Hace poco invitamos a cinco panelistas para que nos acompañen en nuestro evento sobre ciberseguridad y fraude para la serie Mesa Redonda Ejecutiva. Hablamos sobre diversos temas, desde qué motiva hoy a los hackers hasta biometría y cómo el COVID-19 ha hecho que la seguridad digital sea aún más difícil. Los panelistas fueron Tommy Nicholas, director ejecutivo y cofundador de Alloy; Chris McCurdy, vicepresidente a nivel mundial y gerente general de IBM Security; Cathy Ross, presidenta y cofundadora de Fraud.net, y Kevin Gosschalk, director ejecutivo y fundador de Arkose Labs.
La ciberseguridad y el fraude cibernético son una fuente de riesgo enorme y que sigue aumentando. Y aunque todos los sectores son vulnerables, los bancos y otras instituciones financieras son objetivos con su propio atractivo. Cuando le preguntaron al famoso ladrón de bancos Willie Sutton por qué robaba bancos, dijo: "Porque ahí es donde está el dinero". Si Sutton estuviera vivo hoy, no cabe duda de que sería un ciberdelincuente.
Cathy Ross, presidenta y cofundadora de Fraud.net, dice que las instituciones financieras enfrentan retos únicos. Además de los riesgos financieros más altos, las instituciones financieras también tienen infraestructuras complejas y operan en un entorno empresarial multifacético y altamente regulado, por eso son más difíciles de proteger.
Los ciberataques denunciados contra compañías de EE. UU. aumentaron aproximadamente un 70% del 2019 al 2020, generando unos $8 billones en pérdidas. Y la magnitud y alcance real del problema sin duda es mucho peor que lo que se informa, ya que el público en general solo se entera de estos ataques cuando sucede algo tremendamente malo. Es fundamental que las instituciones financieras refuercen sus defensas, y la tecnología es una de las armas más potentes para prevenir y mitigar ataques.
Medidas que pueden tomar los bancos para seguir siendo líderes en ciberseguridad
Tommy Nicholas, director ejecutivo y cofundador de Alloy, dice que parece haber una idea errónea muy común de que los bancos e instituciones financieras no están a la vanguardia de la ciberseguridad como otros tipos de empresas. Pero en su experiencia, eso no es cierto. De hecho, en muchos casos las instituciones financieras son las que impulsan las innovaciones en este tipo de cuestiones.
Desde su punto de vista, tampoco es cierto que el público solo piensa en ciberseguridad cuando algo sale mal. Hoy la gente está casi constantemente al tanto de las medidas de seguridad mejoradas que las empresas están tomando, así sea con exigencias de contraseñas complejas, reconocimiento digital y facial en nuestros teléfonos o al seleccionar un enlace para confirmar una acción en un sitio web. Las instituciones financieras son las que marcan el camino en esas áreas.
Entonces, ¿qué otras medidas podemos tomar para mejorar nuestra seguridad?
Asegurarse de estar preparados para la transformación digital causada por el coronavirus.
El siguiente nivel de seguridad más allá de las contraseñas es usar puntos de datos adicionales (como ubicación física, dirección IP y hora del día) para verificar una transacción que se está intentando ejecutar desde una ubicación y máquina válidas a una hora que tiene sentido. Pero con tanta gente que ahora accede a sistemas desde ubicaciones remotas y variadas (a toda hora del día y la noche), esas verificaciones adicionales son mucho menos utilizables y útiles. Y los entornos de trabajo remotos son mucho más difíciles de proteger físicamente que una oficina.
Según Chris McCurdy, vicepresidente a nivel mundial y gerente general de IBM Security, el COVID ha sido un catalizador para la transformación digital y migración a la nube. Pero muchos ejecutivos creen erróneamente que la nube es inherentemente segura y que los proveedores de servicios en la nube son responsables de garantizar la seguridad. A fin de cuentas, la organización es la responsable de la seguridad de sus sistemas y datos.
Considerar el riesgo de terceros.
El ransomware está en aumento, y combatirlo es responsabilidad de todos, desde el director general hasta las primeras líneas. Pero, según McCurdy, el problema que más preocupa a las instituciones financieras es en realidad el riesgo descendente, que se extiende a todo el ecosistema, no solo a terceros sino también a cuartas y quintas partes.
¿Cómo puede garantizar la seguridad de sus proveedores y socios empresariales y la de los proveedores y socios empresariales de ellos? Una cadena es tan fuerte como su eslabón más débil, y una vulnerabilidad en las profundidades de su ecosistema puede tener un impacto enorme en su capacidad de operar.
Usar inteligencia artificial para mejorar la seguridad.
Muchos de los ciberdelincuentes de hoy usan herramientas de contraseñas preexistentes y aprenden en YouTube. Según Gosschalk, muchos otros son expertos con nivel de doctorado que desarrollan sus propios métodos de ataque avanzados usando las últimas tecnologías de IA. Pero se les puede pagar con la misma moneda.
Al aprovechar los últimos avances en IA y aprendizaje automático, las instituciones financieras pueden implementar verificaciones de seguridad más inteligentes y robustas sin crear una carga onerosa para sus clientes y otros usuarios. También pueden detectar más rápido las amenazas ocultas y patrones de conducta anómalos.
Si la IA se aplica en estas cuestiones, la seguridad mejora porque los atacantes se ven obligados a esforzarse más en el frente para violar la seguridad, lo que les deja menos tiempo en los sistemas secundarios para explotar y monetizar ataques exitosos. Así se reduce su margen de ganancia y les da un incentivo económico mejor para lanzar un ataque en primer lugar.
Implementar autenticación de múltiples factores, biometría e inteligencia colectiva.
Según McCurdy, si todavía no implementó la verificación de múltiples factores, dese por atacado.
Las herramientas biométricas como el reconocimiento dactilar y facial están ganando popularidad, particularmente para aplicaciones móviles en teléfonos y tablets. Pero, según Ross, el próximo exitazo será la "inteligencia colectiva": compilar y comparar información sobre un usuario de muchas fuentes diferentes, incluyendo biometría, credenciales de inicio de sesión, pulsaciones de teclas, patrones de comportamiento, velocidad de compra, redes sociales y hasta la "dark web".
Lograr el equilibrio justo entre seguridad y practicidad.
Nicholas dice que es tentador pensar que si tan solo recibiera las señales de seguridad justas y las modelara a la perfección, podría detener cualquier fraude. Pero la gran pregunta que debe hacerse siempre ante cualquier actividad sospechosa es qué hará al respecto. ¿Va a simplemente desecharla?
La manera más fácil de eliminar el fraude es no tener ningún cliente. Por supuesto, así no se puede tener un negocio. Lo que buscamos siempre es lograr el equilibrio entre una seguridad robusta y conveniencia práctica. La respuesta correcta depende del contexto.
Según Gosschalk, un proceso de verificación integral del tipo "conozca su cliente" podría tener sentido para un banco, pero no tiene sentido para una plataforma de juegos porque la barrera para integrar nuevos usuarios sería mucho más alta y los riesgos no la justifican.
Según Nicholas la clave es el modelado de tipología, que permitiría a las instituciones financieras tomar diferentes niveles de medidas dependiendo de los indicios de fraude. Por ejemplo, si los indicios apuntan a que una persona es una mula de dinero, usted podría lidiar con esa tipología ejecutando un procedimiento automático que la dirija al sistema de autenticación de múltiples factores, verifique que todas sus comunicaciones provienen de esa persona y cierre todas sus capacidades de acceso a los fondos. Pero para una tipología diferente relacionada con phishing y credenciales falsificadas, lo que podría hacer es marcar sus transacciones para que se las monitoree y bajar sus límites de la cámara de compensación automatizada (ACH, por sus siglas en inglés).
Mantenerse un paso adelante de las amenazas.
Nicholas dice que nunca ha vista los vectores de fraude cambiar con tanta rapidez como lo han hecho en el último año. Por eso las instituciones financieras tienen que ser ágiles y saltar de una táctica a la otra. El modelado puede ayudar a las compañías a comprender lo que está sucediendo y desarrollar soluciones elegantes en vez de simplemente pasarle la carga a los usuarios agregando más capas de controles y verificaciones, algo que se puede tornar muy pesado.
A fin de cuentas, las instituciones financieras tienen que empezar a ser más rápidas en responder y mucho más fluidas en su manera de abordar la ciberseguridad, dice Ross. Los enfoques estándar con respecto al desarrollo e implementación de soluciones normalmente requieren de 12 a 18 meses, lo que hace que sea difícil adelantarse a los delincuentes. La agrupación de proveedores puede ayudar a las compañías a adoptar nuevas soluciones y tecnologías con mayor rapidez porque se puede crear un mismo complemento para la infraestructura de ciberseguridad, lo que requiere mucho menos tiempo e inversión para desarrollo e implementación.
Estar al tanto no es suficiente: para establecer una seguridad efectiva hay que actuar.
Que la gente esté al tanto de los problemas de seguridad y conozca cuáles son las mejores prácticas es un primer paso importante, pero no es suficiente. Para establecer una seguridad efectiva, las personas de una organización tienen que cambiar su comportamiento y ese mensaje debe venir desde arriba, afirma McCurdy. Cuando los mensajes de seguridad vienen del director ejecutivo, es un mandato. Las bonificaciones para la gerencia deberían estar vinculadas a la seguridad, lo que crearía un destino compartido en vez de poner la responsabilidad sobre el director de informática o el ejecutivo que tenga la tarea formal de encargarse de la seguridad.
La comunicación y la colaboración son fundamentales.
Hoy los delincuentes se comunican y colaboran entre sí mucho mejor que los buenos. Trabajar juntos y compartir información es una parte clave de su estrategia de ataque. Para enfrentar este reto, las instituciones como la nuestra deben promover la comunicación y compartir información sobre ciberseguridad y fraude dentro de la empresa y en todo el sector de servicios financieros.