Juan Ramón Aramendia, Head of Cyber Security Product Engineering de Auriga
La seguridad siempre ha sido un tema crítico y prioritario en la agenda de la banca por la necesidad de salvaguardar sus activos más sensibles, el dinero y los clientes. La tradicional figura del atracador de pistola y antifaz ha evolucionado con los tiempos, y ahora los delincuentes son anónimos, hackers expertos que pueden robar no solo dinero, sino también identidades y datos personales de los clientes desde kilómetros de distancia. Y lo que es peor, en la mayoría de las ocasiones estos atacantes maliciosos ni siquiera trabajan de forma autónoma, sino que pertenecen a organizaciones criminales altamente estructuradas, con niveles de formación, coordinación y financiación similares a los de una empresa tecnológica de última generación, incluso con presupuestos de investigación y desarrollo.
Frente a este panorama, los CISOs de los bancos se enfrentan a un desafío mayúsculo y deben adoptar una visión 360º que se fundamente en el conocimiento experto de las infraestructuras físicas y tecnológicas que dan soporte a sus procesos de negocio y el estado del arte de las amenazas a las que están expuestos.
Y, si bien hay que estar muy atentos a las amenazas globales que afectan hoy en día a todo tipo de empresas y sectores, como son el phishing, la suplantación de identidad o el ransomware, hay que poner especial atención en los ataques altamente sofisticados y dirigidos hacia un dispositivo tan cotidiano como el cajero automático (ATM) que es, de hecho, la mayor fuente de pérdidas de las entidades -alrededor de un tercio de los fraudes bancarios en todo el mundo se comete a través de uno de ellos-. Éstos, por su propia situación física y en el exterior de la entidad, pueden ser uno de los puntos más débiles, y causar no solo la disrupción del servicio y pérdidas económicas, sino también dañar la imagen de marca y la confianza que transmite el banco.
Disponibilidad vs Seguridad
Los ATMs son dispositivos críticos que proporcionan servicios esenciales para la ciudadanía y por lo tanto su objetivo principal es garantizar la disponibilidad y fiabilidad del servicio, de manera continua y sin interrupciones.
La máxima del “si funciona, no lo toques” toma especial relevancia es este tipo de entornos de servicios críticos, de modo que las modificaciones o actualizaciones del software y hardware que sustenta el servicio se deben hacer siempre de manera controlada y siguiendo unos estrictos procesos de certificación y despliegue faseado.
Desde el punto de vista de la seguridad, sin embargo, la falta de políticas de actualización proactivas, sumada a la accesibilidad física de estos dispositivos, genera un entorno intrínsecamente vulnerable que hace de los ATMs dispositivos muy difíciles de proteger con tecnologías de seguridad tradicionales.
Es fundamental entender que estas características o limitaciones son parte inherente de la naturaleza de este tipo de dispositivos de modo que, en lugar de intentar luchar contra molinos de viento, lo que debemos hacer es definir una estrategia de seguridad adecuada para el entorno que queremos proteger y que transforme sus debilidades en fortalezas.
Modelo de protección “Zero Trust” – Confianza Cero
Uno de los términos más de moda actualmente en las comunidades especializadas en ciberseguridad es el de “Zero Trust” o ‘confianza cero’, que trasladado al ámbito de los ATMs se traduce en un cambio del paradigma de seguridad desde un modelo de legitimidad basado en fuentes externas y análisis de comportamiento a un modelo de confianza cero basado en la reducción drástica de la superficie de ataque y el control férreo de los cambios alineado con los procesos internos de operación.
Este modelo “Zero Trust” es agresivo y difícilmente aplicable a entornos de propósito genérico y altamente cambiantes. Sin embargo, se adapta como un guante a entornos críticos, de propósito específico y donde los cambios se realizan de manera totalmente controlada.
El modelo de confianza basado en legitimidad y análisis del comportamiento no se considera adecuado para la protección de sistemas críticos como los ATMs por dos motivos: en primer lugar, la falta de políticas de actualización del software proactivas genera un entorno con abundancia de vulnerabilidades conocidas y por tanto fácilmente explotables. Y en segundo lugar, los cibercriminales utilizan habitualmente para llevar a cabo los ataques herramientas legítimas, que normalmente pasan desapercibidas a los radares de ciberseguridad habituales. Además, este es un modelo que no tiene en cuenta el estado del dispositivo, es decir, actúa de la misma forma si el dispositivo está en servicio o en mantenimiento.
Por todo ello, y desde nuestro punto de vista, los dos puntos críticos para diseñar un modelo robusto de protección de los ATM de los bancos serían:
– Reducción drástica de la superficie de ataque: de manera que únicamente se permita el acceso al conjunto mínimo de recursos software y hardware que sean legítimos y estrictamente necesarios para el correcto funcionamiento del dispositivo, en base a un proceso interno y controlado de aprendizaje realizado durante la fase de certificación del software/hardware del dispositivo previo a su puesta en producción
– Control férreo de los cambios en el ATM: para bloquear cualquier intento de cambio software o hardware que no haya sido explícitamente autorizado. Los cambios en el software, que se gestionan de forma centralizada, deben ser controlados de forma que sólo los sistemas autorizados puedan hacerlos, y manteniendo siempre un control de la integridad del software desplegado.
Los cambios en el hardware, realizados por empresas de terceros con acceso físico al ATM (hablamos de empresas de mantenimiento, de rellenado de efectivo, etc.), únicamente deben ser posibles en ventanas de mantenimiento autorizadas, donde se aplica una política de seguridad específica que permita los cambios, y sujetas a una monitorización total de la operativa técnica, ya que es el momento de mayor exposición a un posible ataque.
Recordemos, una vez más, que las sucursales bancarias se basan en la confianza, y la ciberseguridad no solo es hoy un argumento de ‘venta’ para los bancos sino, en un concepto mucho más amplio, una manera de habilitar la confianza, facilitar la gestión bancaria y hacer a las entidades trabajar de manera más eficiente.
