AMENAZAS CIBERNÉTICAS AL SECTOR FINANCIERO MEXICANO

AMENAZAS CIBERNÉTICAS AL SECTOR FINANCIERO MEXICANO

Managing Risk | Maximising Opportunity

ÍNDICEÍNDICE 3

RESUMEN EJECUTIVO 1

INTRODUCCIÓN 2

Seguridad Cibernética – oportunidades y retos 2

¿Qué tan malo es lo malo? Naturaleza del Panorama Actual de Amenazas Cibernéticas Globales 3

Tras el dinero – los actores de amenazas cibernéticas apuntan cada vez más hacia economías emergentes 5

EL PANORAMA MEXICANO DE AMENAZAS CIBERNÉTICAS 7

¿Por qué los actores de amenazas pretenden atacar organizaciones en México? 7

¿Cuál es el panorama actual de amenazas en México? 8

EL SECTOR FINANCIERO MEXICANO BAJO AMENAZA 11

Los ciberdelincuentes son una amenaza significativa para el sector financiero mexicano 11

No es probable que los Estados nación apunten hacia el sector financiero en masa 14

Los Activistas actualmente no tienen las capacidades para representar una amenaza grave para el sector 16

TRES ESCENARIOS DE ATAQUES PROBABLES QUE ENFRENTA EL SECTOR FINANCIERO MEXICANO 19

Cyberdelincuentes extorsionan a Grupos Financieros en México 19

Un Estado nación se infiltra en los bancos comerciales para vigilar a los cuentahabientes 19

Grupo activista cibernético lanza un ataque de denegación de servicio a los sitios web públicos de varias instituciones bancarias 20

CONCLUSIÓN – EL SECTOR FINANCIERO SE ENCUENTRA EN UNA ENCRUCIJADA 21

GLOSARIO 22

AMENAZAS CIBERNÉTICAS AL SECTOR FINANCIERO MEXICANO 1

El entorno de amenazas cibernéticas continúa evolucionando y México atrae gradualmente la atención de actores cibernéticos maliciosos. Esto se debe en gran parte a su creciente relevancia geoestratégica regional y mundial, y a su ascendente riqueza económica y financiera. Actualmente, las organizaciones mexicanas enfrentan amenazas similares a las que experimentan las empresas que operan en las economías más desarrolladas del mundo. En este reporte, presentamos una visión estratégica de las amenazas cibernéticas que enfrenta el sector financiero en México. Además de este reporte, hemos trabajado directamente con el sector financiero en México y en un reporte confidencial, hemos proporcionando a los actores relevantes una evaluación más detallada de estas amenazas incluyendo un diagnóstico de qué tan bien defendido se encuentra el sector.

Nuestro análisis muestra que la naturaleza del sector financiero en México está atrayendo nuevas amenazas. Además, las tácticas, herramientas y procedimientos que los responsables de las amenazas cibernéticas están utilizando a nivel mundial y en México, combinado con su intención de atacar organizaciones mexicanas, han creado un panorama complejo en el cual las siguientes tendencias son cada vez más evidentes:

• Consideramos que la amenaza más grave y persistente para las diferentes áreas del sector financiero, recae en el hecho de que los grupos de cibercriminales tienen la capacidad de enfocarse en los componentes críticos de la industria, tales como casas de bolsa y plataformas comerciales, creando un riesgo sistemático y continuo para el sector en su conjunto. Los grupos de ciberdelincuentes ya se encuentran muy activos en México y continuarán sus operaciones de manera incesante. Los ataques van desde el uso de troyanos1 bancarios relativamente poco sofisticados, hasta intentos de extorsión utilizando las técnicas más avanzadas que interfieren directamente con el hardware para defraudar a las víctimas.

• Aunque los Estados nación son propensos a tomar como blanco al sector como una fuente de información en temas políticos, comerciales y de seguridad nacional, consideramos que es muy poco probable que se intente causar una irrupción del sector a gran escala. Nuestros analistas han observado ejemplos relativamente aislados de operaciones de Estados nación2 avanzados dirigidas al sector financiero mexicano; sin embargo, es poco probable que dichos Estados se centren específicamente en el sector o planteen un riesgo sistémico más amplio.

• Los grupos de activistas cibernéticos en México son una fuente continua de amenaza cibernética de nivel relativamente bajo para el sector financiero mexicano, dado que se han centrado principalmente en objetivos gubernamentales. No obstante, en presencia de un detonante podrían cambiar su enfoque. En el pasado, las operaciones de activistas mexicanos se han mantenido relativamente benignas, sin embargo, la posibilidad de una repentina escalada de la actividad es muy probable, particularmente a raíz de los escándalos públicos.

Estos actores de amenazas cibernéticas seguirán evolucionando para enfocar sus operaciones hacia empresas y organizaciones en el sector financiero mexicano. Mientras el sector financiero mexicano se vuelve más atractivo, el panorama de amenazas es cada vez más complejo. Esta situación ha colocado a las organizaciones en una encrucijada, ya que deben elegir entre soportar los costos de reforzar sus defensas o asumir el riesgo de ser atacados con éxito por ciberdelincuentes.

RESUMEN EJECUTIVO

1 Malware que se presenta a la víctima como algo legítimo realizando al mismo tiempo actividades maliciosas como borrar, bloquear, copiar o modificar datos o dilatando el rendimiento de la computadora de la víctima.

2 Un Estado nación avanzado es un Estado que ha demostrado sistemáticamente su capacidad para llevar a cabo de manera sigilosa y persistente, operaciones de espionaje mediante computadoras

2 AMENAZAS CIBERNÉTICAS AL SECTOR FINANCIERO MEXICANO

Hasta hace poco, las economías más avanzadas del mundo habían sido el foco principal de los ataques y las operaciones de espionaje cibernético. Sin embargo, el fortalecimiento de las defensas cibernéticas en estos países ha coincidido con mejores niveles de penetración y conectividad del Internet en las economías en desarrollo, resultando en un aumento en la amenaza de actores maliciosos que se inclinan por atacar objetivos más débiles y expuestos. Ahora más que nunca, la necesidad de las empresas, organizaciones, gobiernos y usuarios individuales de estar cada vez más conectados, tomará la delantera y superará las consideraciones de seguridad, garantizando un rico botín para los agentes de amenaza. El crecimiento acelerado del sector financiero de México y el creciente interés que despierta en los actores malintencionados, se combinan también para elevar la relevancia de este tema. Al entender el panorama mundial de amenazas cibernéticas junto con la situación en México, las organizaciones mexicanas pueden lograr una clara visión de la naturaleza de las amenazas actuales y futuras y, por ende, cómo defenderse en contra de ellas. Este documento brinda una introducción al panorama global de amenazas y se enfoca en el caso específico de México. Adicionalmente, evalúa las amenazas que enfrenta el sector financiero mexicano; considerando los escenarios más relevantes en los que el sector puede ser un blanco fácil.

SEGURIDAD CIBERNÉTICA – OPORTUNIDADES Y RETOS

Hace algunos años, la seguridad cibernética se limitaba en gran medida al uso de software anti-virus a cargo

del departamento de Tecnologías de la Información (TI) de una empresa. Sin embargo, una serie de ataques de alto perfil y el crecimiento constante de las amenazas, han penetrado en la conciencia global tanto a nivel individual como a nivel corporativo. Este creciente énfasis en la importancia de la seguridad cibernética es también producto de la cada vez mayor dependencia de las empresas, gobiernos e individuos hacia la tecnología informática y de comunicación (TIC) la cual ha transformado la seguridad cibernética en un reto para toda la empresa, no sólo para el equipo de TI.

Las amenazas cibernéticas pueden tener efectos sumamente perjudiciales para las operaciones diarias

de las empresas y, en algunos casos, poner en peligro su supervivencia. Una amenaza cibernética se define normalmente como el intento y la capacidad de un actor específico para causar daño - de muy diversas maneras - a una organización. Las amenazas contienen elementos técnicos y tácticos (las capacidades de los actores), y un elemento estratégico y humano (su intención). Con estas características en mente, la incapacidad de las soluciones puramente técnicas para protegerse eficazmente contra las amenazas informáticas se hace evidente, ya que dichas soluciones carecen del entendimiento estratégico y humano, acerca de la naturaleza y la probable evolución de los agentes de amenaza cibernética.

INTRODUCCIÓN

Figura 1: Los tres actores de la amenaza cibernética

ESTADOS NACIÓN

CIBERCRIMINALES

CIBERACTIVISTAS


¿QUÉ TAN MALO ES LO MALO? NATURALEZA DEL PANORAMA ACTUAL DE AMENAZAS CIBERNÉTICAS GLOBALES

Para entender la naturaleza de las amenazas a México y en particular a su sector financiero, es vital entender primero el panorama de amenazas global, el rumbo que va a tomar y las motivaciones de las tres principales categorías de actores de amenaza: los Estados nación, los cibercriminales y los ciberactivistas. Nuestra evaluación del panorama mundial de amenazas muestra que desde el 2014, la gravedad y frecuencia de ataques cibernéticos dañinos

están en aumento (Figura 2) 3 Nuestro pronóstico visto a través de la línea de puntos de color rojo en la figura 2 - sugiere la probable continuación de esta tendencia al alza en el futuro. Los ataques cibernéticos perjudiciales están destinados a ser cada vez más comunes y a menos que sean adecuadamente mitigados, su potencial para causar daños e irrupciones graves también aumentará.

¿Por qué los ataques son cada vez más severos?Tres acontecimientos clave pueden explicar esta tendencia:

1. La proliferación de la capacidad técnica implica que cada vez más agentes entren al ámbito cibernético. Lo que solía ser una esfera exclusiva de individuos puramente técnicos con conocimientos altamente especializados, ahora está ampliamente disponible.

2. El “área de superficie” disponible para estos atacantes es más amplia que nunca. Mientras que en el pasado los sistemas computacionales se reservaban a funciones específicas dentro de las empresas; hoy la informática está siempre presente en las organizaciones. Por ende, los objetivos potenciales de ataques cibernéticos han aumentado significativamente.

3. La creciente conectividad a través de Internet de varios sistemas significa que las técnicas de ataques genéricos y poco sofisticados como la denegación de servicio distribuido (DDoS) pueden causar enormes daños a la capacidad operativa de una empresa.

¿Quién lleva a cabo los ataques cibernéticos?Tradicionalmente clasificamos a los actores de amenazas cibernéticas en tres grupos distintos:

• Los Estados nación típicamente son los actores de amenazas más sofisticadas y pueden estar motivados por cuestiones políticas o económicas. En Estados con programas desarrollados, grupos

Figura 2: Los ataques cibernéticos más severos registrados por Control Risks mensualmente

3 Se considera como dañino el ataque cibernético para impedir las principales funciones económicas, humanas u operativas de una organización específica por un período prolongado de tiempo; y con puntuación por encima de 7 en el modelo de amenaza de riesgos de Control Risks (Véase cuadro)

5

6

7

8

9

10

Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dec Ene Feb Mar Abr May Jun Jul

2014 2015

Niv

el d

e la

am

enaz

a


avanzados de amenaza persistente (APT) 4 pueden realizar ciberespionaje para proporcionar inteligencia estratégica a actores políticos. Otros reúnen información comercial sensible para beneficiar a compañías nacionales u otras compañías de importancia estratégica para la economía de un país. Desarrollar “poderes cibernéticos” también tiende a ser menos formal, utilizando reclutas de grupos de cibercriminales y ciberactivistas locales. Sin embargo, ambos tipos de Estado nación están empeñados en el desarrollo de capacidades cibernéticas de ataque que puedan ser utilizados para afectar la

infraestructura crítica de los países rivales y para robar información.

• Los cibercriminales están motivados principalmente por las ganancias financieras. Pueden lograrlo mediante la adquisición de credenciales de cuentas bancarias, datos de tarjetas de pago o información de identificación personal que puede aprovecharse directamente para realizar transacciones, compras fraudulentas o venderlas en foros criminales clandestinos. Compañías de servicios financieros, seguidas por los empresas minoristas (retailers), empresas de esparcimiento y hotelería, organizaciones de salud

y proveedores de telecomunicaciones, son las empresas que típicamente enfrentan una amenaza sustancial de estos atacantes. Sin embargo, ya que algunas empresas han mejorado la seguridad de la información de sus clientes, los cibercriminales buscan extraer dinero de todo tipo de empresas, exigiendo el pago de rescates a cambio de no realizar actividades perjudiciales.

• Los activistas cibernéticos, también conocidos como ‘hacktivistas’, están motivados generalmente por cuestiones políticas y de justicia social. Los ataques de activistas cibernéticos típicamente suelen incluir técnicas

4 Amenaza Persistente Avanzada (APT por sus siglas en inglés) es un ataque a la red en la que un agente no autorizado - por lo general con una motivación política o de negocios - obtiene acceso a una red y se queda ahí sin ser detectado durante un largo periodo de tiempo. APT generalmente se refiere a un grupo, como un Estado nación, que tiene tanto la capacidad y la intención de persistir y efectivamente dirigirse a una entidad específica. Los individuos, como un hacker individual, no se consideran generalmente como un APT porque rara vez tienen los recursos para ser a la vez avanzado y persistente, incluso si tienen la intención de obtener acceso a, o atacar, un objetivo específico

PUNTUACIÓN DE LA AMENAZA CIBERNÉTICA

Nuestro equipo de Inteligencia de Amenazas Cibernéticas ha creado un modelo cuantitativo para registrar el

desarrollo de las amenazas cibernéticas. Este modelo proporciona una comprensión de cada evento reportado

por nuestro equipo dentro del más amplio contexto del entorno de amenazas cibernéticas. Como entradas para

el modelo, nuestros analistas compilan varios factores, incluyendo a los actores involucrados en las amenazas,

las herramientas que utilizan, los activos y los sectores a los que se dirigen y el impacto que tienen.

Una combinación de estos factores forma la base para una evaluación total de amenazas. Una puntuación

entre 1 y 2 debe ser considerada como una amenaza de nivel muy bajo, el conocimiento de esto es importante,

pero rara vez requiere acción inmediata. Las amenazas calificadas de 3 a 4 deben ser consideradas como una

amenaza de bajo nivel, para la cual las empresas deben considerar la implementación de técnicas de

mitigación. Amenazas medianas con una puntuación de 5 o 6, por lo general requieren la introducción de

técnicas de mitigación no intrusivas. Las amenazas con puntuación de 7 u 8 se consideran amenazas de alto

nivel y requerirán la mitigación inmediata. Una amenaza con calificación de 9 o más debe ser considerada

como una amenaza de muy alto nivel que requiere la más inmediata contención, mitigación e investigación.


poco sofisticadas - tales como ataques de denegación de servicio5 o deformación de sitios web6 para ridiculizar a sus víctimas, por lo que generalmente se enfocan en objetivos accesibles y poco protegidos para aclamar “victorias” y aumentar su notoriedad. Individuos más capaces pueden comprometer y filtrar datos sensibles. Los grupos de activistas cibernéticos son cada vez más utilizados por los Estados nación para evitar que se les atribuyan públicamente la responsabilidad de los ataques y para perseguir tácitamente agendas geopolíticas.

TRAS EL DINERO – LOS ACTORES DE AMENAZAS CIBERNÉTICAS APUNTAN CADA VEZ MÁS HACIA ECONOMÍAS EMERGENTES

Además del avance en las capacidades de los actores de amenaza cibernética, su rango de acción también ha aumentado en los últimos años. La Figura 3 destaca el creciente número de países, principalmente localizados en Europa, América y Asia Pacífico afectados por ataques cibernéticos desde el inicio de 2015.

Un análisis predictivo (en rojo) muestra la probabilidad de que incluso más países sean afectados en el futuro. Mientras que las tasas de crecimiento de la conectividad y penetración de Internet permiten a los atacantes afectar nuevos objetivos, la creciente riqueza de las economías emergentes también atrae a esta actividad.

De hecho, el crecimiento del rango de objetivos fomenta la propagación de las amenazas cibernéticas, así como el deseo de los delincuentes establecidos de diversificar sus operaciones. La importancia geopolítica y económica de las regiones en desarrollo alrededor del mundo, es una de las causas de esta diversificación. La relativa falta de madurez de la seguridad cibernética en las organizaciones que operan en economías emergentes, es también un factor importante en esta tendencia de focalización. América Latina así como Asia Pacífico, de acuerdo con nuestro conocimiento, han visto un crecimiento constante en los ataques provenientes de las tres categorías de actores de

amenaza cibernética. Ciertamente, como muchos negocios han comenzado a implementar estrategias de seguridad cibernética, los actores de amenazas se están adaptando, enfocándose en aquellas con activos menos seguros. Las debilidades en el sector privado suelen ir acompañadas de problemas legislativos y operativos nacionales en las economías emergentes. Esto incluye la falta de asociaciones público-privadas, y la ausencia de marcos legislativos eficaces que definan la responsabilidad y las sanciones por deficientes prácticas de seguridad cibernética, así como para procesar a los responsables de dichos ataques.

5 Los ataques DDoS tiene la finalidad de interrumpir la operación normal de sitios web y sistemas de redes y evitar que los usuarios legítimos tengan acceso a ellos. Actores DDoS utilizan un conjunto de equipos cooperantes ‘zombie’ (botnets) para inundar los sitios web de destino o de los sistemas de red con solicitudes de datos. Estos delincuentes son capaces de llevar a cabo ataques DDoS en múltiples geoubicaciones y controlar la velocidad a la que corra un ataque cuando tenga lugar.

6 Un ataque que pretende cambiar el aspecto visual de un sitio web o una página web

Figura 3: Número de países afectados por ataques cibernéticos dirigidos por mes.

70

60

50

40

30

20

10

0

Feb Mar Abr May Jun Jul Ene

2015


¿POR QUÉ LOS ACTORES DE AMENAZAS PRETENDEN ATACAR ORGANIZACIONES EN MÉXICO?

Mientras el panorama mundial de amenazas cibernéticas continúa expandiéndose tanto en su alcance geográfico como en sus niveles de complejidad, México es, cada vez más, el blanco de una variedad de actores de amenazas. Esta tendencia puede atribuirse a causas económicas, geopolíticas y nacionales.

Causas EconómicasMéxico goza de considerable Inversión Extranjera Directa (IED) y un constante crecimiento del Producto Interno Bruto (PIB). Esta expansión y la relativa inmadurez de sus defensas de seguridad cibernética lo han convertido en un objetivo sumamente atractivo para agentes maliciosos. El entorno macroeconómico de México hace del país un objetivo atractivo para aquellos que buscan obtener inteligencia económica o mejores dividendos en sus operaciones financieras. Esta tendencia permanecerá mientras la importancia del país respecto a la economía global continúe desarrollándose.

Nuestra investigación sobre las amenazas cibernéticas globales revela que entre los 20 países con la mayor puntuación acumulada en 2015, en el que México ocupa el puesto número

10, existía una correlación positiva7 entre el PIB del país y la gravedad de los ataques que enfrentaba (Figura 4). Otros factores son importantes para entender el alto nivel de amenaza experimentada por algunos países, como lo ilustra la posición de Ucrania en la gráfica, donde la situación política y de seguridad ha llevado a una serie de sofisticados

ataques. Sin embargo, es probable que la posición de México como punto importante de poder económico y comercial haya dado lugar al aumento en el interés de los actores de amenazas cibernéticas para apuntar hacia las empresas que operan en el país, y seguirán haciéndolo en el futuro.

EL PANORAMA MEXICANO DE AMENAZAS CIBERNÉTICAS

7 El valor del momento del producto Pearson de las dos variables (puntuación amenazas y PIB) fue de r = 0.66, indicando una correlación positiva entre las variables.

Figura 4: Los 20 países que enfrentan los más altos niveles de amenaza desde enero de 2015

10

6

7

8

9

5

4

3

2

1

0

Grecia

Israel

BélgicaSudáfrica

Arabia Saudita Nigeria

CanadáIndia

Marruecos

Suiza

Brasil

España

Países bajos

Turquía

MÉXICO Italia

Francia

China

Ucrania

Reino Unido

Alemania

Estados Unidos

CLAVEPIB RELATIVO PUNTUACIÓN DE AMENAZAS LINEAL (PIB RELATIVO)

LINEAL (PIB RELATIVO) LINEAL (PUNTUACIÓN DE AMENAZAS)


Causas GeopolíticasDe manera similar, los principales sectores de crecimiento potencial de México son los que normalmente atraen la atención de los grupos de espionaje de Estados nación, como el sector de petróleo y gas, debido a su importancia estratégica e internacional. México está bien posicionado para actuar como un vínculo esencial entre América del Norte y América Latina, pero aún tiene que cumplir con esto o jugar un papel geopolítico más prominente y potencialmente controversial, para reducir la probabilidad de sufrir ataques destructivos realizados por Estados rivales destinados a interrumpir la operación de los servicios públicos

críticos. Sin embargo, sigue siendo una voz prominente en las negociaciones comerciales, a menudo en estrecha cooperación con los EE.UU. Las instituciones gubernamentales de México podrían ser un blanco a causa de esta relación.

Causas DomésticasInternamente, es probable que cuestiones de justicia social movilicen a grupos de activistas cibernéticos para apuntar hacia áreas gubernamentales clave, incluyendo al sector financiero. Con anterioridad, colectivos de ciberactivistas mexicanos, han llevado a cabo operaciones en contra de empresas del sector privado y del gobierno, motivados por temas como

el narcotráfico y la corrupción política. Aunque es bastante limitado en su forma actual en México, el activismo cibernético es una amenaza muy volátil, con algunas campañas capaces de tomar impulso rápidamente en el caso de un escándalo público generalizado. Tradicionalmente, los activistas cibernéticos también han lanzado ataques antes, durante y después de acontecimientos políticos importantes. Es altamente probable que las elecciones presidenciales mexicanas en 2018 sirvan como detonante en estos grupos para llevar a cabo deformaciones de sitios web y ataques DDoS contra sitios web gubernamentales y de partidos políticos. Hemos observado este fenómeno en todo el mundo en momentos de gran tensión política. Por ejemplo, en México en 2012 activistas cibernéticos se dirigieron a sitios web gubernamentales con ataques de deformación, en una protesta política marcando el día de la independencia del país, mientras que las recientes negociaciones sobre un plan de rescate europeo para Grecia han provocado grupos de activistas cibernéticos orientados hacia los sitios web asociados con el gobierno griego e instituciones financieras europeas con ataques DDoS en pequeña escala.

¿CUÁL ES EL PANORAMA ACTUAL DE AMENAZAS EN MÉXICO?

Aunque consideramos que, al igual que muchos países, México tiene un nivel notable de activismo, nuestra inteligencia y evaluación es que las amenazas más peligrosas para el sector


financiero mexicano está dominado conjuntamente por operaciones de ciberdelincuentes y de Estados nación (Figura 5). Los ataques de activistas cibernéticos a menudo son malinterpretados y calificados como altamente peligrosos debido a su amplia cobertura en medios de comunicación locales e internacionales, aunque en realidad la mayoría de los grupos activistas carecen de la sofisticación de los grupos de Estados nación y delincuentes con amplios recursos. En consecuencia, a diferencia de las operaciones de ciberdelincuentes o de Estados nación, los ataques de activistas

cibernéticos rara vez han planteado una amenaza existencial para las organizaciones que han afectado. Por otro lado, se han detectado grandes campañas de espionaje de Estados nación en los sistemas mexicanos en 2015, enfocados principalmente en sectores estratégicos como las telecomunicaciones, el sector energético y el gobierno. Los ataques de cibercriminales en 2015 se centraron en los sectores de comercio al menudeo y financiero.

Dentro de estos sectores, los activos financieros y de información fueron los afectados con más

frecuencia (Figura 6). Esto refleja la primacía de la amenaza planteada por los actores Estado nación y cibercriminales, que tienden a buscar la inteligencia estratégica y los datos financieros respectivamente. En términos de técnicas de ataque específicas (Figura 6), los ciberdelincuentes también han utilizado el malware en punto de venta (POS por sus siglas en inglés)8 y el acceso no autorizado, en un intento de reunir datos de tarjetas de crédito y otra información financiera sensible.

8 POS malware es software malicioso diseñado para robar datos de pago de los clientes de comerciantes minoristas y sistemas de pago bancarios.

Figura 6: Gravedad promedio del tipo de ataques más comunes utilizados en contra de las empresas en México en 2015

Figura 5: Desglose del seguimiento de las operaciones de los distintos actores de la amenaza en México en 2015

7.5 7.0 8.2

3.8

2.5

5.6

APT Malware POS Malware Acceso no autorizado DDoS

KEYHARDWARE DEL USUARIO REPUTACIÓN INFORMACIÓN FINANCIEROS

ESTADO NACIÓN38%

37% CRIMINALES

25% ACTIVISTAS


El sector financiero mexicano ha crecido significativamente en los últimos años (Figura 7). A pesar de la recesión económica y las secuelas de la crisis financiera mundial de 2008, el sistema financiero de México ha demostrado su resistencia.

Tradicionalmente, las instituciones bancarias de crédito y sus clientes han sido las entidades más amenazadas dentro del sector financiero mundial,

principalmente debido que poseen información valiosa y redituable como datos de tarjetas de crédito. Sin embargo, los ataques contra estas entidades en México siguen siendo relativamente poco frecuentes. Por otra parte, los intentos de extorsión, la interrupción de las plataformas comerciales y ataques de denegación de servicio representan amenazas mucho más comunes que presionan al sector financiero mexicano.

LOS CIBERDELINCUENTES SON UNA AMENAZA SIGNIFICATIVA PARA EL SECTOR FINANCIERO MEXICANO

Intención ALTA

Capacidad ALTA

Calificación de la Amenaza ALTA

EL SECTOR FINANCIERO MEXICANO BAJO AMENAZA

Figura 7: Capital de los Bancos Mexicanos en relación a Activos (%)

9.4

9.6

9.8

10.0

10.2

10.4

10.6

10.8

2010 2011 2012 2013 2014

11.0

PRINCIPALES HALLAZGOS

La prevalencia de la actividad criminal cibernética en México, la diversidad de las instituciones financieras y el creciente valor del capital del sector, probablemente motive a los grupos de ciberdelincuentes para apuntar hacia el sector. Los grupos criminales ya se han dirigido al sector financiero mexicano, por ejemplo, comprometiendo los cajeros automáticos en el país y defraudando a los clientes de bancos en una escala significativa.

Los ciberdelincuentes tienen la intención y la capacidad para dirigirse a las plataformas comerciales y otros sistemas financieros cerrados con el fin de defraudar o extorsionar a las organizaciones.

Ataques menos sofisticados, como el uso de troyanos bancarios, ransomware y POS malware, están muy extendidos y representan una amenaza importante para el sector y particularmente para los empleados y clientes de bancos comerciales.


Aunque los grupos de ciberdelincuentes indudablemente han diversificado sus esfuerzos en los últimos años, su deseo de ir tras el dinero significa que los ataques en contra del sector financiero siguen siendo su principal objetivo. En México, los ataques de ciberdelincuentes contra empresas y organizaciones financieras varían significativamente en términos de su sofisticación y la forma en la que van dirigidos.

La criminalidad de bajo nivel pone en peligro a los empleados y clientes del sector financieroEn el nivel de enfoque más amplio, los empleados y clientes de los sectores bancario y de servicios financieros mexicanos son blancos de las variantes genéricas de malware9, tales como spyware y adware, diseñados para aprovecharse de los

usuarios individuales en lugar de las empresas en particular. El estatus de México como consistente líder regional en América Latina, en términos del volumen de correo no deseado y direcciones IPs10 maliciosas, es prueba de una amenaza sostenida de bajo nivel. Este problema se debe en última instancia a la explotación desmedida y sin escrúpulos por parte de los ciberdelincuentes tanto del bajo nivel de conciencia de los usuarios y la dificultad para investigar y procesar, en gran parte debido a su presencia en regiones caracterizadas por la falta de cooperación en cuanto a la aplicación de la ley extranjera y las dificultades técnicas asociadas con el descubrimiento preciso de quiénes están detrás de estos ataques, los grupos cibercriminales responsables de la creación y difusión del malware, lo que les da vía libre para continuar su actividad.

Ataques criminales dirigidos pueden dañar gravemente al sector financiero mexicanoAunque genéricamente parecidos, los troyanos bancarios, cuyo objetivo es recolectar credenciales de las cuentas de usuarios individuales y luego permitir a sus operadores acceder ilícitamente a ellas y transferir fondos a otra parte, representan una amenaza más directa para el sector financiero, principalmente para sus clientes. El nivel de amenaza que México enfrenta a partir de esta forma de ataque se ha visto agravada por la aparición de variantes como PiceBOT, que ha sido diseñado y específicamente adaptado para el mercado mexicano.

Además de la amenaza que representan los troyanos bancarios, el aumento de la prevalencia y la sofisticación del ransomware11 – un tipo de malware que cierra o

9 Software malicioso creado específicamente para dañar, interrumpir o explotar un sistema informático. Malware puede aplicar como código, texto, contenido activo y otro software. Malware incluye virus, gusanos, ransomware, spyware, adware, scareware, troyanos y otros programas equivalentes.

10 Una dirección IP maliciosa que los investigadores de seguridad han detectado comportándose de manera sospechosa. Las direcciones se conocen para distribuir malware, actuar como servidores de comando y control para malware o realizar exploraciones agresivas en otros sistemas.

11 Malware diseñado para intimidar o forzar a las víctimas a pagar un rescate por lo general mediante la encriptación de archivos de las víctimas. Con menos frecuencia, los delincuentes ransomware muestran imágenes de organismos policiales afirmando que la víctima ha estado involucrada en una actividad criminal en línea, para engañar a las víctimas a pagar la ‘multa’ – esto es conocido como ransomware de la policía.

PICEBOT

Surgido inicialmente en febrero de 2013, PiceBOT es un kit de crimeware que permite la obtención de credenciales de cuentas bancarias en línea. Después de comprar el malware en foros de ciberdelincuentes por alrededor de $140 dólares, los usuarios de PiceBOT fueron capaces de modificar los archivos host para redirigir a las víctimas a una página de destino que imitó la página de inicio de sesión de banca en línea habitual, de donde su nombre de usuario, contraseña y otros datos de acceso pueden ser redirigidos al atacante a través de la infraestructura de mando y control del malware. Después de su despliegue inicial en México, PiceBOT fue dirigido a una serie de economías en desarrollo de habla hispana en Centro y Sudamérica


encripta el dispositivo de un usuario y luego exige un pago para restaurar el acceso - representa una amenaza más para el sector financiero mexicano. Mientras que algunas formas se han diseñado específicamente para lograr objetivos en México (ver estudio de caso “ACCDFISA”), otros, como el VirRansom, son capaces de navegar a través de una red e infectar múltiples dispositivos para aumentar las posibilidades de pago del rescate. En línea con los patrones tradicionales de extorsión llevados a cabo por grupos de crimen organizado, grupos de ciberdelincuentes están lanzando cada vez más ataques contra objetivos de alto valor, alejándose de su modelo anterior de ataques de alto volumen hacia objetivos de bajo poder adquisitivo. La percepción de que las empresas del sector financiero son capaces de pagar altas demandas de rescate, las ha puesto en la mira. Esto fue ilustrado por una advertencia en mayo de 2015 por parte de las autoridades estadounidenses de que específicamente los fondos de cobertura

estaban siendo atacados por grupos de ciberdelincuentes. Este modelo podría ser replicado en contra de casas de bolsa en México, donde la extorsión sigue siendo una táctica popular para grupos de ciberdelincuentes. En estos escenarios, los atacantes

roban información confidencial y exigen un rescate a la víctima con el fin de no eliminarla o liberarla; mientras que otros grupos de ciberdelincuentes utilizan ataques DDoS para interrumpir los servicios públicos, tales como los sitios de Internet de banca personal, y solicitar el pago para suspender la interrupción.

Aunque los grupos de ciberdelincuentes que operan en México han desplazado cada vez más su modelo de focalización para imitar el de los tradicionales grupos del crimen organizado en el país, no hay evidencia directa de que haya surgido asociación entre estos grupos. Hemos reunido inteligencia exhibiendo el uso de herramientas cibernéticas como la comunicación a través de plataformas de medios sociales y la recopilación básica de inteligencia de código abierto, que con frecuencia utilizan grupos tradicionales del crimen organizado. Sin embargo, consideramos que es

ACCDFISA

El malware del Departamento Contra Delitos Cibernéticos de la Agencia Federal de Seguridad de Internet (ACCDFISA) es una serie de variantes de ransomware que bloquea los dispositivos de las víctimas, mientras que dice representar a una agencia de policía ficticia. Variantes de ACCDFISA se extendieron inicialmente a través del muy vulnerable Escritorio Remoto de Windows o los servicios de Terminal Server, que luego fueron atacados con una herramienta de fuerza bruta (DUBrute) para permitir a los perpetradores descargar el malware, aunque los ataques de phishing también se utilizaron posteriormente para difundirla. La variante “Protección antispam de Porno Infantil”, que fue especialmente prominente en México, está escrito en lenguaje de programación Pure Basic y cuenta con pantalla de bloqueo y funciones criptográficas. Exige un pago a través del sistema MoneyPak imposible de rastrear para restaurar la funcionalidad habitual del dispositivo de la víctima.

PLOUTUS

Ploutus es un tipo de malware enfocado a cajeros automáticos que fue descubierto por primera vez por los investigadores de seguridad en agosto de 2013. Después de cargar físicamente el malware a través de la unidad de CD-ROM que se encuentra en la parte trasera del cajero automático, los cibercriminales operan Ploutus instruyendo a la máquina para expulsar dinero en efectivo en ciertos momentos a través del control de una interfaz de usuario pre desarrollada. Esto también permitió al grupo leer los datos de las tarjetas de crédito de clientes legítimos que habían usado la máquina, a través de la pantalla del cajero automático. Aunque Ploutus se codificó inicialmente en español y se descubrió en México, posteriormente variantes escritas en inglés fueron descubiertas alrededor del mundo. Más tarde se encontró una versión adicional que permitió que los cibercriminales enviaran un SMS a un dispositivo infectado para instruirlo y poder liberar dinero en efectivo.


poco probable en esta etapa, que tales grupos recurran en México a ataques cibernéticos o cuenten con la ayuda de grupos de ciberdelincuentes para dirigirse a las instituciones financieras.

Los grupos criminales han atacado con éxito el hardware utilizado por el sector financiero mexicanoEsfuerzos más sofisticados por parte de los grupos de ciberdelincuentes han atacado y filtrado fondos y datos de tarjetas de crédito desde la infraestructura física utilizada por el sector financiero. Esto se puede lograr mediante el uso de punto de venta (POS) de malware, que es implantado en las redes de los minoristas y de otras empresas que utilizan sistemas de punto de venta, que luego pueden ser monetizados por grupos de ciberdelincuentes; o a través de código que ataca a los cajeros automáticos, como demuestra la aparición del malware Ploutus (ver caso de estudio), que fue diseñado específicamente para máquinas en México. Más recientemente, en agosto de 2015, una nueva variante de skimmers12 ATM fue descubierto en los cajeros automáticos en México, mostrando la continua amenaza que plantea el enfoque en los cajeros automáticos por grupos delictivos en el país. El ataque a cajeros automáticos también se puede combinar con las operaciones de ciberdelincuentes que replican las tácticas persistentes y sigilosas utilizadas por los Estados nación. El grupo Carbanak, del cual se estima que ha robado hasta un billón de dólares de una serie de instituciones financieras en 30 países, es un buen ejemplo.

El fraude hecho de forma cibernética representa una amenaza directa y pronunciada para los activos financierosEl hecho de que las empresas del sector financiero mexicano con frecuencia transfieran gran cantidad de fondos, también los convierte en un blanco atractivo para los grupos cibernéticos habilitados para fraude. Estos pueden utilizar una combinación de ingeniería social y ataques de phishing para recopilar información sobre los procedimientos y personal de operación de una empresa. Esto puede ser usado para suplantar a un colega o figura de autoridad en un intento de inducir una transferencia de fondos a una cuenta bajo su control. De este modo, en febrero de 2015, el Financial Times informó sobre un supuesto aumento de los ataques en contra de las plataformas comerciales de alta frecuencia por los ciberdelincuentes que tratan de obtener algoritmos comerciales a la medida. Un ejemplo reciente ha demostrado la realidad de esta amenaza para las instituciones financieras cuando, el 11 de agosto de 2015, el FBI arrestó a cinco hombres sospechosos de haberse beneficiado de las redes hackeadas de varios distribuidores de comunicados de prensa y tener acceso a noticias corporativas antes de su lanzamiento oficial, que eran posteriormente utilizadas para llevar a cabo operaciones ilegales en acciones y opciones. A medida que la capacidad general de los ciberdelincuentes sigue creciendo junto con la rentabilidad del sector financiero mexicano, es probable que este tipo de ataques se dirijan a organizaciones dentro de México.

NO ES PROBABLE QUE LOS ESTADOS NACIÓN APUNTEN HACIA EL SECTOR FINANCIERO EN MASA

Intención BAJA

Capacidad MUY ALTA

Calificación de Amenaza MEDIA

Como la más sofisticada de las tres categorías de actores de amenazas consideradas en este reporte, los Estados nación como actores de amenazas pueden recurrir a la más amplia gama de tácticas, herramientas y procedimientos (TTPs).

HALLAZGOS PRINCIPALES

Aunque las organizaciones mexicanas pueden verse comprometidas por los Estados nación en operaciones de espionaje, es poco probable que estos incidentes causen disrupciones significativas.

Los Estados nación se han dirigido previamente a los sistemas mexicanos en operaciones de espionaje comercial y operaciones de vigilancia de la seguridad nacional. Estos ataques representan una amenaza MEDIANA al sector en su conjunto y la revelación de ataques exitosos tiene el potencial de daño significativo a la reputación.

12 Un dispositivo que se coloca en la entrada de un cajero automático y secretamente roba la información de tarjeta de crédito y débito de clientes desprevenidos.


Los Estados nación se pueden clasificar en tres subcategorías en función de su capacidad: de primer nivel, de nivel medio y de nivel bajo.

Estados nación, primer nivelLos Estados nación del primer nivel son aquellos que tienen un historial probado de ataques altamente sofisticados y son capaces de poner en peligro los sistemas, utilizando técnicas innovadoras, sigilo y persistencia. A menudo, utilizando múltiples vectores de infección, esta categoría de Estados nación también pueden afectar seriamente al incluir la corrupción de hardware y firmware, tal como muestra el caso de Equation Group, o afectaciones a redes estratégicas.

Aunque es improbable que causen daños sistémicos al sector financiero mexicano en su totalidad, la

capacidad los Estados nación del primer nivel para incrustarse profundamente dentro de las instituciones de banca comercial y privada puede causar una fuga de información a gran escala, tal como los flujos de

entrada y salida de transacciones en México. Estos datos podrían entonces ser utilizados como base para la recopilación de inteligencia u operaciones legales más amplias. Como tal, y a pesar de sus altas capacidades del primer nivel, los Estados nación se consideran una amenaza categoría media para el sector financiero y es poco probable que incidan de manera significativa en su supervivencia o afecten sus perspectivas de crecimiento.

Estados nación del nivel medioLos Estados nación del nivel medio tienden a mostrar cierto grado de sofisticación en sus operaciones. Además de los motivos políticos y económicos habituales, también han lanzado ataques más perjudiciales contra rivales geopolíticos. A pesar de que en gran medida dependen del spear-phishing14 como vector de infección, estos Estados nación han

EQUATION GROUP

Equation Group es una extensa red de espionaje cibernético que fue descubierta en febrero de 2015. Atribuyendo la campaña a una agencia de inteligencia occidental, Kaspersky Lab dijo que las actividades de recopilación de información de la campaña eran las más sofisticadas de la historia. Utilizó cuatro vulnerabilidades13 de Día Cero e infectó el firmware de disco duro. Esto parece haber sido posible por el acceso de su autor al código fuente de los fabricantes de equipos. Esto permitió al autor reprogramar el firmware con una carga útil adecuada y así volver a infectar a las víctimas cada vez que la máquina se reiniciaba, con el fin de mantener su presencia. Aunque la campaña se centró en el gobierno y las organizaciones militares, también se dirigió a una serie de empresas del sector privado, incluidas las de servicios financieros. Se considera que este ataque está vinculado con cuestiones de seguridad nacional y de inteligencia. Fueron atacadas miles de máquinas en más de 30 países, incluyendo México.

CARETO

Descubierto por la empresa de seguridad cibernética Kaspersky Lab en febrero de 2014, Careto es una campaña de espionaje cibernético que había estado dirigida a empresas y organizaciones en una serie de países, entre ellos México, desde 2007. Los objetivos se situaban en una variedad de industrias, incluyendo empresas de capital privado y otras instituciones financieras. Careto contó con numerosas referencias en español en su código, aunque algunos investigadores sospechan que estos pueden haber sido incluidos deliberadamente para ocultar los verdaderos orígenes de la campaña. El enfoque de Careto en filtrar información financiera y económica estratégica exhibe la amenaza asociada con las operaciones de Estados nación del nivel medio.

13 Cuando se trata de una amenaza informática para explotar vulnerabilidades de aplicación de la computadora ya sea desconocidas y no revelada para el proveedor de software o para el que ningún efecto de seguridad esté aún disponible.

14 una variante del phishing que se dirige a grupos específicos de personas que tienen al menos una cosa en común. Por ejemplo, pueden trabajar en la misma empresa, asistir a la misma Universidad, utilizar los servicios de banca en la misma institución financiera, u ordenar bienes y servicios de los mismos sitios web. Spearphishers intenta adquirir las credenciales de seguridad al disfrazarse a sí mismos como un remitente legítimo y familiar y mediante el envío de solicitudes de información maliciosa – o inyectar enlaces malware o archivos – vía mensajes de correo electrónico


demostrado algunas capacidades avanzadas ya en la red de la víctima. Los objetivos a menudo incluyen la filtración de información comercial confidencial, como estrategias de inversión, algoritmos comerciales de alta frecuencia y prácticas generales de inversión. Esta información podría, en el largo plazo ser una amenaza para la capacidad del sector financiero de México para seguir siendo competitivos en comparación con sus vecinos de la región, y potencialmente proporcionar a las instituciones financieras extranjeras inteligencia comercial valiosa acerca de las prácticas del sector financiero mexicano.

Otros Estados nación del nivel medio han demostrado su capacidad para causar daño operativo significativo a las organizaciones del sector privado de importancia simbólica o económica para

sus rivales geopolíticos. Estos ataques representan una amenaza importante para organizaciones específicas y pueden resultar en daños significativos para todo el sector. Sin embargo, la relativa neutralidad diplomática de México significa que es menos probable que sean el blanco de esos actores.

Estados nación del nivel bajoAunque todavía no se ha detectado evidencia alguna; un aumento en las capacidades de los vecinos regionales de México podría poner al sector financiero en la mira. Estados nación del nivel bajo tienden a buscar objetivos económicos similares en beneficio de sus mercados internos. Sin embargo, su falta de sofisticación y la dependencia en exploits y malware genéricos en lugar de desarrollarlo a la medida, hace que sus operaciones se consideran únicamente como amenazas de nivel medio.

LOS ACTIVISTAS ACTUALMENTE NO TIENEN LAS CAPACIDADES PARA REPRESENTAR UNA AMENAZA GRAVE PARA EL SECTOR

Intención BAJA

Capacidad BAJA

Calificación de la Amenaza BAJA

Los activistas cibernéticos van detrás de los ciberdelincuentes y los Estados nación en términos de sofisticación y por lo tanto sólo pueden utilizar un conjunto restringido de tácticas. Aunque el activismo cibernético puede abarcar muchos temas, tales como el yihadismo y el patriotismo, los activistas

HALLAZGOS PRINCIPALES

Los grupos de activistas cibernéticos mexicanos tienen bajas capacidades técnicas y centran sus operaciones principalmente en organizaciones gubernamentales, lo cual representa una amenaza BAJA para el sector financiero.

Sin embargo, la naturaleza volátil del activismo cibernético puede elevar rápidamente la intención de estos grupos para atacar instituciones financieras mexicanas. Es probable que escándalos políticos, criminales y sobre corrupción, desencadenen alguna acción - aunque de bajo impacto - en contra de las instituciones financieras en el país


cibernéticos impulsados por factores políticos representan la principal amenaza en México.

Ciberactivismo impulsado políticamenteGrupos de activistas cibernéticos motivados políticamente tienen ante todo como objetivo principal ganar publicidad para ellos y para su causa. Los ataques pueden estar dirigidos hacia un objetivo específico, aunque las empresas no relacionadas y vulnerables también pueden ser atacadas para generar titulares. Como resultado, los esfuerzos de los activistas cibernéticos tienden a concentrarse en los activos públicos, con deformaciones de sitios web y secuestro de los sitios de medios sociales utilizados para difundir mensajes. Además de dañar la integridad de sus víctimas de esta manera, los grupos de activistas cibernéticos también pueden atacar la disponibilidad de los servicios a través ataques de denegación de servicio (DoS). Al dejar los sitios web sin conexión pueden ridiculizar a su objetivo y pueden incluso interrumpir sus prácticas comerciales normales. Como resultado, las

herramientas de ataque, incluso poco sofisticadas, pueden representar una amenaza para los integrantes del sector financiero, en particular aquellos con activos tales como sitios y portales web para clientes.

Grupos de activistas cibernéticos más sofisticados y motivados políticamente también han afectado la confidencialidad de datos de sus objetivos mediante el uso de técnicas de ataque como la inyección SQL15 (lenguaje de consulta estructurado) para acceder a las bases de datos de forma ilícita. Aunque la información robada por ellos rara vez es de gran importancia - es

decir, listas de detalles de los empleados y direcciones de correo electrónico - estos datos pueden distribuirse a través de redes de intercambio de archivos y sitios como Pastebin, causando un daño extra a la reputación. Como nuestros casos de estudio lo muestran; grupos de activistas cibernéticos suelen emplear una combinación de estas tácticas, recurriendo cada vez más a métodos de ataque más contundentes cuando sus esfuerzos iniciales fallan, lo que les permite reclamar un cierto grado de éxito en una operación. Aunque los ataques contra el sector financiero son susceptibles de ser impulsados principalmente como respuesta a temas de actualidad, en jornadas nacionales clave, como el Día de la Independencia, también se pueden provocar un aumento en la actividad de los grupos de activistas cibernéticos. Por consiguiente, los activistas cibernéticos representan una amenaza a la reputación y ocasionalmente a las operaciones del sector financiero, a pesar de la relativa simplicidad de la mitigación de estos ataques, la amenaza global sigue siendo de bajo nivel.

ANONYMOUS MEXICO

En enero de 2013, la filial mexicana del colectivo internacional de ciberactivistas se atribuyó la responsabilidad por un ataque de deformación en el sitio web de la Secretaría de la Defensa. Anonymous México fue capaz de reemplazar el contenido del sitio con el manifiesto del Ejército Zapatista de Liberación Nacional, aunque el contenido se retiró después de varias horas. El sitio de la Secretaría de Marina también fue blanco de los ataques DDoS en este periodo, resultando en la imposibilidad de acceso durante varias horas.

15 SQLi es una técnica utilizada a menudo para atacar aplicaciones controladas por datos creados con lenguaje de consulta estructurado (SQL). Esto se hace incluyendo porciones de sentencias SQL en un campo de entrada para que el sitio web pase desde un comando SQL recién formado a la base de datos (por ejemplo, para enviar el contenido de la base de datos al atacante).

ANONYMOUS HISPANO

En septiembre de 2013, el grupo afiliado a Anonymous, Anonymous Hispano, lanzó una operación multifacética en contra del gobierno mexicano. Para mostrar su oposición a la propuesta de reforma de Petróleos Mexicanos (Pemex), se utilizaron los ataques DDoS contra el sitio web de la Cámara de Diputados (diputados.gob.mx), dejándola fuera de línea durante más de un día. Anonymous Hispano también trató de atacar directamente a Pemex, robó y filtró el correo electrónico y las direcciones físicas, números de teléfono y nombres de los empleados de la empresa, subsecuentemente publicándolos en línea.



CYBERDELINCUENTES EXTORSIONAN A GRUPOS FINANCIEROS EN MÉXICO

Grupos de ciberdelincuentes han realizado anteriormente ataques de extorsión en el sector financiero de Estados Unidos, adecuando sus esfuerzos contra las casas de bolsa en particular. Estos grupos podrían intentar replicar estos esfuerzos en México, aprovechando la postura de seguridad cibernética relativamente menos madura del sector financiero y el riesgo reducido de ser detenidos por la policía debido a que se ubican en territorios extranjeros.

Es probable que un ataque comience con la identificación de una aplicación web vulnerable utilizada para operar una base de datos por una casa de bolsa en particular. Después de poner en peligro la base de datos con un exploit, los atacantes modifican los scripts que se ejecutan en el servidor para encriptar y de inmediato desencriptar los datos mientras son cargados. Esto permite a los perpetradores disfrazar la verdadera naturaleza de sus operaciones, ya que este proceso es susceptible de ser utilizado sólo para la información más confidencial y para minimizar la huella del ataque. El grupo criminal cibernético esperará entonces un período de tiempo para asegurar que un gran volumen de datos pueda ser encriptado y desencriptado de esta manera, para que la víctima sea más susceptible a sus inminentes demandas de extorsión. Esto se refuerza también haciendo que el momento de exigir sus demandas de rescate coincida con la realización de copias de seguridad

de los datos corporativos, lo cual aumenta el incentivo para acceder a sus demandas. Los atacantes entregarán las copias quitando la clave de descifrado y solicitando un pago en cripto-moneda imposible de rastrear, como Bitcoin.

Las víctimas que opten por cumplir con las exigencias de los atacantes incurrirán en una pérdida financiera directa por el pago de un rescate. Esta tarifa es probable que sea considerablemente mayor que los pagos de extorsión cibernética convencionales, debido a la percepción de la capacidad de pago de la víctima. Posteriormente, podrían también enfrentar daño a la reputación y sanciones legales si el caso se hace público. Las empresas que se niegan a pagar el rescate tendrán que hacer frente a la pérdida irreversible de los datos en cuestión y el impacto perjudicial asociado en sus operaciones comerciales habituales se producirá inevitablemente.

Las casas de bolsa en México se ven especialmente amenazadas por este tipo de ataques. Como en general los mercados de capitales del país crecen en valor, y los marcos legales así como los requisitos de divulgación permanecen ausentes, son un objetivo muy atractivo para grupos de ciberdelincuentes. Además, dada la dependencia del sector financiero mexicano al flujo de capital externo para su crecimiento continuo, el pánico potencial causado por un ataque de extorsión exitoso a gran escala en las casas de bolsa del país podría provocar una súbita fuga de capitales del país, lo que representa un riesgo sistémico más amplio y una reducción potencial de la rentabilidad en todo el sector.

UN ESTADO NACIÓN SE INFILTRA EN LOS BANCOS COMERCIALES PARA VIGILAR A LOS CUENTAHABIENTES

Como parte de una investigación más amplia, un Estado nación extranjero puede buscar reunir información por sospechas de uso del sistema bancario de México por parte de grupos terroristas y del crimen organizado. La operación tiene un amplio encargo, busca identificar evidencias de presuntos casos de lavado de dinero y transferencias financieras sospechosas. Aunque no es un riesgo sistémico para el sector financiero en su conjunto, el descubrimiento público de una operación así podría traer daños significativos en la reputación. En particular, una irrupción en los bancos comerciales o instituciones financieras que posean información o bienes pertenecientes a clientes extranjeros, podría desencadenar una importante crisis de confianza, que podría provocar en algunos casos el retiro de sus negocios del país.

Incluso sin descubrirse públicamente, la información confidencial comprometida, sobre los flujos financieros, puede resultar en sanciones emitidas en contra de entidades financieras en caso de que alguna evidencia de mala práctica emerja. La información sobre la naturaleza de los flujos de capital también puede ser utilizada por los rivales para determinar sus estrategias internacionales y potencialmente conducir a una pérdida de ventaja competitiva internacional de largo plazo.

TRES ESCENARIOS DE ATAQUES PROBABLES QUE ENFRENTA EL SECTOR FINANCIERO MEXICANO


El atacante puede comenzar con el ataque estratégico a una página web de especial interés para el sector financiero mexicano, como un informe trimestral en el sitio web del Banco de México. Los atacantes usarán una vulnerabilidad de Día Cero y un exploit desarrollado a la medida para descargar una gran variedad de módulos en la red de la víctima. La campaña también puede detectar la configuración del sistema, el teclado y configuraciones de idioma de la víctima para evitar infectar a los usuarios ubicados fuera del sector financiero o de México. Esto permite al atacante evitar infecciones innecesarias y mantener la confidencialidad de la operación.

En este punto, los atacantes también pueden usar su posición establecida y acceder a cuentas de correo electrónico para expandir su presencia, aprovechando su condición de intermediario conocido y de confianza para atraer a los destinatarios y que acepten el malware. Las herramientas del atacante abarcarán una amplia gama de funciones, incluyendo, keylogging, la recopilación de datos de navegación y credenciales de cuentas confidenciales, y subrepticiamente desactivar las capacidades de cualquier antivirus u otros sistemas de defensa, con el fin de evitar ser detectados.

Los atacantes entonces extraerán datos relativos a cuentas personales, transferencias y comunicaciones entre los ejecutivos a través de su infraestructura de comando y control, junto con cualquier otra información que pueda brindar información sobre potenciales malas prácticas, o proporcionar una ventaja competitiva para su propio sector financiero.

GRUPO ACTIVISTA CIBERNÉTICO LANZA UN ATAQUE DE DENEGACIÓN DE SERVICIO A LOS SITIOS WEB PÚBLICOS DE VARIAS INSTITUCIONES BANCARIAS

Un escándalo de corrupción en el sector financiero o alguna otra evidencia de mala conducta corporativa son expuestos por los medios. Esto lleva a la indignación pública generalizada y un grupo activista cibernético como Anonymous Hispano pretende aprovecharse de esto organizando una operación contra varios elementos del sector financiero.

El grupo inicialmente buscará difundir su causa aumentando el conocimiento en medios sociales. Ciberactivistas prominentes compartirán imágenes criticando a los bancos y otras instituciones en plataformas como Twitter. Esto también será utilizado por participantes directos en un canal de Internet Relay Chat (IRC), donde se organiza la operación. Los activistas utilizarán este foro para discutir los objetivos y tácticas posibles. Los participantes más sofisticados inicialmente intentarán utilizar las vulnerabilidades conocidas y los ataques de inyección SQL para acceder ilícitamente a datos confidenciales en las redes de los bancos. Otros utilizarán escáneres de vulnerabilidad para identificar los servidores de los sitios de hospedaje que son vulnerables a los ataques de deformación. Sin embargo, en el caso de que ambos esfuerzos resultaran inútiles, los activistas recurrirán al uso de ataques DDoS para causar interrupciones en los sitios web públicos para poder presentar su campaña como un éxito.

Los individuos darán a conocer los rangos de IP de los objetivos seleccionados y alentarán a los participantes para descargar una variedad de herramientas de código abierto “stresser” para inundar los sitios web con tráfico. Activistas con conexiones cibercriminales también pueden ser capaces de utilizar botnets para complementar estos esfuerzos.

Es probable que los ataques DDoS resulten en un corto período de irrupción en los objetivos, lo cual probablemente causará daño a la reputación. Este daño es probable que se agrave si componentes específicos, como las plataformas de banca de Internet personal, son atacados, debido a las molestias adicionales que esto puede causar a los clientes. Los activistas también pueden intentar postular su capacidad de causar irrupciones como una prueba más de la mala praxis de los bancos, afirmando que son negligentes al permitir que los ataques tengan lugar.

Aunque sin duda se trata de una molestia, este ataque no representa un riesgo sistémico para el sector financiero mexicano. Dada la relevancia menor de la banca personal para el sector en su conjunto, este tipo de disrupción se considera una amenaza baja para el sector. No obstante, este tipo de ataques puede conducir a daños a la reputación de las instituciones individuales, mientras que la naturaleza competitiva del sector puede conducir a costos financieros conforme los clientes cambien de banco, lo cual significa que se requiere implementar medidas de mitigación.


La creciente importancia económica, geoestratégica y financiera de México, en un mundo donde los actores de amenaza cibernética tienen una clara intención de enfocarse en organizaciones con fines políticos, estratégicos o financieros; el sector financiero mexicano se convertirá en un objetivo cada vez más atractivo. A pesar de que ya se enfrenta a amenazas complejas, el crecimiento en el sector financiero de México y la tendencia orientada hacia las economías en desarrollo hará que estas amenazas se hagan más comunes gradualmente.

Grupos de ciberdelincuentes que utilizan la extorsión y el fraude son actualmente las amenazas más graves que enfrenta el sector financiero mexicano. Si se maneja mal, un ataque exitoso podría tener un impacto sistémico significativo para el sector en su conjunto.

Aunque los Estados nación son más sofisticados, tienen menos probabilidad que los delincuentes de dirigir sus operaciones al sector financiero; no obstante, siguen planteando una amenaza significativa a la información confidencial. A pesar de que representan una amenaza sistémica menor, el potencial de daño a la reputación y la de ventaja competitiva de largo plazo significa que estas amenazas deben ser afrontadas.

En el extremo inferior del espectro están los grupos de activistas cibernéticos, que son propensos a atacar activos públicos del sector con ataques DDoS y de deformación. Aunque se trata de una

amenaza de bajo nivel, el potencial de efecto ‘bola de nieve’ entre comunidades de activistas cibernéticos es fuerte y puede elevar la amenaza en caso de un escándalo público.

Como hemos mostrado, las amenazas que enfrenta México no son del todo únicas en el panorama mundial de la amenaza cibernética, pero su intensidad es tal que el sector financiero mexicano está en la mira de ataques y será cada vez más atractivo en el futuro. Instituciones y organizaciones del sector de manejo de datos y sistemas con valor

económico, político o estratégico se ven amenazados por los actores de amenaza cibernética contemporáneos. El sector financiero mexicano mantiene dichos activos, previamente ha llamado la atención de los delincuentes, los Estados nación y activistas cibernéticos, y es seguro que seguirá haciéndolo. Como tal, el sector se encuentra hoy en una encrucijada: ¿Asumirá los costos asociados con el desarrollo de políticas de seguridad cibernética eficaces o correrá el riesgo de ver que los ataques cibernéticos a gran escala se conviertan en una realidad para sus miembros?

CONCLUSIÓN – EL SECTOR FINANCIERO SE ENCUENTRA EN UNA ENCRUCIJADA

Figura 8: Una visión general de las amenazas que enfrenta el sector financiero mexicano

AMENAZA ALTA AMENAZA ATAQUES

CIBERCRIMINALES

• Extorsión- DDoS

• Extorsión – Ransomware

• APT

• Fraude cibernético

• Spear-phishing

• Ingeniería social

• DDoS

• Deformación web

• Inyecciones SQL

ESTADOS NACIÓN

CIBERACTIVISTAS

AMENAZA BAJA

Amenaza Persistente Avanzada APT (Advanced Persistent Threat) es un ataque a la red en la que un agente no autorizado - por lo general con una motivación política o de negocios - obtiene acceso a una red y se queda ahí sin ser detectado durante un largo periodo de tiempo. APA generalmente se refiere a un grupo, como un Estado nación, que tiene tanto la capacidad y la intención de persistir y efectivamente dirigirse a una entidad específica. Los individuos, como un hacker individual, no se consideran generalmente como un APA porque rara vez tienen los recursos para ser a la vez avanzado y persistente, incluso si tienen la intención de obtener acceso a, o atacar, un objetivo específico

Botnet Una colección de bots que pueden ir desde decenas de millones de ordenadores ‘zombis’ que cooperan entre sí y esencialmente se utilizan para aumentar el impacto de los delitos. Estos delitos pueden incluir la difusión de mensajes de spam, malware, denegación de servicios, fraudes al dar un clic y robo de datos de los equipos de la víctima o las redes del sistema. Los perpetuadores en este caso también se conocen a menudo como “botherders” y “botmasters”, “bots” o “botnets” que controlan servidores a través de servidores de comando y control (C&C).

Bitcoin sistema de pago en línea y moneda virtual que facilita los pagos de igual a igual. La legitimidad de Bitcoin se discute a menudo ya que se utiliza regularmente para actividades ilegales en la oscura red del mercado negro. Por ejemplo, con el cierre de Ruta de la Seda en 2013 las fuerzas policiales incautaron 144.000 Bitcoins, que es equivalente a $ 28,5 millones en ese momento. Sin embargo, Bitcoins son cada vez más populares ya que sus honorarios son considerablemente más bajos que los que cargan los procesadores de tarjetas de crédito y porque todas las transacciones son recodificados en un libro público.

Crimeware malware especializado diseñado exclusivamente para los ciberdelincuentes para infectar las cuentas en línea del usuario y obtener datos confidenciales o sensibles o extorsionar a los objetivos. El crimeware atrae gran interés entre los ciberdelincuentes porque los ‘kits’ son constantemente actualizados y vendidos en los foros criminales.

Denegación Distribuida de Servicio los ataques DDoS tiene la finalidad de interrumpir la operación normal de sitios web y sistemas de redes y evitar que los usuarios legítimos tengan acceso a ellos. Actores DDoS utilizan un conjunto de equipos cooperantes ‘zombie’ (botnets) para inundar los sitios web de

destino o de los sistemas de red con solicitudes de datos. Estos delincuentes son capaces de llevar a cabo ataques DDoS en múltiples geoubicaciones y controlar la velocidad a la que corra un ataque cuando tenga lugar.

Exploit Una herramienta (por lo general una pieza de software, la secuencia de comandos o conjunto de datos) que explota vulnerabilidades en el software o hardware. Dicha actividad se realiza a menudo con efectos de escalada de privilegios tales como el control sobre el sistema informático o de denegación de servicio distribuido (DDoS).

Keylogger Una pieza de software de vigilancia que graba todo lo que se escribe en un teclado detectando así contraseñas, códigos NIP, mensajes instantáneos, correos electrónicos y otra información confidencial.

Dirección IP Maliciosa Una dirección IP que los investigadores de seguridad han detectado comportándose sospechosamente. Las direcciones se conocen por distribuir malware, actuar como servidores de comando y control para malware o realizar exploraciones agresivas en otros sistemas.

Malware Software malicioso creado específicamente para dañar, interrumpir o explotar un sistema informático. El malware puede aplicar como código, texto, contenido activo y otro software. El malware incluye virus, gusanos, ransomware, spyware, adware, scareware, troyanos y otros programas equivalentes.

Phishing Un intento de obtener información privada y confidencial de los usuarios individuales de internet que puede incluir nombres de usuario, contraseñas y datos de tarjeta de crédito. Estos delincuentes generalmente envían mensajes de correo electrónico o se ponen en contacto con las víctimas a través de la mensajería instantánea y se disfrazan como un corresponsal auténtico u oficial. Mensajes o correos electrónicos de phishing a menudo contienen enlaces a sitios web infectados por malware.

Point of Sale Malware POS malware es software malicioso diseñado para robar datos de pago de los clientes de comerciantes minoristas y sistemas de pago bancarios.

Ransomware Malware diseñado para intimidar o forzar a las víctimas a pagar un rescate por lo general mediante la encriptación de archivos de las víctimas. Con menos frecuencia, los delincuentes ransomware muestran imágenes de organismos policiales afirmando que la víctima ha estado

involucrada en una actividad criminal en línea, para engañar a las víctimas a pagar la ‘multa’ – esto es conocido como ransomware de la policía.

Skimmer Un dispositivo que se coloca en la entrada de un cajero automático y secretamente roba la información de tarjeta de crédito y débito de clientes desprevenidos.

Ingeniería Social la manipulación de las víctimas al realizar acciones o divulgar información confidencial que puede utilizarse para acceder a redes informáticas para cometer fraude u otras actividades criminales.

Spear-phishing una variante del phishing que se dirige a grupos específicos de personas que tienen al menos una cosa en común. Por ejemplo, pueden trabajar en la misma empresa, asistir a la misma Universidad, utilizar los servicios de banca en la misma institución financiera, u ordenar bienes y servicios de los mismos sitios web. Spearphishers intenta adquirir las credenciales de seguridad al disfrazarse a sí mismos como un remitente legítimo y familiar y mediante el envío de solicitudes de información maliciosas – o enlaces y archivos con malware – vía mensajes de correo electrónico.

SQL injection SQLi es una técnica utilizada a menudo para atacar aplicaciones controladas por datos creados con lenguaje de consulta estructurado (SQL). Esto se hace incluyendo porciones de enunciados SQL en un campo de entrada para que el sitio web pase desde un comando SQL recién formado a la base de datos (por ejemplo, para enviar el contenido de la base de datos al atacante).

Trojan Malware que se presenta a la víctima como algo legítimo realizando al mismo tiempo actividad maliciosa como borrar, bloquear, copiar o modificar datos o dilatando el rendimiento de la computadora de la víctima.

Deformación de Sitio Web un ataque que pretende cambiar el aspecto visual de un sitio web o una página web

Día Cero cuando se trata de una amenaza informática para explotar vulnerabilidades de aplicación de la computadora ya sea desconocidas y no revelada para el proveedor de software o para el que ningún efecto de seguridad esté aún disponible.

GLOSARIO

Published by Control Risks, Cottons Centre, Cottons Lane, London SE 1 2QG. Control Risks Group Limited (‘the Company’) endeavours to ensure the accuracy of all information supplied. Advice and opinions given represent the best judgement of the Company, but subject to Section 2 (1) Unfair Contract Terms Act 1977, where applicable, the Company shall in no case be liable for any claims, or special, incidental or consequential damages, whether caused by the Company’s negligence (or that of any member of its staff) or in any other way.

Copyright: Control Risks Group Limited 2015. All rights reserved. Reproduction in whole or in part prohibited without the prior consent of the Company.

[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@controlrisks.com

www.controlrisks.com

Control Risks’ offices

Documents

AMENAZAS CIBERNÉTICAS AL SECTOR FINANCIERO MEXICANO