Pocas cosas me dan tanta alegría como hablar de Latinoamérica. En el año 2018, tuve el privilegio de viajar (y hacer dedo) en el continente hispanohablante durante tres meses, en los cual descubrí sus tierras pintorescas y a su gente amable. Desde entonces, he estado soñando con la idea de volver para gozar de sus vistas espectaculares y de las mejores empanadas que comí en mi vida, ¡y cómo lo saben mis amigos! – no he hablado de otra cosa desde que volví a Europa.
Pues, por razones obvias no puedo volver por el momento, entonces solo puedo seguir hablando de Latinoamérica a través de mi trabajo. Por eso, hoy voy a analizar las ciberamenazas principales que enfrentan los servicios financieros en Latinoamérica. Este es un sector clave para el desarrollo presente y futuro de la región.
La dependencia de la población de los servicios financieros para sus actividades diarias contribuye en gran medida a la importancia de este sector. Además, como todos sabemos, el sector de los servicios financieros es uno de los más atacados por los actores de amenazas, debido a las altas recompensas asociadas con un ciberataque exitoso.
Las amenazas cibernéticas al sector de los servicios financieros se parecen en todo el mundo. Sin embargo, cada región (y cada país, para ser honesto) tiene sus propias idiosincrasias que se deben tener en cuenta al empezar un análisis integral. Por ejemplo, las fragilidades institucionales, como las carencias de la legislación sobre ciberdelincuencia, de las operaciones conjuntas policiales y de los marcos de cooperación internacional, convierten a esta región en un blanco atractivo para los ciberdelincuentes.
Asimismo, factores políticos, tales como un índice de desigualdad socioeconómica muy alto y el uso de Internet en auge, contribuyen a que estas tierras sean particularmente fértiles para el blanqueo de dinero, el carding y el malware financiero, entre otras actividades prevalentes.
Hay mucho de qué hablar, así que sin más preámbulos, ¡vamos a investigar!
¿Cuáles son las ciberamenazas principales para los servicios financieros?
Las tendencias en la ciberdelincuencia en América Latina se vinculan a la digitalización rápida y a los débiles modelos de gobernanza de la ciberseguridad que allanaron el camino para los actores de amenazas oportunistas.
Las amenazas más probables para las organizaciones de servicios financieros son la extorsión criptoviral (ransomware) y el compromiso a través de agentes de acceso inicial (los IAB), los troyanos bancarios y las campañas de fraude e ingeniería social.
¡Averigüemos esas amenazas con más detalle!
El Ransomware y los agentes de acceso inicial (los IAB)
A lo largo del año, hemos monitorizado ampliamente la amenaza del ransomware en todas sus formas. Por ejemplo, hemos vigilado el desarrollo del modelo de ransomware como servicio (RaaS), hemos proporcionado actualizaciones trimestrales sobre su evolución y hemos hablado de los cambios de marca y los esquemas de afiliación.
Solamente en 2021, Digital Shadows registró ataques de ransomware que afectaron a más de 100 organizaciones que operan en América Latina. La Figura 1 muestra la cantidad de ataques en todos los sectores y incluye todas las víctimas a las que se ha nombrado en los sitios de filtración de datos.
Los operadores de ransomware obtienen acceso a las organizaciones de diversas maneras; una de las más frecuentes que hemos observado consiste en comprar el acceso que venden los agentes de acceso inicial (los IAB). Las bandas de ransomware utilizan cada vez más los anuncios de los IAB para encontrar a nuevas víctimas y infectarlas de manera eficiente, ampliando sus operaciones maliciosas.
En 2021, Digital Shadows reportó más de 60 anuncios de los IAB en los cuales se vende el acceso a organizaciones latinoamericanas. El precio medio fue de 1.464 $ y Brasil fue el país más afectado, seguido de cerca por Argentina y Chile.
El fraude y las campañas de ingeniería social
Para los ciberdelincuentes que quieren conseguir un punto de apoyo inicial en la red de una organización, las campañas de ingeniería social, tales como el phishing, el compromiso del correo electrónico empresarial (BEC) y el smishing, siempre presentan una opción atractiva. Ya sea que los delincuentes busquen obtener acceso a una víctima o extraer información de identificación personal (PII) o datos financieros, la ingeniería social es tradicionalmente uno de los métodos más confiables. Y la amenaza del phishing es cada vez más acuciante en regiones como América Latina, donde las empresas tienen menos conciencia de las cuestiones de seguridad cibernética y donde la población es más vulnerable a este tipo de ataques.
En un blog reciente, El Phelea contra Phishing, uno de nuestros analistas describió en profundidad las diversas formas que asume esta amenaza de ingeniería social y la mejor manera de defenderse contra ella. La suplantación de identidad mediante correo electrónico o dominios que imitan los activos de una organización suele ser el método más popular y peligroso. Estas campañas son a menudo sencillas de realizar, requieren pocos gastos generales y generan pagos cada vez más elevados. ¿Por qué un actor de amenazas no las llevaría a cabo?
Los troyanos bancarios
Hace unos años, los troyanos bancarios y otro malware se encontraban entre las principales amenazas cibernéticas en todo el mundo, pero recientemente han sido reemplazados por otras amenazas. Sin embargo, estas herramientas siguen siendo extremadamente populares en América Latina y representan una amenaza importante para su sector de servicios financieros.
Los agentes de amenazas despliegan con frecuencia los troyanos bancarios para robar información de cuentas bancarias y tarjetas de pago. Aunque se emplean mucho contra entidades bancarias, también se han dirigido estos troyanos a proveedores de tarjetas de pago, de servicios móviles y de servicios de nómina, al correo web y a las organizaciones de comercio electrónico. En otras palabras, contra todo lo que pueda generar una ganancia financiera ilícita para los actores de la amenaza.
Los troyanos bancarios generalmente se propagan a través de campañas de spam y phishing por correo electrónico que entregan documentos maliciosos, lo que al final resulta en el despliegue de un troyano. Una vez que se ha infectado la red, el sistema o el dispositivo de la víctima, cualquier transacción realizada mientras el malware está activo podría verse comprometida.
La recopilación de información financiera y credenciales de acceso puede abrir la puerta a muchos otros ciberataques, lo que la convierte en una de las acciones más rentables que puede realizar un actor de amenazas.
¿Quién está atacando a los servicios financieros de América Latina?
Para los actores de amenazas, América Latina se presenta un blanco con aspectos interesantes y particulares. El ciberdelito representa una amenaza mucho más urgente en la región que los grupos de amenazas persistentes avanzadas (los APT). Y como ya mencioné, la combinación de la inestabilidad política / económica de esta región y los grupos del crimen organizado abre espacio para los ciberdelincuentes oportunistas y con motivación económica.
Los grupos del crimen organizado y los cárteles de la droga no han tardado en explotar algunas de las debilidades endémicas de esta región, estableciendo asuntos lucrativos y atacando a los grupos vulnerables.
Además de realizar la actividad cibernética descrita en la sección anterior, los ciberdelincuentes están trabajando en estrecha colaboración con otros grupos delictivos para lavar el dinero obtenido por medios ilícitos mediante el uso de los mezcladores de criptomonedas.
Los ciberataques de los APT son esporádicos y es poco probable que se destinen a organizaciones privadas que operan en América Latina. Sin embargo, Microsoft informó recientemente sobre un actor de amenazas chino al que se apodó NICKEL que ataca a gobiernos, entidades diplomáticas y organizaciones no gubernamentales (ONG) en América Central y del Sur, probablemente con fines de ciberespionaje.
Además, la preferencia de algunos grupos de APT por los ataques a la cadena de suministro significa que las organizaciones privadas de América Latina pueden verse afectadas indirectamente: las redes de sus proveedores pueden verse comprometidas a través de la explotación de problemas de hardware, software o firmware. Esto podría llevar a que los atacantes obtuvieron acceso a empresas de terceros y accedieron a información confidencial o girar hacia otros sistemas.
¿Cómo poder lidiar con la ciberamenaza de los servicios financieros en Latinoamérica?
La creación de un modelo de amenazas completo para su organización es fundamental para fortalecer sus medidas de seguridad. Si bien las amenazas descritas anteriormente cubren los riesgos principales de operar en el sector de servicios financieros de América Latina, cada organización necesita una perspectiva personalizada de sus principales amenazas que se centran en sus activos, recursos y capacidades.
A continuación, se muestran algunas técnicas de mitigación generales para ayudar a limitar el impacto de la actividad maliciosa en este sector:
- Asigne recursos para mitigar las amenazas cibernéticas. Adopte un enfoque basado en los riesgos para revisar los posibles actores de amenazas y sus tácticas, técnicas y procedimientos (los TTP). Distribuya sus recursos y actualice su modelo de amenazas a medida que evoluciona el panorama de amenazas.
- Asegúrate de actualizar tu sistema de manera regular e instala todos los parches. Las organizaciones deben asegurarse de que su firmware y sus sistemas operativos estén actualizados con los últimos parches. El uso de soluciones de inteligencia de vulnerabilidades puede ayudar a identificar las fallas de seguridad más urgentes en su entorno.
- Aprovéchese de la defensa en profundidad. Se debe proteger sus activos más importantes por varias controles de seguridad superpuestos: cuando uno falla, otro puede mantenerlo a salvo a usted. Implemente políticas de contraseñas sólidas y la autenticación de dos factores, cifre datos confidenciales con protocolos firmes, ejecute programas de concienciación sobre ingeniería social y utilice mecanismos de seguridad de detección y prevención.
- Tenga cuidado con las estafas y los correos electrónicos de phishing. No haga clic en ningún enlace en correos electrónicos sospechosos. Los actores de amenazas a menudo intentan transmitir un sentido de urgencia o desencadenar curiosidad o miedo en estos mensajes, para hacer que las víctimas abran archivos adjuntos maliciosos.
- Evite las redes no confiables. Los usuarios corporativos deben utilizar un túnel de red privada virtual (VPN) cuando se conectan a redes y cuentas corporativas, especialmente en redes Wi-Fi públicas. La autenticación multifactor también puede ayudar a combatir los compromisos de la cuenta.
Si le interesa obtener más información sobre la exposición al riesgo que corre su organización en la web abierta, profunda y oscura, y en las fuentes técnicas, así como en las soluciones de inteligencia de amenazas cibernéticas que ofrece Digital Shadows, tome una demostración personalizada de SearchLight aquí. Descubrirá si hay dominios suplantados o esquemas phishing dirigidos al nombre y las marcas de su empresa, así como si tiene expuesta alguna información personal identificable, para ayudar a reducir su superficie de ataque en línea.