Aumento de los ciberataques contra los bancos

Cómo pueden responder las instituciones de tamaño medio

Los ciberataques contra los bancos han pasado de ser incidentes aislados a convertirse en amenazas persistentes y estratégicas. Lo que antes se consideraba un riesgo informático es ahora una preocupación a nivel del consejo de administración, que influye directamente en la propensión al riesgo, la asignación de capital y la estabilidad a largo plazo. En el contexto actual, la resiliencia digital y la confianza institucional son inseparables.

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha lanzado una severa advertencia: entre enero de 2023 y junio de 2024, el sector financiero de la UE sufrió 488 incidentes cibernéticos de los que se informó públicamente. Esta cifra refleja una presión constante sobre la integridad operativa y los pilares de confianza de las instituciones financieras de la región. Durante doce años consecutivos, el sector financiero ha registrado el mayor coste medio por filtración de datos a nivel mundial, lo que pone de manifiesto lo mucho que está en juego.

Una peligrosa brecha de seguridad

Aunque los grandes bancos internacionales acaparan los titulares, son las entidades de tamaño medio —entre las que se incluyen las cajas de ahorros, los bancos cooperativos y las entidades de crédito regionales— las que se encuentran en una situación especialmente precaria. Estos bancos poseen datos y activos de gran valor que atraen a actores maliciosos muy sofisticados, pero a menudo carecen de los recursos de sus homólogos de mayor tamaño, lo que genera un desequilibrio estructural entre su exposición y su capacidad defensiva. Esta asimetría los sitúa en una grave desventaja en una lucha cada vez más intensa contra adversarios altamente organizados y, en algunos casos, respaldados por el Estado.

En este contexto, la ciberseguridad proactiva y basada en la inteligencia ya no es un gasto opcional, sino un factor determinante para el éxito a largo plazo de un banco. Es necesario pasar de considerar la ciberseguridad como un centro de costes a verla como un motor estratégico de la confianza y el crecimiento.

Patrones típicos de los ciberataques contra los bancos

Comprender las tácticas más habituales que utilizan los ciberdelincuentes es fundamental para desarrollar una defensa eficaz. Los métodos de ataque han evolucionado desde simples vulnerabilidades hasta campañas de varias fases y altamente coordinadas dirigidas a la tecnología, los procesos y las personas.

Phishing e ingeniería social: cómo se abusa de la confianza

Los ataques de phishing ya no están plagados de errores ortográficos ni de tácticas burdas. La ingeniería social moderna es una operación muy sofisticada. Los atacantes recurren ahora a la inteligencia artificial para crear contenidos pulidos y personalizados, utilizan tecnología de voz «deepfake» para imitar a los directivos y aprovechan el phishing mediante códigos QR («quishing») para eludir los filtros de correo electrónico.

Estas técnicas sirven cada vez más como punto de entrada para campañas más amplias de fraude y compromiso de la seguridad. Un informe de 2024 elaborado por Tietoevry documentó un aumento del 156 % en las estafas de manipulación social y un incremento del 77 % en los ataques de phishing, lo que pone de relieve el crecimiento explosivo de esta amenaza. La ENISA confirma que las entidades financieras son los principales objetivos, ya que los atacantes se hacen pasar por bancos en el 36 % de los casos de ingeniería social, engañando a clientes y empleados para que revelen información confidencial o aprueben transacciones fraudulentas.

Ransomware: del cifrado a la extorsión

El ransomware se ha industrializado. La aparición de plataformas de «ransomware como servicio» (RaaS) en la dark web ha hecho que ahora se puedan alquilar kits de herramientas muy eficaces por tan solo 40 dólares, lo que reduce las barreras de entrada para los delincuentes y propicia una explosión de ataques. Los informes del sector indican que el tiempo que transcurre entre la intrusión inicial y la interrupción de las operaciones se ha reducido significativamente en los últimos años.

Y lo que es peor, los atacantes han adoptado una estrategia de «doble extorsión». Antes de cifrar los datos, sustraen grandes cantidades de información confidencial de la empresa y de los clientes. Si no se paga el rescate, amenazan con hacer pública esa información, lo que agrava el daño reputacional, normativo y operativo. Un estudio de Allianz Commercial revela que el número de casos relacionados con la sustracción de datos casi se duplicó, pasando del 40 % en 2019 a casi el 80 % en 2022, y las cifras de 2023 apuntan a un aumento aún mayor.

Vulnerabilidades en la cadena de suministro: ataques desde el exterior hacia el interior

Los ciberataques tienen cada vez más éxito no al dirigirse directamente a los bancos, sino al aprovechar las vulnerabilidades de sus cadenas de suministro digitales. Los proveedores externos, entre los que se incluyen los proveedores de servicios en la nube, las empresas de software y los encargados del tratamiento de datos, se han convertido en un importante vector de ataque. Un análisis reciente de SecurityScorecard reveló que el 96 % de las 100 principales entidades financieras de Europa se vieron afectadas por al menos una violación de seguridad por parte de un tercero durante el último año, lo que supone un aumento respecto al 78 % del año anterior.

El riesgo reputacional es considerable. El público rara vez culpa al tercero; la responsabilidad y las consecuencias recaen sobre la institución principal. La vulnerabilidad de MOVEit de 2023, que se originó en un único producto de transferencia de archivos, provocó un efecto dominó a escala mundial, lo que puso en peligro a miles de organizaciones afectadas y causó unos daños estimados en más de 65 000 millones de dólares. Este incidente pone de relieve la importancia de una gestión integral del riesgo asociado a terceros.

Amenazas internas: riesgos procedentes del interior

Las amenazas internas son de dos tipos. La primera es la de un empleado malintencionado, es decir, un empleado descontento o que ha sido objeto de manipulación y que roba datos o sabotea sistemas de forma deliberada. Según Bitkom, el 36 % de las empresas afectadas identificaron las acciones intencionadas de empleados como el origen de un ataque.

Con mayor frecuencia, los incidentes se deben a errores internos no maliciosos. Se trata de incidentes involuntarios causados por errores humanos. Según los informes de la ENISA sobre la Directiva NIS, el 73 % de los incidentes no fueron maliciosos, sino que se debieron a fallos del sistema (64 %) y a errores de los usuarios (9 %). Los servidores mal configurados, las actualizaciones de software defectuosas o el incumplimiento de los protocolos establecidos pueden exponer a las organizaciones a graves riesgos, incluso sin intención maliciosa.

Por qué los bancos de tamaño medio son especialmente vulnerables

Aunque todas las entidades financieras se enfrentan a amenazas cada vez mayores, los bancos de tamaño medio de toda la UE se encuentran en una situación de especial vulnerabilidad. Son lo suficientemente importantes como para atraer a atacantes sofisticados, pero a menudo carecen de la envergadura, la infraestructura y los recursos necesarios para organizar defensas comparables.

Las perturbaciones cibernéticas tienen repercusiones económicas de mayor alcance. Si una entidad de tamaño medio queda paralizada, esto puede afectar a regiones enteras o a sectores completos de la economía. Para los adversarios que pretenden desestabilizar los sistemas financieros, estas entidades son objetivos prioritarios.

La brecha en materia de recursos y conocimientos especializados

El principal reto al que se enfrentan los bancos de tamaño medio es el desequilibrio entre su atractivo para los atacantes y sus capacidades defensivas. Gestionan importantes flujos financieros y almacenan datos confidenciales, pero se ven limitados por unos presupuestos y una plantilla reducidos.

Esta brecha plantea dos problemas fundamentales:

• Presupuesto: La ciberseguridad requiere una inversión constante en herramientas modernas, supervisión y pruebas. A las empresas medianas les cuesta dar prioridad a estos aspectos frente a otras necesidades empresariales.
• Talento: La escasez mundial de profesionales de la ciberseguridad ha generado una competencia feroz. Los bancos de tamaño medio suelen ser incapaces de igualar los salarios, las prestaciones o las oportunidades profesionales que ofrecen las grandes empresas o las empresas tecnológicas.

Infraestructura informática obsoleta 

Una vulnerabilidad importante para muchos bancos medianos reside en los sistemas bancarios centrales heredados. Las plataformas creadas hace décadas no se diseñaron para los entornos actuales, basados en API e integrados en la nube. Muchas de estas instituciones se basan en plataformas bancarias centrales que tienen décadas de antigüedad, escritas en lenguajes como COBOL y que se ejecutan en sistemas mainframe que, aunque históricamente han sido estables, se han convertido en un lastre importante en el entorno actual de amenazas. Una encuesta realizada a directivos bancarios reveló que más del 53 % estaba preocupado por su dependencia de la tecnología heredada y por la «deuda técnica» acumulada que esta representa. 

Estos sistemas heredados suponen un riesgo por varias razones. En primer lugar, amplían drásticamente la superficie de ataque. Nunca se diseñaron para el ecosistema digital actual, hiperconectado y basado en API. A medida que los bancos superponen aplicaciones móviles y web modernas sobre estos antiguos sistemas centrales, crean entornos híbridos, complejos y frágiles, plagados de posibles vulnerabilidades de integración. Estos sistemas más antiguos carecen de por sí de características de seguridad modernas, como la gestión granular de identidades y accesos (IAM) y herramientas de supervisión sofisticadas, lo que dificulta su protección y deja peligrosos puntos ciegos para los equipos de seguridad. 

El factor humano

El error humano sigue siendo la vulnerabilidad más impredecible. Ya sea al caer en la trampa de un correo electrónico de phishing o al configurar incorrectamente un sistema de seguridad, los empleados pueden exponer involuntariamente a la organización a riesgos importantes.

La formación tradicional y genérica ya no es suficiente. La Autoridad Bancaria Europea (EBA) exige ahora programas específicos para cada puesto y actualizados periódicamente que aborden las técnicas de ataque modernas, incluidas aquellas potenciadas por la inteligencia artificial.

Medidas inmediatas para reforzar la resiliencia cibernética

En el caso de los bancos de tamaño medio, la prioridad debe ser elevar el nivel de referencia. Entre las medidas clave se incluyen:

• Gestión continua de vulnerabilidades: pasa a un análisis de vulnerabilidades permanente. Da prioridad a los sistemas externos, como las VPN y los portales de acceso remoto.
• Detección y respuesta en terminales (EDR) modernas: sustituya las herramientas antivirus obsoletas por sistemas de detección de comportamiento en tiempo real.
• Respuesta ante incidentes y simulacros: Elaborar planes de respuesta estructurados que se ajusten a marcos de referencia reconocidos, como el NIST SP 800-61. Realizar periódicamente simulacros a nivel directivo.
• Autenticación multifactorial (MFA): Amplíe la autenticación multifactorial a todos los sistemas clave, no solo al correo electrónico o a las VPN. Combínela con políticas de acceso basadas en el principio del privilegio mínimo.

Estrategias a largo plazo para la resiliencia

Implantar una infraestructura de seguridad desde el principio es la clave para garantizar la seguridad a largo plazo. Una estrategia de continuidad del negocio es una forma integral de crear sistemas de respuesta y recuperación , un esfuerzo continuo para garantizar su seguridad.

Sin embargo, los controles básicos son solo el principio. La resiliencia a largo plazo frente a los ciberataques contra los bancos requiere un modelo de seguridad moderno: Zero Trust.

Arquitectura «Zero Trust»

La arquitectura «Zero Trust» se basa en un principio sencillo: se elimina la confianza implícita y la verificación es continua. Sustituye las suposiciones obsoletas sobre la seguridad interna al considerar que todos los usuarios y dispositivos pueden estar comprometidos.

Entre los elementos clave se incluyen:

• Un sistema de gestión de identidades y accesos (IAM) sólido: la identidad es el nuevo perímetro. Un sistema de gestión de identidades y accesos (IAM) robusto garantiza que solo los usuarios verificados tengan acceso.
• Microsegmentación: Dividir las redes en zonas seguras. Evitar que los atacantes se desplacen lateralmente una vez que hayan accedido al sistema.
• Acceso con privilegios mínimos: Concede únicamente los permisos mínimos necesarios para cada usuario o proceso.
• Supervisión continua: supervisa todo el tráfico, el comportamiento de los usuarios y el estado de los dispositivos en tiempo real. Revoca el acceso cuando surjan anomalías.

Descubre una descripción más detallada en nuestro whitepaper las ventajas de ZTNA frente a las VPN.

Servicios de seguridad gestionados

Para muchos bancos medianos, implantar una infraestructura de «Zero Trust» por sí solos no es una opción realista. Para muchos bancos medianos, asociarse con un proveedor de servicios de seguridad gestionados (MSSP) les proporciona un acceso escalable a capacidades que, de otro modo, serían difíciles de desarrollar internamente.

Entre las ventajas se incluyen:

• Experiencia a la carta: Accede a los mejores profesionales en inteligencia sobre amenazas, análisis forense, cumplimiento normativo y mucho más.
• Tecnología de nivel empresarial: Aprovecha herramientas avanzadas como SIEM, EDR y fuentes de información sobre amenazas en tiempo real.
• Rentabilidad: Convierte los gastos de capital en costes operativos predecibles, sin necesidad de realizar ningún desembolso inicial.

Un MSSP permite a los bancos disponer de supervisión las 24 horas del día, los 7 días de la semana, respuesta ante incidentes y detección continua de amenazas, componentes esenciales del modelo «Zero Trust» en la práctica.

La confianza es la nueva moneda

En el panorama financiero actual, caracterizado por la digitalización y la interdependencia, la ciberseguridad ya no es solo una cuestión técnica, sino que resulta fundamental para la confianza, la reputación y la competitividad en el mercado.

Los bancos de tamaño medio de la UE deben estar a la altura de las circunstancias. Deben dejar de considerar la ciberseguridad como un problema informático y empezar a ver la resiliencia como una ventaja estratégica.

En el ecosistema financiero actual, la ciberseguridad no es un complemento defensivo, sino un pilar fundamental para la confianza, el cumplimiento normativo y la estabilidad institucional.

Los bancos de tamaño medio deben considerar la resiliencia como una disciplina estratégica, integrando la gobernanza, la arquitectura, la supervisión y la preparación del personal en una estrategia de seguridad coherente.

Aquellas empresas que logren reducir la brecha de exposición entre la sofisticación de las amenazas y la capacidad defensiva no solo reducirán el riesgo, sino que también reforzarán la confianza del mercado en una época en la que la confianza es el factor diferenciador por excelencia.

Siguiente paso: Concierta una cita con nuestro equipo de atención al cliente o solicita una sesión informativa para directivos adaptada a las necesidades de tu institución.