La industria de servicios financieros está expuesta a diversos riesgos y amenazas relacionadas con la ciberseguridad. Los delitos financieros y el fraude son frecuentes en este sector, y con el avance de la tecnología, los ciberdelincuentes han adaptado sus tácticas para adaptarse al mundo digital.
El impacto económico de las brechas de datos en la industria financiera es significativo. Según el informe anual de IBM sobre el costo de una brecha de datos, en 2020, las empresas financieras sufrieron pérdidas promedio de $5.85 millones de dólares, superando a otros sectores económicos. La información recopilada por las instituciones financieras es especialmente valiosa para los atacantes, quienes pueden utilizarla para cometer fraude, robo de identidad o comercializarla en mercados de la Dark Web.
El informe de Verizon sobre investigaciones de brechas de datos muestra que el 63% de los ataques dirigidos a instituciones financieras son realizados por actores externos con motivación económica. Durante la pandemia de COVID-19, el cambio al trabajo remoto presentó nuevos desafíos para las empresas financieras, ya que muchos empleados no estaban preparados para enfrentar los riesgos de seguridad que surgieron al trabajar desde casa.
El factor humano en la ciberseguridad
Los empleados pueden ser un eslabón débil en la seguridad de una organización. El informe de IBM destaca que el factor humano es una de las principales causas de las filtraciones de datos, representando el 23% de las brechas.
Los ataques de phishing y la ingeniería social son amenazas especialmente peligrosas. Los atacantes podrían utilizar uno de los delitos en línea más dañinos desde el punto de vista financiero: la estafa conocida como Business Email Compromise (BEC). En este tipo de ataque, el ciberdelincuente apunta a su víctima comunicándose desde una cuenta de correo electrónico comprometida perteneciente a un miembro de la empresa (generalmente de mayor jerarquía) o a un miembro de una empresa con la cual se tiene una alianza comercial, solicitándoles que realicen una tarea legítima, como comprar y enviar artículos o transferir pagos. Sin embargo, en lugar de proporcionar datos de una dirección o cuenta bancaria legítima, el estafador agrega la suya propia, robando el dinero a la compañía. Alternativamente, las organizaciones apuntadas pueden recibir un correo electrónico fraudulento que contiene un enlace o un archivo adjunto que oculta malware, que en caso de ser descargado infectará la computadora e incluso puede llegar a extenderse por la red.
Para mitigar las posibilidades de que ocurra cualquiera de estos escenarios, es esencial proporcionar capacitación regular en ciberseguridad a los empleados para que estén alerta ante estas tácticas.
El factor técnico en la ciberseguridad
Las empresas financieras deben invertir tanto en capacitación para empleados como en soluciones tecnológicas adecuadas. La mayor parte de la defensa contra las ciberamenazas debe recaer sobre las soluciones técnicas implementadas a lo largo de toda la infraestructura del negocio.
Toda empresa, sin importar su tamaño, debe tener un plan de continuidad del negocio en caso de que ocurra un ciberataque. Un plan adecuado siempre debe incluir copias de seguridad de los datos y, si el presupuesto lo permite, un backup de toda la infraestructura. Estas copias de seguridad pueden resultar útiles, especialmente si se produce un ataque de ransomware.
La actualización y parcheo regular de sistemas operativos y software también es esencial para evitar vulnerabilidades
Para protegerse de ataques DDoS, las empresas pueden adquirir servicios de mitigación y contar con proveedores de Internet con capacidad para manejar estos ataques.
En resumen, la industria financiera seguirá siendo un blanco atractivo para los ciberdelincuentes, por lo que es fundamental que las organizaciones adopten un enfoque holístico y equilibrado en la ciberseguridad. La combinación de capacitación para empleados, soluciones tecnológicas adecuadas y planes de continuidad de negocios ayudará a mitigar las amenazas y proteger los activos de la empresa.
