8 de cada 10 incidentes afectan al sector financiero

“El espíritu innovador y emprendedor de América Latina no viene con una preocupación por la ciberseguridad”. Esta es una de las conclusiones de un nuevo relevamiento sobre las ciberdefensas del sector financiero de la región, donde se registró la mayor cantidad de casos de ransomware, un tipo de ataque que encripta la información para extorsionar a cambio de un rescate.

Dentro de ese rubro, el estudio identificó que Argentina concentró el 10% de los ciberataques exitosos dirigidos al sector financiero de América Latina en 2023, detrás de Brasil (22%) y por encima de Chile, Colombia y Costa Rica (todas con 9%). El 79% de los incidentes en instituciones financieras de la región fueron ransomware, casi 8 de cada 10, una cifra que supera ampliamente el promedio global del 53%.

Sólo en 2023, se registraron 1.498 ataques de ransomware y 6.048 de phishing en la región, realizados por 33 grupos cibercriminales distintos.

CL0P y LockBit, dos grupos de cibercriminales que tuvieron mucha actividad en Argentina, fueron los más mencionados como responsables de los ataques. OSDE, La Segunda, Ingenio Ledesma y Grupo Albanessi fueron algunas de las víctimas de estas asociaciones.

El paper fue publicado este martes por la Universidad de Duke y Digi Americas, una organización enfocada en la ciberseguridad del continente americano. Además de enfocarse en el impacto del ransomware en el sector financiero, también le dedica unas páginas al phishing, los troyanos bancarios, ataques a terceros y explotación de vulnerabilidades.

El reporte señala que uno de los principales factores que explican los problemas del sector financiero en América Latina es la falta de inversión en ciberseguridad. La región destina “menos del 1% de su PBI a infraestructura digital de seguridad”, señalan, lo que deja expuestos a bancos, fintechs y aseguradoras frente a ataques cada vez más sofisticados (y otros más “básicos”, que pueden tener al phishing como puerta de entrada).

Esta brecha se traduce en sistemas viejos (llamados “legacy” en la industria) o desactualizados, falta de segmentación en redes críticas -algo que genera que, al acceder a una red, se pueda escalar en privilegios y tener más acceso a la información que se busca robar- y una escasa implementación de estándares internacionales, como ISO 27001 o el marco NIST.

El reporte señala otro motivo por el cual la industria atrasa: el ataque a la cadena de suministro, un problema con el que lidian distintos actores de diversos sectores. Esto sucede cuando, por ejemplo, un banco depende de la validación de datos a través de una entidad como el Registro Nacional de las Personas (Renaper). Si esa entidad pública sufre una filtración, eso arrastra a las empresas que cruzan datos con ella.

El reporte también hace hincapié en un problema que lleva años: la falta de profesionales capacitados en la región. Uno de los últimos reportes estima que faltan más de 4 millones de profesionales.

Esto también lo destaca el reporte: la demanda supera la oferta de expertos en ciberseguridad, y las instituciones enfrentan dificultades para incorporar talento técnico que pueda anticipar o contener incidentes. Esta “brecha de habilidades” no sólo impacta la respuesta ante ataques, sino que también limita la capacidad de planificar estrategias de defensa a largo plazo.

Los ataques de ransomware representan un problema tanto para entidades públicas como privadas. Durante los últimos cinco años, la industria de la ciberseguridad identificó al ransomware como uno de sus principales desafíos, con casos que afectaron desde grandes corporaciones hasta pymes.

Un ataque de ransomware implica una serie de dificultades operacionales, en tanto los equipos de respuesta de incidentes suelen desconectar los equipos de la red para intentar contener el ataque, aunque cuando esto sucede, por lo general, ya es demasiado tarde: los atacantes de élite pueden permanecer en silencio durante meses dentro de los sistemas para exfiltrar información. Si la víctima no paga, extorsionan con publicar los datos robados para dañar la reputación de la víctima (e, incluso, en muchos casos causarles penalizaciones económicas por multas).

En diálogo con Clarín y el medio brasileño Security Report, Arturo Cabañas, especialista en regulaciones de AWS, explicó que hay tres motivos por los cuales América Latina presenta un retraso en relación al mundo: “Hay una falta de concientización en los usuarios que, con el avance de la inteligencia artificial generativa, se volvió un problema más grande. Los cibercriminales hacen cada vez mejor sus correos de phishing, además de que pueden estudiar mejor a sus víctimas con herramientas automatizadas que recopilan información de redes sociales, por ejemplo”, explicó.

“El segundo motivo tiene que ver con infraestructura desactualizada. Esto es un problema grande, desde sistemas muy viejos hasta los actuales, pero sin los últimos parches de seguridad”, siguió. Por último, una dificultad que enfrenta la industria tiene que ver con la “falta de una regulación armonizada”, esto es, la cantidad de entidades que gobiernan tanto las ciberdefensas como la respuesta a incidentes.

En Argentina, por ejemplo, hasta hace poco había tres entidades: la Agencia Federal de Ciberseguridad, creada dentro de la órbita de la Secretaría de Inteligencia de Estado (SIDE) en julio de 2024 por el presidente Javier Milei. Sus funciones se superpusieron con el CERT.ar, el equipo de respuesta a incidentes y monitoreo de vulnerabilidades, y la Dirección Nacional de Ciberseguridad (DNC), que coordina y diseña la estrategia de ciberseguridad para todo el territorio.

Así, la unificación de los criterios es uno de los desafíos más difíciles de resolver, que se suma a un complejo panorama con menos profesionales que los necesarios, sistemas obsoletos y vulnerabilidades que son explotadas casi a diario.