyo, las cuales pueden
capacidad preventiva mas solida
Evaluar y mitigar esté al día sobre tendencias obstaculizar los esfuerzos
requiere una combinación de
las amenazas la naturaleza emergentes están para gestionar el riesgo de
seguridad humana y de tecnología,
potenciales que cambiante del afectando a la seguridad Cibernética.
una combinación complementaria
podrían resultar riesgo de empresa y su
de herramientas de educación,
de las acciones de cibersegurdad. perfil de riesgo
conciencia, vigilancia y tecnología.
un empleado o de
socio comercial. ciberseguridad.
 SOC
(security operations center)

1. Especialista en triage (separando el trigo de la paja)

2. Especialista encargado de respuesta a incidentes

3. Cazador de amenazas - Oportunidad para auditoría interna

4. Jefe de operaciones
 3. Cazador de amenazas - Oportunidad para auditoría interna

Defensa Activa

1.Recopilación de inteligencia local (legal): análisis de los registros propios de la organización, datos
. de tráfico de red y malware encontrados en el sistema
2.Recopilación de inteligencia remota
Violación de CFAA - Ley de fraude y abuso
3.Rastreando activamente el atacante y informático (EE. UU.) - acceso no autorizado a
sistemas y datos informáticos.
4.Atacando activamente al atacante
 1.Recopilación de inteligencia local (legal): análisis de los registros propios de la
organización, datos de tráfico de red y malware encontrados en el sistema

Cyber Breach Diagnostics / Diagnostico de Brechas Cibernéticos

.

Validación de Vectores de ataque

Reporte de Hallazgos

Prueba forense de artefactos digitales afectado por el vector

Investigación = Reactiva

Investigación = Proactiva
 ¡Gracias!
Andreas.Piiters@co.ey.com