Descarga el PDF
Por shockeante que se lea, para la mayoría de las instituciones bancarias o financieras los sistemas de seguridad para resguardar sus sitios web —y, por ende, la protección de archivos que pueden ser robados como consecuencia de un ataque dephishing, clonación de sus páginas o hackeo a través de la red—, no están en el primerísimo plano de atención.
Instituciones importantes como Capital One, JP Morgan Chase, Suntrust o Wells Fargo tienen algo en común, además de ser entes financieros: ninguno utilizan lo que se conoce comúnmente como la “mejor práctica” en la industria, cuando se trata de seguridad web.
Muchos expertos incluso le ponen una mala calificación a la seguridad de bancos como HSBC y TD Bank, pues en sus sitios de internet ni siquiera se aseguran conexiones privadas con los clientes, los cuales pueden estarse conectando sin darse cuenta que son páginas web falsas dirigidas por delincuentes cibernéticos.
LA ENDEBLE PROTECCIÓN DE ARCHIVOS
¿La diferencia? Si ve “http://” en la barra de direcciones, cualquiera puede espiar su sesión de internet. El prefijo “https” hace que sea privado. Esto es lo mínimo que debe hacer su institución financiera por usted. Cualquier servicio en línea respetable utiliza https o contrata a un buen proveedor de servicios gestionado de TI para evitar que los usuarios sean víctimas de un hacker.
Si un sitio no es seguro, no hay manera de saber si esos botones “login” son legítimos. Podría ser parte de una estafa de phishing.
Cualquier usuario en una misma red WiFi o una red corporativa puede “husmear” ligeramente en su sesión de internet y atraparlo con una página falsa del banco. Con esa información, van a robar el dinero directamente de su cuenta bancaria.
Esa es la parte que afecta a un cliente cuando la seguridad de los sitios web es débil. Pero los bancos también padecen problemas cuando su infraestructura de TI no está bien protegida y no cuenta con una estrategia contra riesgos, como puede ser un ataque DDoS.
Wells Fargo ha dado a conocer desde 2011 que ha sido atacado por cibercriminales, afectando el servicio que ofrece a sus clientes. Por ejemplo, ese año el sitio web Sitedown.co recibió cientos de quejas de los usuarios que aseguraban que eran expulsados del sitio web del banco.
Desde hace varios meses, bancos de Estados Unidos, corredurías y aseguradoras han recibido ataques cibernéticos que causan interrupciones inexplicables en sus sitios web públicos.
Wells Fargo es una de las instituciones financieras que han sido hackeadas por el grupo Cyber Fighters por temas políticos, donde se ha bloqueado los accesos o “tirado” el servicio en internet, como parte de una amplia campaña cibernética orientado a EU.
Los ataques han sido descritos como de escala masiva y bien coordinada. Algunos han inundado los sitios web del banco con información a velocidades de hasta 100 gigabits por segundo. Un ataque DDoS habitual está en el orden de 5.10 gigabits por segundo.
Sin embargo, la mayoría de los bancos no han logrado mejorar sus estrategias de seguridad informática, a pesar de que actualmente es más barato, fácil, y, a veces con sólo contratar un proveedor externo que ayudará a ahorrar millones de dólares en robos o multas.
Aunque no hay una solución sencilla, pues actualizar la seguridad es un gasto grande, no hay excusa para no acometerlo. Analistas de la industria de la tecnología han señalado muchas veces las consecuencias negativas de una escasa protección de archivos.
Es importante señalar que los piratas informáticos pueden romper la versión más débil en la cadena de los bancos, que viene desde una vulnerabilidad en sus sistemas, o hasta en sus empleados. Sí, los clientes del banco también están expuestos.
La tecnología evoluciona y hay mejores sistemas y proveedores de seguridad, pero está en los directivos entender las implicaciones de ser vulnerados por la ciberdelincuencia.
