AMENAZAS CIBERNÉTICAS AL SECTOR FINANCIERO MEXICANO. Managing Risk Maximising Opportunity

Transcripción

1 Managing Risk Maximising Opportunity

2 ÍNDICE ÍNDICE 3 RESUMEN EJECUTIVO 1 INTRODUCCIÓN 2 Seguridad Cibernética oportunidades y retos 2 Qué tan malo es lo malo? Naturaleza del Panorama Actual de Amenazas Cibernéticas Globales 3 Tras el dinero los actores de amenazas cibernéticas apuntan cada vez más hacia economías emergentes 5 EL PANORAMA MEXICANO DE AMENAZAS CIBERNÉTICAS 7 Por qué los actores de amenazas pretenden atacar organizaciones en México? 7 Cuál es el panorama actual de amenazas en México? 8 EL SECTOR FINANCIERO MEXICANO BAJO AMENAZA 11 Los ciberdelincuentes son una amenaza significativa para el sector financiero mexicano 11 No es probable que los Estados nación apunten hacia el sector financiero en masa 14 Los Activistas actualmente no tienen las capacidades para representar una amenaza grave para el sector 16 TRES ESCENARIOS DE ATAQUES PROBABLES QUE ENFRENTA EL SECTOR FINANCIERO MEXICANO 19 Cyberdelincuentes extorsionan a Grupos Financieros en México 19 Un Estado nación se infiltra en los bancos comerciales para vigilar a los cuentahabientes 19 Grupo activista cibernético lanza un ataque de denegación de servicio a los sitios web públicos de varias instituciones bancarias 20 CONCLUSIÓN EL SECTOR FINANCIERO SE ENCUENTRA EN UNA ENCRUCIJADA 21 GLOSARIO 22

3

4 RESUMEN EJECUTIVO El entorno de amenazas cibernéticas continúa evolucionando y México atrae gradualmente la atención de actores cibernéticos maliciosos. Esto se debe en gran parte a su creciente relevancia geoestratégica regional y mundial, y a su ascendente riqueza económica y financiera. Actualmente, las organizaciones mexicanas enfrentan amenazas similares a las que experimentan las empresas que operan en las economías más desarrolladas del mundo. En este reporte, presentamos una visión estratégica de las amenazas cibernéticas que enfrenta el sector financiero en México. Además de este reporte, hemos trabajado directamente con el sector financiero en México y en un reporte confidencial, hemos proporcionando a los actores relevantes una evaluación más detallada de estas amenazas incluyendo un diagnóstico de qué tan bien defendido se encuentra el sector. Nuestro análisis muestra que la naturaleza del sector financiero en México está atrayendo nuevas amenazas. Además, las tácticas, herramientas y procedimientos que los responsables de las amenazas cibernéticas están utilizando a nivel mundial y en México, combinado con su intención de atacar organizaciones mexicanas, han creado un panorama complejo en el cual las siguientes tendencias son cada vez más evidentes: Consideramos que la amenaza más grave y persistente para las diferentes áreas del sector financiero, recae en el hecho de que los grupos de cibercriminales tienen la capacidad de enfocarse en los componentes críticos de la industria, tales como casas de bolsa y plataformas comerciales, creando un riesgo sistemático y continuo para el sector en su conjunto. Los grupos de ciberdelincuentes ya se encuentran muy activos en México y continuarán sus operaciones de manera incesante. Los ataques van desde el uso de troyanos 1 bancarios relativamente poco sofisticados, hasta intentos de extorsión utilizando las técnicas más avanzadas que interfieren directamente con el hardware para defraudar a las víctimas. Aunque los Estados nación son propensos a tomar como blanco al sector como una fuente de información en temas políticos, comerciales y de seguridad nacional, consideramos que es muy poco probable que se intente causar una irrupción del sector a gran escala. Nuestros analistas han observado ejemplos relativamente aislados de operaciones de Estados nación 2 avanzados dirigidas al sector financiero mexicano; sin embargo, es poco probable que dichos Estados se centren específicamente en el sector o planteen un riesgo sistémico más amplio. Los grupos de activistas cibernéticos en México son una fuente continua de amenaza cibernética de nivel relativamente bajo para el sector financiero mexicano, dado que se han centrado principalmente en objetivos gubernamentales. No obstante, en presencia de un detonante podrían cambiar su enfoque. En el pasado, las operaciones de activistas mexicanos se han mantenido relativamente benignas, sin embargo, la posibilidad de una repentina escalada de la actividad es muy probable, particularmente a raíz de los escándalos públicos. Estos actores de amenazas cibernéticas seguirán evolucionando para enfocar sus operaciones hacia empresas y organizaciones en el sector financiero mexicano. Mientras el sector financiero mexicano se vuelve más atractivo, el panorama de amenazas es cada vez más complejo. Esta situación ha colocado a las organizaciones en una encrucijada, ya que deben elegir entre soportar los costos de reforzar sus defensas o asumir el riesgo de ser atacados con éxito por ciberdelincuentes. 1 Malware que se presenta a la víctima como algo legítimo realizando al mismo tiempo actividades maliciosas como borrar, bloquear, copiar o modificar datos o dilatando el rendimiento de la computadora de la víctima. 2 Un Estado nación avanzado es un Estado que ha demostrado sistemáticamente su capacidad para llevar a cabo de manera sigilosa y persistente, operaciones de espionaje mediante computadoras 1

5 INTRODUCCIÓN Hasta hace poco, las economías más avanzadas del mundo habían sido el foco principal de los ataques y las operaciones de espionaje cibernético. Sin embargo, el fortalecimiento de las defensas cibernéticas en estos países ha coincidido con mejores niveles de penetración y conectividad del Internet en las economías en desarrollo, resultando en un aumento en la amenaza de actores maliciosos que se inclinan por atacar objetivos más débiles y expuestos. Ahora más que nunca, la necesidad de las empresas, organizaciones, gobiernos y usuarios individuales de estar cada vez más conectados, tomará la delantera y superará las consideraciones de seguridad, garantizando un rico botín para los agentes de amenaza. El crecimiento acelerado del sector financiero de México y el creciente interés que despierta en los actores malintencionados, se combinan también para elevar la relevancia de este tema. Al entender el panorama mundial de amenazas cibernéticas junto con la situación en México, las organizaciones mexicanas pueden lograr una clara visión de la naturaleza de las amenazas actuales y futuras y, por ende, cómo defenderse en contra de ellas. Este documento brinda una introducción al panorama global de amenazas y se enfoca en el caso específico de México. Adicionalmente, evalúa las amenazas que enfrenta el sector financiero mexicano; considerando los escenarios más relevantes en los que el sector puede ser un blanco fácil. del departamento de Tecnologías de la Información (TI) de una empresa. Sin embargo, una serie de ataques de alto perfil y el crecimiento constante de las amenazas, han penetrado en la conciencia global tanto a nivel individual como a nivel corporativo. Este creciente énfasis en la importancia de la seguridad cibernética es también producto de la cada vez mayor dependencia de las empresas, gobiernos e individuos hacia la tecnología informática y de comunicación (TIC) la cual ha transformado la seguridad cibernética en un reto para toda la empresa, no sólo para el equipo de TI. Las amenazas cibernéticas pueden tener efectos sumamente perjudiciales para las operaciones diarias Figura 1: Los tres actores de la amenaza cibernética ESTADOS NACIÓN de las empresas y, en algunos casos, poner en peligro su supervivencia. Una amenaza cibernética se define normalmente como el intento y la capacidad de un actor específico para causar daño - de muy diversas maneras - a una organización. Las amenazas contienen elementos técnicos y tácticos (las capacidades de los actores), y un elemento estratégico y humano (su intención). Con estas características en mente, la incapacidad de las soluciones puramente técnicas para protegerse eficazmente contra las amenazas informáticas se hace evidente, ya que dichas soluciones carecen del entendimiento estratégico y humano, acerca de la naturaleza y la probable evolución de los agentes de amenaza cibernética. CIBERACTIVISTAS CIBERCRIMINALES SEGURIDAD CIBERNÉTICA OPORTUNIDADES Y RETOS Hace algunos años, la seguridad cibernética se limitaba en gran medida al uso de software anti-virus a cargo 2

6 QUÉ TAN MALO ES LO MALO? NATURALEZA DEL PANORAMA ACTUAL DE AMENAZAS CIBERNÉTICAS GLOBALES Para entender la naturaleza de las amenazas a México y en particular a su sector financiero, es vital entender primero el panorama de amenazas global, el rumbo que va a tomar y las motivaciones de las tres principales categorías de actores de amenaza: los Estados nación, los cibercriminales y los ciberactivistas. Nuestra evaluación del panorama mundial de amenazas muestra que desde el 2014, la gravedad y frecuencia de ataques cibernéticos dañinos están en aumento (Figura 2) 3 Nuestro pronóstico visto a través de la línea de puntos de color rojo en la figura 2 - sugiere la probable continuación de esta tendencia al alza en el futuro. Los ataques cibernéticos perjudiciales están destinados a ser cada vez más comunes y a menos que sean adecuadamente mitigados, su potencial para causar daños e irrupciones graves también aumentará. Por qué los ataques son cada vez más severos? Tres acontecimientos clave pueden explicar esta tendencia: Figura 2: Los ataques cibernéticos más severos registrados por Control Risks mensualmente Nivel de la amenaza Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dec Ene Feb Mar Abr May Jun Jul La proliferación de la capacidad técnica implica que cada vez más agentes entren al ámbito cibernético. Lo que solía ser una esfera exclusiva de individuos puramente técnicos con conocimientos altamente especializados, ahora está ampliamente disponible. 2. El área de superficie disponible para estos atacantes es más amplia que nunca. Mientras que en el pasado los sistemas computacionales se reservaban a funciones específicas dentro de las empresas; hoy la informática está siempre presente en las organizaciones. Por ende, los objetivos potenciales de ataques cibernéticos han aumentado significativamente. 3. La creciente conectividad a través de Internet de varios sistemas significa que las técnicas de ataques genéricos y poco sofisticados como la denegación de servicio distribuido (DDoS) pueden causar enormes daños a la capacidad operativa de una empresa. Quién lleva a cabo los ataques cibernéticos? Tradicionalmente clasificamos a los actores de amenazas cibernéticas en tres grupos distintos: Los Estados nación típicamente son los actores de amenazas más sofisticadas y pueden estar motivados por cuestiones políticas o económicas. En Estados con programas desarrollados, grupos 3 Se considera como dañino el ataque cibernético para impedir las principales funciones económicas, humanas u operativas de una organización específica por un período prolongado de tiempo; y con puntuación por encima de 7 en el modelo de amenaza de riesgos de Control Risks (Véase cuadro) 3

7 PUNTUACIÓN DE LA AMENAZA CIBERNÉTICA Nuestro equipo de Inteligencia de Amenazas Cibernéticas ha creado un modelo cuantitativo para registrar el desarrollo de las amenazas cibernéticas. Este modelo proporciona una comprensión de cada evento reportado por nuestro equipo dentro del más amplio contexto del entorno de amenazas cibernéticas. Como entradas para el modelo, nuestros analistas compilan varios factores, incluyendo a los actores involucrados en las amenazas, las herramientas que utilizan, los activos y los sectores a los que se dirigen y el impacto que tienen. Una combinación de estos factores forma la base para una evaluación total de amenazas. Una puntuación entre 1 y 2 debe ser considerada como una amenaza de nivel muy bajo, el conocimiento de esto es importante, pero rara vez requiere acción inmediata. Las amenazas calificadas de 3 a 4 deben ser consideradas como una amenaza de bajo nivel, para la cual las empresas deben considerar la implementación de técnicas de mitigación. Amenazas medianas con una puntuación de 5 o 6, por lo general requieren la introducción de técnicas de mitigación no intrusivas. Las amenazas con puntuación de 7 u 8 se consideran amenazas de alto nivel y requerirán la mitigación inmediata. Una amenaza con calificación de 9 o más debe ser considerada como una amenaza de muy alto nivel que requiere la más inmediata contención, mitigación e investigación. avanzados de amenaza persistente (APT) 4 pueden realizar ciberespionaje para proporcionar inteligencia estratégica a actores políticos. Otros reúnen información comercial sensible para beneficiar a compañías nacionales u otras compañías de importancia estratégica para la economía de un país. Desarrollar poderes cibernéticos también tiende a ser menos formal, utilizando reclutas de grupos de cibercriminales y ciberactivistas locales. Sin embargo, ambos tipos de Estado nación están empeñados en el desarrollo de capacidades cibernéticas de ataque que puedan ser utilizados para afectar la infraestructura crítica de los países rivales y para robar información. Los cibercriminales están motivados principalmente por las ganancias financieras. Pueden lograrlo mediante la adquisición de credenciales de cuentas bancarias, datos de tarjetas de pago o información de identificación personal que puede aprovecharse directamente para realizar transacciones, compras fraudulentas o venderlas en foros criminales clandestinos. Compañías de servicios financieros, seguidas por los empresas minoristas (retailers), empresas de esparcimiento y hotelería, organizaciones de salud y proveedores de telecomunicaciones, son las empresas que típicamente enfrentan una amenaza sustancial de estos atacantes. Sin embargo, ya que algunas empresas han mejorado la seguridad de la información de sus clientes, los cibercriminales buscan extraer dinero de todo tipo de empresas, exigiendo el pago de rescates a cambio de no realizar actividades perjudiciales. Los activistas cibernéticos, también conocidos como hacktivistas, están motivados generalmente por cuestiones políticas y de justicia social. Los ataques de activistas cibernéticos típicamente suelen incluir técnicas 4 Amenaza Persistente Avanzada (APT por sus siglas en inglés) es un ataque a la red en la que un agente no autorizado - por lo general con una motivación política o de negocios - obtiene acceso a una red y se queda ahí sin ser detectado durante un largo periodo de tiempo. APT generalmente se refiere a un grupo, como un Estado nación, que tiene tanto la capacidad y la intención de persistir y efectivamente dirigirse a una entidad específica. Los individuos, como un hacker individual, no se consideran generalmente como un APT porque rara vez tienen los recursos para ser a la vez avanzado y persistente, incluso si tienen la intención de obtener acceso a, o atacar, un objetivo específico 4

8 poco sofisticadas - tales como ataques de denegación de servicio 5 o deformación de sitios web 6 para ridiculizar a sus víctimas, por lo que generalmente se enfocan en objetivos accesibles y poco protegidos para aclamar victorias y aumentar su notoriedad. Individuos más capaces pueden comprometer y filtrar datos sensibles. Los grupos de activistas cibernéticos son cada vez más utilizados por los Estados nación para evitar que se les atribuyan públicamente la responsabilidad de los ataques y para perseguir tácitamente agendas geopolíticas. TRAS EL DINERO LOS ACTORES DE AMENAZAS CIBERNÉTICAS APUNTAN CADA VEZ MÁS HACIA ECONOMÍAS EMERGENTES Además del avance en las capacidades de los actores de amenaza cibernética, su rango de acción también ha aumentado en los últimos años. La Figura 3 destaca el creciente número de países, principalmente localizados en Europa, América y Asia Pacífico afectados por ataques cibernéticos desde el inicio de Un análisis predictivo (en rojo) muestra la probabilidad de que incluso más países sean afectados en el futuro. Mientras que las tasas de crecimiento de la conectividad y penetración de Internet permiten a los atacantes afectar nuevos objetivos, la creciente riqueza de las economías emergentes también atrae a esta actividad. De hecho, el crecimiento del rango de objetivos fomenta la propagación de las amenazas cibernéticas, así como el deseo de los delincuentes establecidos de diversificar sus operaciones. La importancia geopolítica y económica de las regiones en desarrollo alrededor del mundo, es una de las causas de esta diversificación. La relativa falta de madurez de la seguridad cibernética en las organizaciones que operan en economías emergentes, es también un factor importante en esta tendencia de focalización. América Latina así como Asia Pacífico, de acuerdo con nuestro conocimiento, han visto un crecimiento constante en los ataques provenientes de las tres categorías de actores de amenaza cibernética. Ciertamente, como muchos negocios han comenzado a implementar estrategias de seguridad cibernética, los actores de amenazas se están adaptando, enfocándose en aquellas con activos menos seguros. Las debilidades en el sector privado suelen ir acompañadas de problemas legislativos y operativos nacionales en las economías emergentes. Esto incluye la falta de asociaciones público-privadas, y la ausencia de marcos legislativos eficaces que definan la responsabilidad y las sanciones por deficientes prácticas de seguridad cibernética, así como para procesar a los responsables de dichos ataques. Figura 3: Número de países afectados por ataques cibernéticos dirigidos por mes Ene Feb Mar Abr May Jun Jul Los ataques DDoS tiene la finalidad de interrumpir la operación normal de sitios web y sistemas de redes y evitar que los usuarios legítimos tengan acceso a ellos. Actores DDoS utilizan un conjunto de equipos cooperantes zombie (botnets) para inundar los sitios web de destino o de los sistemas de red con solicitudes de datos. Estos delincuentes son capaces de llevar a cabo ataques DDoS en múltiples geoubicaciones y controlar la velocidad a la que corra un ataque cuando tenga lugar. 6 Un ataque que pretende cambiar el aspecto visual de un sitio web o una página web 5

9

10 EL PANORAMA MEXICANO DE AMENAZAS CIBERNÉTICAS POR QUÉ LOS ACTORES DE AMENAZAS PRETENDEN ATACAR ORGANIZACIONES EN MÉXICO? Mientras el panorama mundial de amenazas cibernéticas continúa expandiéndose tanto en su alcance geográfico como en sus niveles de complejidad, México es, cada vez más, el blanco de una variedad de actores de amenazas. Esta tendencia puede atribuirse a causas económicas, geopolíticas y nacionales. 10, existía una correlación positiva 7 entre el PIB del país y la gravedad de los ataques que enfrentaba (Figura 4). Otros factores son importantes para entender el alto nivel de amenaza experimentada por algunos países, como lo ilustra la posición de Ucrania en la gráfica, donde la situación política y de seguridad ha llevado a una serie de sofisticados ataques. Sin embargo, es probable que la posición de México como punto importante de poder económico y comercial haya dado lugar al aumento en el interés de los actores de amenazas cibernéticas para apuntar hacia las empresas que operan en el país, y seguirán haciéndolo en el futuro. Figura 4: Los 20 países que enfrentan los más altos niveles de amenaza desde enero de China Estados Unidos Causas Económicas México goza de considerable Inversión Extranjera Directa (IED) y un constante crecimiento del Producto Interno Bruto (PIB). Esta expansión y la relativa inmadurez de sus defensas de seguridad cibernética lo han convertido en un objetivo sumamente atractivo para agentes maliciosos. El entorno macroeconómico de México hace del país un objetivo atractivo para aquellos que buscan obtener inteligencia económica o mejores dividendos en sus operaciones financieras. Esta tendencia permanecerá mientras la importancia del país respecto a la economía global continúe desarrollándose Canadá Arabia Saudita Nigeria Israel Bélgica Sudáfrica Grecia Brasil India Suiza Marruecos MÉXICO Italia España Francia Turquía Países bajos Ucrania Alemania Reino Unido Nuestra investigación sobre las amenazas cibernéticas globales revela que entre los 20 países con la mayor puntuación acumulada en 2015, en el que México ocupa el puesto número 0 CLAVE PIB RELATIVO PUNTUACIÓN DE AMENAZAS LINEAL (PIB RELATIVO) LINEAL (PIB RELATIVO) LINEAL (PUNTUACIÓN DE AMENAZAS) 7 El valor del momento del producto Pearson de las dos variables (puntuación amenazas y PIB) fue de r = 0.66, indicando una correlación positiva entre las variables. 7

11 Causas Geopolíticas De manera similar, los principales sectores de crecimiento potencial de México son los que normalmente atraen la atención de los grupos de espionaje de Estados nación, como el sector de petróleo y gas, debido a su importancia estratégica e internacional. México está bien posicionado para actuar como un vínculo esencial entre América del Norte y América Latina, pero aún tiene que cumplir con esto o jugar un papel geopolítico más prominente y potencialmente controversial, para reducir la probabilidad de sufrir ataques destructivos realizados por Estados rivales destinados a interrumpir la operación de los servicios públicos críticos. Sin embargo, sigue siendo una voz prominente en las negociaciones comerciales, a menudo en estrecha cooperación con los EE.UU. Las instituciones gubernamentales de México podrían ser un blanco a causa de esta relación. Causas Domésticas Internamente, es probable que cuestiones de justicia social movilicen a grupos de activistas cibernéticos para apuntar hacia áreas gubernamentales clave, incluyendo al sector financiero. Con anterioridad, colectivos de ciberactivistas mexicanos, han llevado a cabo operaciones en contra de empresas del sector privado y del gobierno, motivados por temas como el narcotráfico y la corrupción política. Aunque es bastante limitado en su forma actual en México, el activismo cibernético es una amenaza muy volátil, con algunas campañas capaces de tomar impulso rápidamente en el caso de un escándalo público generalizado. Tradicionalmente, los activistas cibernéticos también han lanzado ataques antes, durante y después de acontecimientos políticos importantes. Es altamente probable que las elecciones presidenciales mexicanas en 2018 sirvan como detonante en estos grupos para llevar a cabo deformaciones de sitios web y ataques DDoS contra sitios web gubernamentales y de partidos políticos. Hemos observado este fenómeno en todo el mundo en momentos de gran tensión política. Por ejemplo, en México en 2012 activistas cibernéticos se dirigieron a sitios web gubernamentales con ataques de deformación, en una protesta política marcando el día de la independencia del país, mientras que las recientes negociaciones sobre un plan de rescate europeo para Grecia han provocado grupos de activistas cibernéticos orientados hacia los sitios web asociados con el gobierno griego e instituciones financieras europeas con ataques DDoS en pequeña escala. CUÁL ES EL PANORAMA ACTUAL DE AMENAZAS EN MÉXICO? Aunque consideramos que, al igual que muchos países, México tiene un nivel notable de activismo, nuestra inteligencia y evaluación es que las amenazas más peligrosas para el sector 8

12 financiero mexicano está dominado conjuntamente por operaciones de ciberdelincuentes y de Estados nación (Figura 5). Los ataques de activistas cibernéticos a menudo son malinterpretados y calificados como altamente peligrosos debido a su amplia cobertura en medios de comunicación locales e internacionales, aunque en realidad la mayoría de los grupos activistas carecen de la sofisticación de los grupos de Estados nación y delincuentes con amplios recursos. En consecuencia, a diferencia de las operaciones de ciberdelincuentes o de Estados nación, los ataques de activistas cibernéticos rara vez han planteado una amenaza existencial para las organizaciones que han afectado. Por otro lado, se han detectado grandes campañas de espionaje de Estados nación en los sistemas mexicanos en 2015, enfocados principalmente en sectores estratégicos como las telecomunicaciones, el sector energético y el gobierno. Los ataques de cibercriminales en 2015 se centraron en los sectores de comercio al menudeo y financiero. Dentro de estos sectores, los activos financieros y de información fueron los afectados con más frecuencia (Figura 6). Esto refleja la primacía de la amenaza planteada por los actores Estado nación y cibercriminales, que tienden a buscar la inteligencia estratégica y los datos financieros respectivamente. En términos de técnicas de ataque específicas (Figura 6), los ciberdelincuentes también han utilizado el malware en punto de venta (POS por sus siglas en inglés) 8 y el acceso no autorizado, en un intento de reunir datos de tarjetas de crédito y otra información financiera sensible. Figura 5: Desglose del seguimiento de las operaciones de los distintos actores de la amenaza en México en 2015 Figura 6: Gravedad promedio del tipo de ataques más comunes utilizados en contra de las empresas en México en % ESTADO NACIÓN 37% CRIMINALES % ACTIVISTAS APT Malware POS Malware Acceso no autorizado DDoS 2.5 KEY HARDWARE DEL USUARIO REPUTACIÓN INFORMACIÓN FINANCIEROS 8 POS malware es software malicioso diseñado para robar datos de pago de los clientes de comerciantes minoristas y sistemas de pago bancarios. 9

13

14 EL SECTOR FINANCIERO MEXICANO BAJO AMENAZA El sector financiero mexicano ha crecido significativamente en los últimos años (Figura 7). A pesar de la recesión económica y las secuelas de la crisis financiera mundial de 2008, el sistema financiero de México ha demostrado su resistencia. Tradicionalmente, las instituciones bancarias de crédito y sus clientes han sido las entidades más amenazadas dentro del sector financiero mundial, principalmente debido que poseen información valiosa y redituable como datos de tarjetas de crédito. Sin embargo, los ataques contra estas entidades en México siguen siendo relativamente poco frecuentes. Por otra parte, los intentos de extorsión, la interrupción de las plataformas comerciales y ataques de denegación de servicio representan amenazas mucho más comunes que presionan al sector financiero mexicano. LOS CIBERDELINCUENTES SON UNA AMENAZA SIGNIFICATIVA PARA EL SECTOR FINANCIERO MEXICANO Intención Capacidad Calificación de la Amenaza ALTA ALTA ALTA Figura 7: Capital de los Bancos Mexicanos en relación a Activos (%) PRINCIPALES HALLAZGOS La prevalencia de la actividad criminal cibernética en México, la diversidad de las instituciones financieras y el creciente valor del capital del sector, probablemente motive a los grupos de ciberdelincuentes para apuntar hacia el sector. Los grupos criminales ya se han dirigido al sector financiero mexicano, por ejemplo, comprometiendo los cajeros automáticos en el país y defraudando a los clientes de bancos en una escala significativa. Los ciberdelincuentes tienen la intención y la capacidad para dirigirse a las plataformas comerciales y otros sistemas financieros cerrados con el fin de defraudar o extorsionar a las organizaciones Ataques menos sofisticados, como el uso de troyanos bancarios, ransomware y POS malware, están muy extendidos y representan una amenaza importante para el sector y particularmente para los empleados y clientes de bancos comerciales. 11

15 Aunque los grupos de ciberdelincuentes indudablemente han diversificado sus esfuerzos en los últimos años, su deseo de ir tras el dinero significa que los ataques en contra del sector financiero siguen siendo su principal objetivo. En México, los ataques de ciberdelincuentes contra empresas y organizaciones financieras varían significativamente en términos de su sofisticación y la forma en la que van dirigidos. La criminalidad de bajo nivel pone en peligro a los empleados y clientes del sector financiero En el nivel de enfoque más amplio, los empleados y clientes de los sectores bancario y de servicios financieros mexicanos son blancos de las variantes genéricas de malware 9, tales como spyware y adware, diseñados para aprovecharse de los usuarios individuales en lugar de las empresas en particular. El estatus de México como consistente líder regional en América Latina, en términos del volumen de correo no deseado y direcciones IPs 10 maliciosas, es prueba de una amenaza sostenida de bajo nivel. Este problema se debe en última instancia a la explotación desmedida y sin escrúpulos por parte de los ciberdelincuentes tanto del bajo nivel de conciencia de los usuarios y la dificultad para investigar y procesar, en gran parte debido a su presencia en regiones caracterizadas por la falta de cooperación en cuanto a la aplicación de la ley extranjera y las dificultades técnicas asociadas con el descubrimiento preciso de quiénes están detrás de estos ataques, los grupos cibercriminales responsables de la creación y difusión del malware, lo que les da vía libre para continuar su actividad. PICEBOT Ataques criminales dirigidos pueden dañar gravemente al sector financiero mexicano Aunque genéricamente parecidos, los troyanos bancarios, cuyo objetivo es recolectar credenciales de las cuentas de usuarios individuales y luego permitir a sus operadores acceder ilícitamente a ellas y transferir fondos a otra parte, representan una amenaza más directa para el sector financiero, principalmente para sus clientes. El nivel de amenaza que México enfrenta a partir de esta forma de ataque se ha visto agravada por la aparición de variantes como PiceBOT, que ha sido diseñado y específicamente adaptado para el mercado mexicano. Además de la amenaza que representan los troyanos bancarios, el aumento de la prevalencia y la sofisticación del ransomware 11 un tipo de malware que cierra o Surgido inicialmente en febrero de 2013, PiceBOT es un kit de crimeware que permite la obtención de credenciales de cuentas bancarias en línea. Después de comprar el malware en foros de ciberdelincuentes por alrededor de $140 dólares, los usuarios de PiceBOT fueron capaces de modificar los archivos host para redirigir a las víctimas a una página de destino que imitó la página de inicio de sesión de banca en línea habitual, de donde su nombre de usuario, contraseña y otros datos de acceso pueden ser redirigidos al atacante a través de la infraestructura de mando y control del malware. Después de su despliegue inicial en México, PiceBOT fue dirigido a una serie de economías en desarrollo de habla hispana en Centro y Sudamérica 9 Software malicioso creado específicamente para dañar, interrumpir o explotar un sistema informático. Malware puede aplicar como código, texto, contenido activo y otro software. Malware incluye virus, gusanos, ransomware, spyware, adware, scareware, troyanos y otros programas equivalentes. 10 Una dirección IP maliciosa que los investigadores de seguridad han detectado comportándose de manera sospechosa. Las direcciones se conocen para distribuir malware, actuar como servidores de comando y control para malware o realizar exploraciones agresivas en otros sistemas. 11 Malware diseñado para intimidar o forzar a las víctimas a pagar un rescate por lo general mediante la encriptación de archivos de las víctimas. Con menos frecuencia, los delincuentes ransomware muestran imágenes de organismos policiales afirmando que la víctima ha estado involucrada en una actividad criminal en línea, para engañar a las víctimas a pagar la multa esto es conocido como ransomware de la policía. 12

16 ACCDFISA El malware del Departamento Contra Delitos Cibernéticos de la Agencia Federal de Seguridad de Internet (ACCDFISA) es una serie de variantes de ransomware que bloquea los dispositivos de las víctimas, mientras que dice representar a una agencia de policía ficticia. Variantes de ACCDFISA se extendieron inicialmente a través del muy vulnerable Escritorio Remoto de Windows o los servicios de Terminal Server, que luego fueron atacados con una herramienta de fuerza bruta (DUBrute) para permitir a los perpetradores descargar el malware, aunque los ataques de phishing también se utilizaron posteriormente para difundirla. La variante Protección antispam de Porno Infantil, que fue especialmente prominente en México, está escrito en lenguaje de programación Pure Basic y cuenta con pantalla de bloqueo y funciones criptográficas. Exige un pago a través del sistema MoneyPak imposible de rastrear para restaurar la funcionalidad habitual del dispositivo de la víctima. encripta el dispositivo de un usuario y luego exige un pago para restaurar el acceso - representa una amenaza más para el sector financiero mexicano. Mientras que algunas formas se han diseñado específicamente para lograr objetivos en México (ver estudio de caso ACCDFISA ), otros, como el VirRansom, son capaces de navegar a través de una red e infectar múltiples dispositivos para aumentar las posibilidades de pago del rescate. En línea con los patrones tradicionales de extorsión llevados a cabo por grupos de crimen organizado, grupos de ciberdelincuentes están lanzando cada vez más ataques contra objetivos de alto valor, alejándose de su modelo anterior de ataques de alto volumen hacia objetivos de bajo poder adquisitivo. La percepción de que las empresas del sector financiero son capaces de pagar altas demandas de rescate, las ha puesto en la mira. Esto fue ilustrado por una advertencia en mayo de 2015 por parte de las autoridades estadounidenses de que específicamente los fondos de cobertura estaban siendo atacados por grupos de ciberdelincuentes. Este modelo podría ser replicado en contra de casas de bolsa en México, donde la extorsión sigue siendo una táctica popular para grupos de ciberdelincuentes. En estos escenarios, los atacantes PLOUTUS roban información confidencial y exigen un rescate a la víctima con el fin de no eliminarla o liberarla; mientras que otros grupos de ciberdelincuentes utilizan ataques DDoS para interrumpir los servicios públicos, tales como los sitios de Internet de banca personal, y solicitar el pago para suspender la interrupción. Aunque los grupos de ciberdelincuentes que operan en México han desplazado cada vez más su modelo de focalización para imitar el de los tradicionales grupos del crimen organizado en el país, no hay evidencia directa de que haya surgido asociación entre estos grupos. Hemos reunido inteligencia exhibiendo el uso de herramientas cibernéticas como la comunicación a través de plataformas de medios sociales y la recopilación básica de inteligencia de código abierto, que con frecuencia utilizan grupos tradicionales del crimen organizado. Sin embargo, consideramos que es Ploutus es un tipo de malware enfocado a cajeros automáticos que fue descubierto por primera vez por los investigadores de seguridad en agosto de Después de cargar físicamente el malware a través de la unidad de CD-ROM que se encuentra en la parte trasera del cajero automático, los cibercriminales operan Ploutus instruyendo a la máquina para expulsar dinero en efectivo en ciertos momentos a través del control de una interfaz de usuario pre desarrollada. Esto también permitió al grupo leer los datos de las tarjetas de crédito de clientes legítimos que habían usado la máquina, a través de la pantalla del cajero automático. Aunque Ploutus se codificó inicialmente en español y se descubrió en México, posteriormente variantes escritas en inglés fueron descubiertas alrededor del mundo. Más tarde se encontró una versión adicional que permitió que los cibercriminales enviaran un SMS a un dispositivo infectado para instruirlo y poder liberar dinero en efectivo. 13

17 poco probable en esta etapa, que tales grupos recurran en México a ataques cibernéticos o cuenten con la ayuda de grupos de ciberdelincuentes para dirigirse a las instituciones financieras. Los grupos criminales han atacado con éxito el hardware utilizado por el sector financiero mexicano Esfuerzos más sofisticados por parte de los grupos de ciberdelincuentes han atacado y filtrado fondos y datos de tarjetas de crédito desde la infraestructura física utilizada por el sector financiero. Esto se puede lograr mediante el uso de punto de venta (POS) de malware, que es implantado en las redes de los minoristas y de otras empresas que utilizan sistemas de punto de venta, que luego pueden ser monetizados por grupos de ciberdelincuentes; o a través de código que ataca a los cajeros automáticos, como demuestra la aparición del malware Ploutus (ver caso de estudio), que fue diseñado específicamente para máquinas en México. Más recientemente, en agosto de 2015, una nueva variante de skimmers 12 ATM fue descubierto en los cajeros automáticos en México, mostrando la continua amenaza que plantea el enfoque en los cajeros automáticos por grupos delictivos en el país. El ataque a cajeros automáticos también se puede combinar con las operaciones de ciberdelincuentes que replican las tácticas persistentes y sigilosas utilizadas por los Estados nación. El grupo Carbanak, del cual se estima que ha robado hasta un billón de dólares de una serie de instituciones financieras en 30 países, es un buen ejemplo. El fraude hecho de forma cibernética representa una amenaza directa y pronunciada para los activos financieros El hecho de que las empresas del sector financiero mexicano con frecuencia transfieran gran cantidad de fondos, también los convierte en un blanco atractivo para los grupos cibernéticos habilitados para fraude. Estos pueden utilizar una combinación de ingeniería social y ataques de phishing para recopilar información sobre los procedimientos y personal de operación de una empresa. Esto puede ser usado para suplantar a un colega o figura de autoridad en un intento de inducir una transferencia de fondos a una cuenta bajo su control. De este modo, en febrero de 2015, el Financial Times informó sobre un supuesto aumento de los ataques en contra de las plataformas comerciales de alta frecuencia por los ciberdelincuentes que tratan de obtener algoritmos comerciales a la medida. Un ejemplo reciente ha demostrado la realidad de esta amenaza para las instituciones financieras cuando, el 11 de agosto de 2015, el FBI arrestó a cinco hombres sospechosos de haberse beneficiado de las redes hackeadas de varios distribuidores de comunicados de prensa y tener acceso a noticias corporativas antes de su lanzamiento oficial, que eran posteriormente utilizadas para llevar a cabo operaciones ilegales en acciones y opciones. A medida que la capacidad general de los ciberdelincuentes sigue creciendo junto con la rentabilidad del sector financiero mexicano, es probable que este tipo de ataques se dirijan a organizaciones dentro de México. NO ES PROBABLE QUE LOS ESTADOS NACIÓN APUNTEN HACIA EL SECTOR FINANCIERO EN MASA Intención Capacidad Calificación de Amenaza HALLAZGOS PRINCIPALES BAJA MUY ALTA MEDIA Aunque las organizaciones mexicanas pueden verse comprometidas por los Estados nación en operaciones de espionaje, es poco probable que estos incidentes causen disrupciones significativas. Los Estados nación se han dirigido previamente a los sistemas mexicanos en operaciones de espionaje comercial y operaciones de vigilancia de la seguridad nacional. Estos ataques representan una amenaza MEDIANA al sector en su conjunto y la revelación de ataques exitosos tiene el potencial de daño significativo a la reputación. Como la más sofisticada de las tres categorías de actores de amenazas consideradas en este reporte, los Estados nación como actores de amenazas pueden recurrir a la más amplia gama de tácticas, herramientas y procedimientos (TTPs). 12 Un dispositivo que se coloca en la entrada de un cajero automático y secretamente roba la información de tarjeta de crédito y débito de clientes desprevenidos. 14

18 EQUATION GROUP Equation Group es una extensa red de espionaje cibernético que fue descubierta en febrero de Atribuyendo la campaña a una agencia de inteligencia occidental, Kaspersky Lab dijo que las actividades de recopilación de información de la campaña eran las más sofisticadas de la historia. Utilizó cuatro vulnerabilidades 13 de Día Cero e infectó el firmware de disco duro. Esto parece haber sido posible por el acceso de su autor al código fuente de los fabricantes de equipos. Esto permitió al autor reprogramar el firmware con una carga útil adecuada y así volver a infectar a las víctimas cada vez que la máquina se reiniciaba, con el fin de mantener su presencia. Aunque la campaña se centró en el gobierno y las organizaciones militares, también se dirigió a una serie de empresas del sector privado, incluidas las de servicios financieros. Se considera que este ataque está vinculado con cuestiones de seguridad nacional y de inteligencia. Fueron atacadas miles de máquinas en más de 30 países, incluyendo México. Los Estados nación se pueden clasificar en tres subcategorías en función de su capacidad: de primer nivel, de nivel medio y de nivel bajo. Estados nación, primer nivel Los Estados nación del primer nivel son aquellos que tienen un historial probado de ataques altamente sofisticados y son capaces de poner en peligro los sistemas, utilizando técnicas innovadoras, sigilo y persistencia. A menudo, utilizando múltiples vectores de infección, esta categoría de Estados nación también pueden afectar seriamente al incluir la corrupción de hardware y firmware, tal como muestra el caso de Equation Group, o afectaciones a redes estratégicas. Aunque es improbable que causen daños sistémicos al sector financiero mexicano en su totalidad, la capacidad los Estados nación del primer nivel para incrustarse profundamente dentro de las instituciones de banca comercial y privada puede causar una fuga de información a gran escala, tal como los flujos de CARETO entrada y salida de transacciones en México. Estos datos podrían entonces ser utilizados como base para la recopilación de inteligencia u operaciones legales más amplias. Como tal, y a pesar de sus altas capacidades del primer nivel, los Estados nación se consideran una amenaza categoría media para el sector financiero y es poco probable que incidan de manera significativa en su supervivencia o afecten sus perspectivas de crecimiento. Estados nación del nivel medio Los Estados nación del nivel medio tienden a mostrar cierto grado de sofisticación en sus operaciones. Además de los motivos políticos y económicos habituales, también han lanzado ataques más perjudiciales contra rivales geopolíticos. A pesar de que en gran medida dependen del spear-phishing 14 como vector de infección, estos Estados nación han Descubierto por la empresa de seguridad cibernética Kaspersky Lab en febrero de 2014, Careto es una campaña de espionaje cibernético que había estado dirigida a empresas y organizaciones en una serie de países, entre ellos México, desde Los objetivos se situaban en una variedad de industrias, incluyendo empresas de capital privado y otras instituciones financieras. Careto contó con numerosas referencias en español en su código, aunque algunos investigadores sospechan que estos pueden haber sido incluidos deliberadamente para ocultar los verdaderos orígenes de la campaña. El enfoque de Careto en filtrar información financiera y económica estratégica exhibe la amenaza asociada con las operaciones de Estados nación del nivel medio. 13 Cuando se trata de una amenaza informática para explotar vulnerabilidades de aplicación de la computadora ya sea desconocidas y no revelada para el proveedor de software o para el que ningún efecto de seguridad esté aún disponible. 14 una variante del phishing que se dirige a grupos específicos de personas que tienen al menos una cosa en común. Por ejemplo, pueden trabajar en la misma empresa, asistir a la misma Universidad, utilizar los servicios de banca en la misma institución financiera, u ordenar bienes y servicios de los mismos sitios web. Spearphishers intenta adquirir las credenciales de seguridad al disfrazarse a sí mismos como un remitente legítimo y familiar y mediante el envío de solicitudes de información maliciosa o inyectar enlaces malware o archivos vía mensajes de correo electrónico 15

19 LOS ACTIVISTAS ACTUALMENTE NO TIENEN LAS CAPACIDADES PARA REPRESENTAR UNA AMENAZA GRAVE PARA EL SECTOR Intención Capacidad Calificación de la Amenaza BAJA BAJA BAJA demostrado algunas capacidades avanzadas ya en la red de la víctima. Los objetivos a menudo incluyen la filtración de información comercial confidencial, como estrategias de inversión, algoritmos comerciales de alta frecuencia y prácticas generales de inversión. Esta información podría, en el largo plazo ser una amenaza para la capacidad del sector financiero de México para seguir siendo competitivos en comparación con sus vecinos de la región, y potencialmente proporcionar a las instituciones financieras extranjeras inteligencia comercial valiosa acerca de las prácticas del sector financiero mexicano. Otros Estados nación del nivel medio han demostrado su capacidad para causar daño operativo significativo a las organizaciones del sector privado de importancia simbólica o económica para sus rivales geopolíticos. Estos ataques representan una amenaza importante para organizaciones específicas y pueden resultar en daños significativos para todo el sector. Sin embargo, la relativa neutralidad diplomática de México significa que es menos probable que sean el blanco de esos actores. Estados nación del nivel bajo Aunque todavía no se ha detectado evidencia alguna; un aumento en las capacidades de los vecinos regionales de México podría poner al sector financiero en la mira. Estados nación del nivel bajo tienden a buscar objetivos económicos similares en beneficio de sus mercados internos. Sin embargo, su falta de sofisticación y la dependencia en exploits y malware genéricos en lugar de desarrollarlo a la medida, hace que sus operaciones se consideran únicamente como amenazas de nivel medio. HALLAZGOS PRINCIPALES Los grupos de activistas cibernéticos mexicanos tienen bajas capacidades técnicas y centran sus operaciones principalmente en organizaciones gubernamentales, lo cual representa una amenaza BAJA para el sector financiero. Sin embargo, la naturaleza volátil del activismo cibernético puede elevar rápidamente la intención de estos grupos para atacar instituciones financieras mexicanas. Es probable que escándalos políticos, criminales y sobre corrupción, desencadenen alguna acción - aunque de bajo impacto - en contra de las instituciones financieras en el país Los activistas cibernéticos van detrás de los ciberdelincuentes y los Estados nación en términos de sofisticación y por lo tanto sólo pueden utilizar un conjunto restringido de tácticas. Aunque el activismo cibernético puede abarcar muchos temas, tales como el yihadismo y el patriotismo, los activistas 16

20 ANONYMOUS MEXICO En enero de 2013, la filial mexicana del colectivo internacional de ciberactivistas se atribuyó la responsabilidad por un ataque de deformación en el sitio web de la Secretaría de la Defensa. Anonymous México fue capaz de reemplazar el contenido del sitio con el manifiesto del Ejército Zapatista de Liberación Nacional, aunque el contenido se retiró después de varias horas. El sitio de la Secretaría de Marina también fue blanco de los ataques DDoS en este periodo, resultando en la imposibilidad de acceso durante varias horas. cibernéticos impulsados por factores políticos representan la principal amenaza en México. Ciberactivismo impulsado políticamente Grupos de activistas cibernéticos motivados políticamente tienen ante todo como objetivo principal ganar publicidad para ellos y para su causa. Los ataques pueden estar dirigidos hacia un objetivo específico, aunque las empresas no relacionadas y vulnerables también pueden ser atacadas para generar titulares. Como resultado, los esfuerzos de los activistas cibernéticos tienden a concentrarse en los activos públicos, con deformaciones de sitios web y secuestro de los sitios de medios sociales utilizados para difundir mensajes. Además de dañar la integridad de sus víctimas de esta manera, los grupos de activistas cibernéticos también pueden atacar la disponibilidad de los servicios a través ataques de denegación de servicio (DoS). Al dejar los sitios web sin conexión pueden ridiculizar a su objetivo y pueden incluso interrumpir sus prácticas comerciales normales. Como resultado, las herramientas de ataque, incluso poco sofisticadas, pueden representar una amenaza para los integrantes del sector financiero, en particular aquellos con activos tales como sitios y portales web para clientes. Grupos de activistas cibernéticos más sofisticados y motivados políticamente también han afectado la confidencialidad de datos de sus objetivos mediante el uso de técnicas de ataque como la inyección SQL 15 (lenguaje de consulta estructurado) para acceder a las bases de datos de forma ilícita. Aunque la información robada por ellos rara vez es de gran importancia - es ANONYMOUS HISPANO decir, listas de detalles de los empleados y direcciones de correo electrónico - estos datos pueden distribuirse a través de redes de intercambio de archivos y sitios como Pastebin, causando un daño extra a la reputación. Como nuestros casos de estudio lo muestran; grupos de activistas cibernéticos suelen emplear una combinación de estas tácticas, recurriendo cada vez más a métodos de ataque más contundentes cuando sus esfuerzos iniciales fallan, lo que les permite reclamar un cierto grado de éxito en una operación. Aunque los ataques contra el sector financiero son susceptibles de ser impulsados principalmente como respuesta a temas de actualidad, en jornadas nacionales clave, como el Día de la Independencia, también se pueden provocar un aumento en la actividad de los grupos de activistas cibernéticos. Por consiguiente, los activistas cibernéticos representan una amenaza a la reputación y ocasionalmente a las operaciones del sector financiero, a pesar de la relativa simplicidad de la mitigación de estos ataques, la amenaza global sigue siendo de bajo nivel. En septiembre de 2013, el grupo afiliado a Anonymous, Anonymous Hispano, lanzó una operación multifacética en contra del gobierno mexicano. Para mostrar su oposición a la propuesta de reforma de Petróleos Mexicanos (Pemex), se utilizaron los ataques DDoS contra el sitio web de la Cámara de Diputados (diputados.gob.mx), dejándola fuera de línea durante más de un día. Anonymous Hispano también trató de atacar directamente a Pemex, robó y filtró el correo electrónico y las direcciones físicas, números de teléfono y nombres de los empleados de la empresa, subsecuentemente publicándolos en línea. 15 SQLi es una técnica utilizada a menudo para atacar aplicaciones controladas por datos creados con lenguaje de consulta estructurado (SQL). Esto se hace incluyendo porciones de sentencias SQL en un campo de entrada para que el sitio web pase desde un comando SQL recién formado a la base de datos (por ejemplo, para enviar el contenido de la base de datos al atacante). 17