Boletín 11
N° 11-OBEPEMS-2020
Elaborado por: Karen López, Talía Chucay y Jaime Granda
Revisado por: Ing. Linda Aguilar, Mgs
TÍTULO: ATAQUES CIBERNÉTICOS EN LAS INSTITUCIONES FINANCIERAS
INTRODUCCIÓN
El Observatorio Económico y Productivo de la ESPOCH Sede Morona Santiago, integrada por docentes y estudiantes específicamente de la carrera de Contabilidad y Auditoría, miembros potenciales de este proyecto de investigación, tomando en consideración los avances tecnológicos y el uso constante de herramientas digitales surge la necesidad de investigar acerca de los ataques cibernéticos existentes en las instituciones financieras.
Las instituciones financieras se han visto profundamente transformadas con la aparición de las nuevas tecnologías de la información y las comunicaciones (TICs). Actualmente en la mayoría de las industrias y los negocios las tecnologías de información son indispensables, debido a que el tráfico transaccional de las organizaciones ha aumentado considerablemente lo cual ocasiona inconvenientes en el control de las actividades realizadas mediante plataformas virtuales.
Las organizaciones gubernamentales y empresas financieras siguen siendo el objetivo principal de muchos ciberataques, tales como extorsión, robo, fraude, suplantación de identidad, entre otros.
La evolución del fraude electrónico va de la mano con la transformación digital en la que vivimos actualmente, en el ámbito financiero bancario es difícil de comprender o conceptualizar plenamente el fraude electrónico debido a que esto implica la utilización de tecnologías para la comisión del delito; así como controles desde el punto de vista técnico-informático que se ajusten a las normativas nacionales.
Para la realización de la presente investigación se ha analizado páginas web, artículos científicos y además se obtuvo información mediante la aplicación de una encuesta a las instituciones financieras de la ciudad de Macas.
DESARROLLO
¿Qué es el riesgo cibernético y por qué es relevante para la estabilidad financiera?
Según el Instituto de Gestión de Riesgos, el riesgo cibernético se define como cualquier riesgo de pérdida financiera, afectación o daño de la reputación de una organización derivado de algún tipo de falla de sus sistemas tecnológicos de información.
Los ataques cibernéticos son acciones ilegales realizadas por hackers, con el objetivo principal de obtener cierto beneficio, al generar daños en los sistemas tecnológicos de una organización, dominarlos o robar información contenida en ellos.
Hoy en día la gestión del riesgo cibernético es fundamental para las instituciones financieras, con el fin de prevenir escenarios que los lleven a experimentar pérdidas significativas.
Principales ataques cibernéticos a Instituciones Financieras
- Malware
Es un programa que se crea con la intención de dañar dispositivos, robar datos y en general.
- Phishing
Es un término que indica un fraude informático, mediante el uso de ingeniería social la cual se basa en reacciones humanas para engañar a usuarios se intenta obtener nombres de usuario, contraseñas, números de tarjetas de forma ilícita o fraudulenta
- Ataque BIN
El termino BIN se refiere a la secuencia de los 6 primeros números en las tarjetas de crédito. Es necesario tener esta secuencia y la fecha de expiración para realizar la estafa. Se pueden usar más números para generar números válidos.
- Rounding Down o Técnica del Salami
Esta técnica consiste en el desvió de pequeñas cantidades de dinero de cuentas con montos altos, al igual que un salami al cortarlo en rodajas muy pequeñas, este no sufre una reducción considerable y así esta acción pasa completamente inadvertida, generalmente se atacan equipos Unix los cuales se utilizan para operaciones financieras.
Los programas denominados Salami son muy difíciles de detectar, estos podrían salir a la luz con una auditoria extremadamente minuciosa y compleja
- Skimming o clonación de tarjetas
Este método consiste en la duplicación de tarjetas para su posterior uso delictivo, se presentan en cajeros automáticos modificados, gasolineras, restaurantes, bares en los cuales los dueños se prestan para proveer de esta información obtenida a los ciberdelincuentes.
Al realizar una compra se capturan los datos almacenados en las bandas magnéticas por medio de un dispositivo llamado skimmer colocado generalmente en el mecanismo de deslizamiento de los lectores de tarjetas, estos datos son: fecha de expiración, número de tarjeta, nombre del titular y el CVV (número de seguridad que aparece en el reverso de las tarjetas)
- Ransonware
Es un tipo de software dañino que bloquea el sistema de acceso de la víctima y encripta los ficheros hasta que se le entregue dinero o datos al atacante; este software solo puede ser desbloqueado por expertos en seguridad informática y recuperación de datos.
Normalmente este software ataca a organizaciones con información relevante, aparece visitando un sitio web infectado, o incrustado en un documento adjunto de un correo electrónico el cual contiene un troyano. Es la principal amenaza para la seguridad 15 informática en los últimos años ya que sus réditos se colocan en cientos de miles de dólares
- Ataque Man-In-The-Middle
También es conocido como ataque de intermediario, este ataque lee, modifica mensajes entre dos personas sin su conocimiento; este fraude roba información del usuario como por ejemplo los datos al realizar una compra online.
Este ataque incluye subataques como: interceptación de la comunicación, ataque de denegación de servicios, ataque de sustitución y ataque de repetición
En el ámbito internacional, un estudio liderado por la consultora tecnológica Comparitech, ubica al Ecuador por debajo de la mitad de la tabla de un grupo de países analizados en temas de ciberseguridad. (Expreso, 2020)
Para llegar a estas conclusiones, se tomaron en cuenta factores como la cantidad de infecciones de malware, la cantidad de ataques de malware financieros, la capacidad de reacción ante ataques cibernéticos y la legislación sobre ciberseguridad.
En base a la ilustración 1 se puede mencionar que el país no tiene implantadas suficientes normas y lineamientos en lo referente a la ciberseguridad o seguridad informática, siendo este un proceso que busca proteger la confidencialidad, integridad y disponibilidad de la información bancaria contra amenazas cibernéticas como virus, espías, malware, entre otros, teniendo como fin garantizar la seguridad y la confianza de los clientes en el e-banking o banca virtual, de esta manera se disminuye las posibles amenazas y se maximiza el retorno de la inversión en las entidades bancarias.
En el ámbito nacional, según las estadísticas del mes de Julio del 2018, de la Superintendencia de Telecomunicaciones en Ecuador, hay alrededor de 3´529.713 usuarios de Internet, de los cuales según la Superintendencia de Bancos un 50% realizan transacciones de algún tipo en portales de instituciones bancarias, los cuales corren un alto riesgo de ser perjudicados mediante actos delictivos como la estafa, un ataque de phishing u otros, relacionados con las tecnologías.
Además según la Superintendencia de Bancos, el 76% de las transacciones que se realizaron en instituciones financieras el 2018 se hicieron en canales electrónicos. Mientras que el Banco Central informa que la tasa de crecimiento del uso de los medios de pago digitales durante los últimos cinco años fue del 18%, pero entre 2017 y 2018 aumentó 33%. (Ramírez, 2019)
De acuerdo a estos datos se puede denotar claramente como las transacciones bancarias han aumentado en los últimos años. Sin embargo, a su vez esa situación provoca riesgos, ya que dichas transacciones implican información personal como passwords y si no cuentan con medidas de protección, puede quedar expuestas a “intrusos informáticos”, provocando fraudes y robo de datos financieros hacia los usuarios.
Por tal razón se menciona que la banca ecuatoriana no es inmune a los ataques cibernéticos, por lo que también implementa diferentes tecnologías y estrategias de prevención y detección de fraude, que son reguladas por la Superintendencia de Bancos (SIB).
Seguridad cibernética en la banca ecuatoriana
- Banco del Pacífico que decidió emprender una estrategia por la seguridad luego de haber sufrido casos de phising o suplantación de canales digitales de un banco para engañar al cliente y conseguir su información, el sistema que usa esta institución financiera es el Detect Safe Browsing que crea una atmósfera que motiva a los clientes a realizar sus transacciones en línea de forma flexible y transparente.
- Por su parte, Banco Pichincha cuenta con un centro de Monitoreo de Transacciones donde se revisan aproximadamente 500 millones de movimientos al año.
Para complementar la información se tomó una pregunta de la encuesta realizada anteriormente, sobre la seguridad de los portales y aplicaciones bancarias aplicada a las siguientes instituciones financieras: Banco del Austro, Cooperativa de ahorro y crédito Jardín Azuayo y Cacpe Pastaza, en donde se obtuvo los resultados que se presentan a continuación.
¿Cuál es el nivel de seguridad de los portales y App bancarios que maneja el banco/cooperativa?
La seguridad informática en las instituciones financieras es muy importante desde el punto de vista estratégico y normativo ya que facilita a los clientes el uso de las aplicaciones de una forma simple y segura, además esto permite tener fidelidad y confianza por parte de sus clientes, en la Ilustración N.º 1 se puede observar que las entidades financieras en la ciudad de Macas manifiestan tener un alto nivel en su seguridad , referente a los portales y aplicaciones que manejan, de lo mencionado se deduce que tienen una infraestructura informática adecuada, la misma que garantiza la seguridad de la información y datos de sus clientes y socios.
CONCLUSIONES
- Es importante y necesario informar sobre los ciberataques que transcienden a nivel nacional e internacional ya que mediante esta información podemos ayudar a generar conocimiento, tomando en cuenta que la mayoría de la población no tiene una educación y cultura necesaria sobre el manejo adecuado de las herramientas tecnológicas y plataformas virtuales.
- El internet brinda grandes beneficios a los usuarios de las instituciones financieras, pero su fácil acceso también puede perjudicarlos, debido que al utilizar los servicios en línea están expuestos a ser objetos de fraude y estafa.
- La gestión transaccional en el mundo de la banca virtual es tan peligrosa como en el mundo físico, debido a la expansión fraudulenta a la que se encuentran expuestos los usuarios al momento de hacer uso de las herramientas tecnológicas que ofrecen las instituciones financieras.
- Para prevenir los delitos financieros es necesario que los usuarios cambien sus hábitos al momento de navegar por internet, así como las instituciones financieras deben fortalecer las medidas de seguridad a través de sus áreas tecnológicas y la correcta utilización de las normas de seguridad.
- El Estado Ecuatoriano debería incluir y adoptar medidas que permitan identificar y actualizar periódicamente el listado de los delitos informáticos tratando de estar acorde al crecimiento tecnológico e incluir la penalización pertinente de acuerdo a las normativas legales vigentes.
BIBLIOGRAFÍA
Expreso. (04 de Marzo de 2020). Ecuador está en el grupo de los rezagados en ciberseguridad. Recuperado el 19 de Agosto de 2020, de Ecuador está en el grupo de los rezagados en ciberseguridad: https://www.expreso.ec/actualidad/ecuador-grupo-rezagados-temas-ciberseguridad-6240.html
Felipe Clavijo Ramírez, D. O. (s.f.). Riesgo Cibernético: Relevancia y Enfoques para su regulación y supervisión . Recuperado el 18 de Agosto de 2020, de Riesgo Cibernético: Relevancia y Enfoques para su regulación y supervisión : https://www.banrep.gov.co/sites/default/files/publicaciones/archivos/rref_recuadro_7_2017.pdf
Ramírez, J. J. (Septiembre de 2019). Análisis de la taxonomía de los delitos informáticos en elsector bancario del Ecuador en el período 2014 – 2019. Recuperado el 19 de Agosto de 19, de (Bachelor's thesis, Universidad de Guayaquil Facultad de Ciencias Administrativas): http://repositorio.ug.edu.ec/bitstream/redug/44411/4/2.-%20Titulacion%20-%20%20Julian%20Angulo%20Ramirez%20y%20Mariana%20Cordova%20Santana.pdf