Cooperar estrechamente es la manera para que los bancos contrarresten el cibercrimen

03/02/2015 | Martin Arnold – Financial Times Español

Tres hackers entraron recientemente en la sala de consejos de un gran banco europeo. Con suma agilidad pronto “aterrorizaron” a los altos ejecutivos al mostrarles cuán fácil era infiltrarse en la mayor parte de sus vidas, de acuerdo a uno de los presentes.

En pocos minutos habían demostrado cómo podían robarles su identidad, tomar el control de sus teléfonos móviles, escuchar sus conversaciones, e incluso espiarlos a través de las cámaras de sus propios teléfonos móviles.

Afortunadamente esto no era un ataque de hackers. Este trío había sido contratado por el banco para ayudarlo a combatir la ola de ciberataques que se está convirtiendo en una preocupación tanto para los ejecutivos como para los reguladores. “Incluso los hackers maduran y tienen familias y quieren sentar cabeza”, explicó su jefe.

Esta estrategia de reclutar cazadores furtivos y convertirlos en guardas es solo una de las muchas maneras que los bancos utilizan para combatir lo que algunos consideran el principal riesgo para sus empresas.

De varias maneras, los reguladores han hecho más seguro el sistema bancario en los últimos años – de forma notable al incrementar la cantidad de capital y valores líquidos que los bancos deben tener para prevenir cualquier repetición de la crisis financiera de hace seis años. ¿Pero qué tal si la siguiente crisis no viene de los propios balances de los bancos sino del ciberespacio?

Imagina el pánico que seguiría al aviso que se verían forzados a realizar bancos como bank of America o Wells Fargo si una mañana dijeran a sus clientes que no podrían disponer de su dinero debido a que el banco estaba siendo atacado por cibercriminales que intentaban robarlos. Si los clientes de otros bancos se preocuparan porque los hackers pudieran comenzar a atacarlos podría haber una estampida con el fin de retirar efectivo de las sucursales a lo largo del país, provocando una retirada masiva de fondos en los bancos, la cual podría finalmente causar una crisis financiera.

En el último año, los reguladores han empezado a darse cuenta de esta amenaza. Los sistemas de Tecnología de la Información ya forman parte de los exámenes continuos por parte de los reguladores, incluyendo a la reserva federal de los EE. UU. y la Office of the Comptroller of the Currency.

Incluso llevaron el tema más allá de lo establecido después de que el año pasado hackers robaron a JPMorgan información de contacto de 76 millones de hogares y 7 millones de pymes.

Pero cuando se les pregunta si podrán evitar futuros ataques y qué harán si sus sistemas son penetrados, los banqueros no parecen muy confiados. “Es inevitable que una importante institución sistémica caiga en algún momento”, dice el jefe de tecnología de un gran banco. Si sucede lo peor, dice este jefe, los sistemas del banco regresarán al “último momento de integridad” al recuperar información desde los sistemas de respaldo, alguna de la cual está almacenada físicamente en cinta – “en una versión mejorada del portafolio plateado con esposas”.

Y mientras los bancos anualmente están gastando cientos de millones de dólares en defenderse ellos mismos, los ejecutivos dicen que son tan fuertes como el punto más débil de la cadena. Estos potenciales puntos débiles incluyen a subcontratistas, vendedores y proveedores utilizados por las instituciones financieras.

Otro talón de Aquiles podría ser la infraestructura compartida que forma las cañerías del sistema financiero global. ¿Y si hubiera un ataque al Sistema Internacional de pagos swift, el cual dicen los financieros que es más vulnerable que los bancos de manera individual? ¿Y qué hay de los sistemas que permiten funcionar a los mercados de divisas con sus 5 billones de dólares?

La última área de preocupación es si los bancos pueden contraatacar los ordenadores que creen están siendo utilizados en su contra. Bloomberg ha informado que el Federal Bureau of Investigation intenta aclarar si hackers trabajando en representación de instituciones estadounidenses inutilizaron servidores que el año pasado estaban siendo utilizados por Irán para atacar sitios web bancarios.

En el Reino Unido, la Computer Misuse Act declaró ilegal que un banco realizara cualquier ciberataque contra otro ordenador dentro del país. Pero muchos ataques se originan en ordenadores ubicados en el extranjero que no están en el mismo país donde se ubican los hackers – y sus dueños en el extranjero a menudo no saben que sus máquinas están siendo utilizadas de esta manera.

“Es muy difícil para los bancos tomar acciones preventivas contra los hackers”, dice Julian Cunningham-Day, socio de la firma de abogados Linklaters. “Hay muchas restricciones legales para las organizaciones del sector privado que les prohíben tomar acción directa, así que puedes meterte en problemas rápidamente”.

Sin embargo, si continúan contratando al tipo de personas que los han estado atacando durante años, es posible que los bancos se sientan tentados a emprender acciones por su cuenta – y el lanzar ofensivas contra los cibercriminales probablemente no termine bien. Los bancos deberían enfocarse en cooperar de manera más estrecha con sus competidores, organismos estatales de seguridad y servicios de inteligencia para estar por delante de esta creciente amenaza.

Closer co-operation is the way for banks to counter cyber crime

02/03/2015 | Martin Arnold – Financial Times English

Three hackers recently strolled into the boardroom of a large European bank. Moving swiftly, they were soon “terrifying” the bank’s top executives by showing them how easy it was to infiltrate most aspects of their lives, according to one of those present.

In a few minutes, they had demonstrated how they could steal the executives’ identities, take control of their mobile phones, eavesdrop on their conversations, and even spy on them through the phones’ inbuilt cameras.

Fortunately, this was not a hacker heist. The trio had been hired by the bank to help it combat a wave of cyber attacks that is becoming a serious concern for both executives and regulators. “Even hackers get older and have families and want to settle down,” explained their boss.

This poacher-turned-gamekeeper recruitment strategy is just one of many ways in which banks are trying to combat what some consider the main risk to their businesses.

Regulators have, in some ways, made the banking system safer in recent years – notably by increasing the amount of capital and liquid assets that banks must hold to prevent any repeat of the financial crisis of six years ago. But what if the next crisis comes not from the banks’ own balance sheets but from cyberspace?

Imagine the panic that would ensue if the likes of bank of America or Wells Fargo were forced to tell their customers one morning that they could not access their money because the bank was under attack from cyber criminals trying to rob them. If customers at other banks worried that the hackers might start targeting them next, there could be a rush to withdraw cash from branches across the country, leading to a run on the banks that could ultimately cause financial meltdown.

In the past year or two, regulators have been waking up to this threat. IT systems are now part of regular examinations by regulators, including the US Federal Reserve and the Office of the Comptroller of the Currency.

They pushed the issue even further up the agenda after hackers stole contact details for 76m households and 7m small businesses from JPMorgan Chase last year.

But, when pressed on whether they can fend off future attacks and what they will do if their systems are penetrated, bankers hardly sound very reassuring. “It is inevitable that a systemically important institution will go down at some point,” says the head of technology at one big bank. If the worst happened, the technology head says the bank’s systems would revert to the “last moment of integrity” by recovering data from back-up systems, some of which are physically stored on tape – “in a scaled up version of a silver suitcase with handcuffs”.

And while banks are spending hundreds of millions of dollars a year on defending themselves, executives say they are only as strong as their weakest link. Such potential weak points include the third-party contractors, vendors, and suppliers that large financial institutions use.

Another Achilles heel could be the shared infrastructure that forms the plumbing of the global financial system. What if there was an attack on the swift international payments system, which financiers say is more vulnerable than individual banks? How about the systems that allow the $5tn-a-day foreign exchange markets to function?

The latest area of concern is whether banks can counter-attack against computers they believe are being used against them. Bloomberg has reported that the Federal Bureau of Investigation is looking into whether hackers working on behalf of US institutions disabled servers that were being used by Iran to attack bank websites last year.

In the UK, the Computer Misuse Act makes it illegal for a bank to carry out any cyber strike against a another computer in the country. But many attacks originate from overseas computers that are not in the same country as the hackers – and the overseas owners are often unaware that their machines are being used in this way.

“It is very difficult for banks to take pre-emptive strikes against hackers,” says Julian Cunningham-Day, a partner at law firm Linklaters. “There are a lot of legal restrictions on private sector organisations taking direct action, so you can get into trouble quite quickly.”

However, if they keep hiring the type of people who have been attacking them for years, it is possible that banks will be tempted to take matters into their own hands – and going on the offensive against cyber criminals is unlikely to end well. banks should focus on co-operating more closely with rivals, law enforcement agencies and intelligence services to stay on top of the growing threat.

Copyright &copy “The Financial Times Limited“.
“FT” and “Financial Times” are trade marks of “The Financial Times Limited”.
Translation for Finanzas para Mortales with the authorization of “Financial Times”.
Copyright &copy “The Financial Times Limited“.
“FT” and “Financial Times” are trade marks of “The Financial Times Limited”.
¿Te ha resultado interesante? ¡Compártelo!