Banca Digital: la seguridad a toda costa

Estamos gastando más y más tiempo en smartphones y sus aplicaciones y menos tiempo en laptops y tablets. Cada día, nuevas características están disponibles en el móvil, y hay más aplicaciones a quienes estamos dispuestos a entregar nuestros datos. Con una mayor familiaridad surge una mayor confianza, y la gente está confiando en las aplicaciones bancarias.

Pero con este aumento exponencial de las aplicaciones y capacidades de los teléfonos inteligentes viene más exposición a la ciberdelincuencia. La agenda móvil ha abierto más amenazas desde una perspectiva de ciberseguridad. También hay más errores que pueden ser explotados, como el bug FaceTime de Apple, que permitió a los usuarios de FaceTime espiar a otros usuarios sin su permiso [https://www.nytimes.com/2019/01/28/Technology/personaltech/FaceTime-bug-iPhone-hack.html}. El 2016 vio el mayor ataque de denegación de servicio distribuido (DDoS) a través de Internet de las cosas (IoT). [https://www.TheGuardian.com/Technology/2016/Oct/26/DDoS-Attack-DYN-Mirai-botnet] los dispositivos de IoT no seguros fueron hackeados y resultaron en una botnet (una red de computadoras privadas infectadas con software malicioso y controladas como un grupo con el fin de enviar spam). Causó caos en línea e incluso provocó interrupciones en Twitter y Amazon. Tales amenazas son más prevalentes hoy en día debido a la abundancia de dispositivos IoT.

La industria bancaria es uno de los principales objetivos de los ataques. Es cierto que los sitios web y aplicaciones, (tanto externas como internas) tienen protocolos de seguridad escritos en ellos, pero a menudo puede ser el humano en el sistema, con un deslizamiento momentáneo demasiado humano en la vigilancia, que no logra detectar la amenaza.

La floreciente cultura de BYOD (traiga su propio dispositivo) significa que más y más personas están trayendo sus propios ordenadores para trabajar. Esto puede crear un ambiente eficiente y relajado para los empleados, pero significa que la gestión de la identidad y el acceso nunca ha sido más importante en el lugar de trabajo. Sí, la automatización puede llevar a que las empresas se vuelvan más ágiles, pero puede aumentar la superficie de ataque de una organización, creando nuevas vulnerabilidades.

Estos días, la banca digital y los pagos en línea son una forma rápida y conveniente de gestionar nuestro dinero. Podemos comprobar nuestros saldos, pagar por bienes y servicios, y transferir dinero a nuestra familia y amigos en unos pocos clics desde cualquier lugar, en cualquier momento, en cualquier dispositivo y en cualquier plataforma.

Para los bancos también es mejor. No sorprende que estén dispuestos a impulsar una agenda móvil. La banca digital reduce el costo de los cajeros que manejan las transacciones al reducir la necesidad de que los clientes visiten una sucursal bancaria y elimina la dependencia de los bancos de información trivial y la automatización de ciertos procesos sin valor agregado. Y está eliminando lentamente la necesidad de tener locales de sucursales bancarias físicas en absoluto, como ME Bank, el Banco directo.

Los pagos móviles se triplicaron en Finlandia en 1998 cuando se habilitaron dos máquinas expendedoras de coca-cola con pagos por SMS. Con el tiempo la idea se agarró. En 1999, los bancos empezaron a ofrecer banca móvil a sus clientes. Aunque el concepto de usar sistemas de moneda no basados en monedas no es nuevo, es sólo recientemente que la tecnología para apoyarla se ha vuelto ampliamente accesible.

Entonces, ¿es todo ganar-ganar? ¿Tanto para los bancos como para sus clientes? Si es así, entonces ¿por qué, en 2019, son uno de cada tres usuarios de teléfonos inteligentes que todavía no usan banca APS?

Una razón crítica podría ser la falta de confianza en la seguridad de la tecnología. Las tasas de ciberdelincuencia están aumentando año tras año. Se ha ido de un molesto desafío empresarial ocasional a tener el potencial de causar estragos a su función de negocios y no contada, a menudo un daño irreparable a la reputación.

Dadas las graves ramificaciones de una brecha de seguridad importante, es fundamental que los bancos inviertan en soluciones innovadoras de ciberseguridad. Es como el viejo adagio “la prevención es mucho mejor que una cura.”  Por lo tanto, los bancos están invirtiendo energía, tiempo y gastos en la creación de soluciones que tienen capacidades de detección y respuesta proactiva, como la búsqueda de amenazas de apt (avanzadas persistentes), y centrándose en el análisis posterior a la infracción para minimizar la detección y tiempo de corrección.

Los tipos de ciberdelincuencia que a menudo afectan a la banca son: el uso no autorizado mientras el propietario está utilizando el servicio de banca móvil; piratería remota o interferencia a través de Internet de los flujos de datos de la red telefónica, y el malware que busca robar credenciales de tarjeta de crédito. Un malware reciente particularmente infame era un troyano llamado “Bankbot”. [https://www.theregister.co.uk/2017/08/23/banking_trojan_on_google_play/] Consiguió superar las protecciones de Google y los dispositivos Android de destino en todo el mundo. El malware se activó cuando los usuarios abrieron una aplicación bancaria, sobreponiendo la pantalla para robar la información del usuario.

Algunas características que estamos empezando a ver que están haciendo la vida más difícil para los delincuentes cibernéticos y que calmar los temores de los usuarios de banca móvil potenciales son:

• Dispositivos biométricos y de huellas dactilares­ – una manera infalsificable para ti para obtener acceso a tu cuenta.
• Análisis de comportamiento: se marca un comportamiento inusual. Una notificación en tiempo real se envía por SMs y/o correo electrónico. ¡Ese no soy yo! Díle a tu banco, y el desastre puede evitarse.
• Cifrado de extremo a extremo­: esto contrarresta la amenaza masiva de piratería mediante la realización de auditorías de seguridad y pruebas de penetración.
• Contraseñas de una sola vez – una gran medida en la lucha contra el ciberfraude. Se solicitan OTPs para cada transacción utilizando una interfaz de banca en línea o móvil. La contraseña que envía al teléfono inteligente del usuario a través de SMS. La contraseña expira después de un sólo uso.

Los teléfonos móviles e Internet no solo influyen en la sociedad moderna actual, sino que lo están definiendo y, por lo tanto, los bancos están comprensiblemente empujando la primera agenda móvil. Los bancos están trabajando con socios tecnológicos para crear los tipos de soluciones de ciberseguridad que pueden más que satisfacer la amenaza planteada.

Con el fin de contrarrestar este nivel de amenaza hoy en día, cada organización habilitada para la ciberseguridad debe tener una verificación proactiva incorporada, monitoreo continuo y un departamento de soluciones de defensa dedicado a:

• Garantizar la identificación proactiva de los ataques
• Identificar la gravedad del ataque y el mecanismo de propagación
• Tener un plan de mitigación de ataques para construir soluciones de defensa
• Identificar la fuente y hacer un seguimiento de ella.

Es imperativo guiar a los clientes a través de cada paso de sus viajes de transformación digital y las medidas de ciberseguridad impulsadas por las últimas tecnologías deben ser integrales en su digitalización. La confianza del cliente es el alma de la industria bancaria en la que cualquier violación de la seguridad podría ser la pérdida de reputación y la lealtad del cliente. La popularidad del teléfono inteligente significa que el mundo está más conectado que nunca, pero como consecuencia ha ampliado el objetivo de los ciberdelincuentes – tenemos que ser más que el desafío.

La opinión expresada aquí está sujeta a opinión personal y por favor siéntete libre para sugerencias, comentarios o discutir más sobre la seguridad de la ciberseguridad y las tecnologías digitales en connect.mx@capgemini.com