Los bancos gastan tres veces más en seguridad informática que organizaciones de otros sectores
De acuerdo con la investigación de Riesgos de Seguridad de las Instituciones Financieras realizada por Kaspersky Lab y B2B International, la inversión en seguridad es una prioridad para los bancos e instituciones financieras. Debido a que padecen ataques dirigidos tanto a su infraestructura como a sus clientes, los bancos comerciales gastan tres veces más en seguridad de TI que las instituciones no financieras de tamaño similar. Además, 64% de los bancos asegura que invertirá en mejorar su seguridad informática, independientemente del retorno que se obtenga del capital invertido, a fin de satisfacer las crecientes demandas de la autoridad regulatoria, la alta dirección e incluso de sus clientes.
A pesar de que los bancos realizan esfuerzos minuciosos y destinan recursos para defender sus perímetros contra amenazas cibernéticas conocidas y desconocidas, ha resultado difícil proteger la variedad de infraestructura de TI existente, desde la tradicional a la especializada, cajeros automáticos y terminales de punto de venta. El vasto y cambiante panorama de amenazas, junto con el desafío de mejorar los hábitos de seguridad de los clientes, ofrece a los estafadores cada vez más vulnerabilidades a explotar.
Riesgos emergentes: ataques de ingeniería social en cuentas bancarias
Los riesgos emergentes relacionados con las transacciones bancarias móviles se destacan en el informe como una tendencia que puede exponer a los bancos a nuevas amenazas cibernéticas. El 42% de los bancos predice que la mayoría de sus clientes utilizarán transacciones bancarias móviles en los próximos tres años, pero admiten que los usuarios son demasiado descuidados en su comportamiento en línea. La mayoría de los bancos encuestados (46 %) admitió que sus clientes frecuentemente reciben ataques de phishing, mientras que 70 % de los bancos también informó sobre incidentes de fraude financiero que dan como resultado pérdidas monetarias.
Los crecientes ataques de phishing y de ingeniería social a los clientes han provocado que los bancos reevalúen sus esfuerzos de seguridad en esta área. El 61% de los encuestados ve la mejora de la seguridad de las aplicaciones y de los sitios web que sus clientes utilizan como una de sus prioridades, seguida muy de cerca por la implementación de una autenticación y verificación más compleja de los detalles de inicio de sesión (prioridad clave para un 52%).
A pesar de que son vulnerables a los trucos de phishing y de herramientas que apuntan a sus clientes, los bancos están incluso más preocupados por otro ‘viejo enemigo’: los ataques dirigidos. Y tienen buenas razones para estar preocupados: los métodos utilizados en los ataques dirigidos son cada vez más comunes, con la utilización de plataformas de malware como servicio para dañar a las organizaciones financieras.
Ataques dirigidos: amenazas persistentes
La experiencia de incidentes reales nos muestra que las inversiones en seguridad para la industria financiera, en la mayoría de los casos, valen la pena. Las instituciones financieras informan de un número significativamente menor de acontecimientos en comparación con la seguridad que empresas de tamaño similar en otras industrias, con la única excepción de los ataques dirigidos y el malware. La detección de una actividad anormal y potencialmente maliciosa, que combina herramientas legítimas con malware sin archivos, requiere una combinación de soluciones avanzadas contra ataques dirigidos e inteligencia de seguridad extensa. Sin embargo, 59% de las empresas financieras aún no ha adoptado inteligencia de amenazas proporcionada por terceros.
Tipos de acontecimientos relacionados con la seguridad general: El malware y los ataques dirigidos son los únicos incidentes que las organizaciones bancarias experimentan más que sus colegas en otras industrias.
Compartir inteligencia contra amenazas ayudaría a los bancos a identificar más rápido amenazas nuevas y emergentes, un punto importante a considerar, teniendo en cuenta los bajos niveles de preocupación que los bancos muestran por algunos de sus dispositivos más vulnerables, como los cajeros automáticos. En este sentido, compartir más inteligencia de terceros podría ayudar a los bancos a prepararse para amenazas que de otra manera no se esperarían.
Protección a los cajeros automáticos (ATM): poca preocupación, alta vulnerabilidad
Los bancos muestran niveles comparativamente bajos de preocupación relacionados con la amenaza de pérdidas financieras por los ataques a cajeros automáticos (ATM), a pesar de ser muy vulnerables a ataques de esta naturaleza. Solamente 19% de los bancos está preocupado por los ataques a sus cajeros automáticos y a las máquinas para retirar efectivo, a pesar de la creciente tasa de malware dirigido a esta parte de la infraestructura de los bancos (en la reseña de amenazas de 2016 informamos de un crecimiento de 20% de malware en ATM en comparación con 2015).