Select Page
Otra vez SWIFT

Otra vez SWIFT

Ya pasaron dos meses del segundo ciber ataque masivo exitoso en Latinoamérica, pero el problema está muy lejos de solucionarse. Esta vez el blanco fue el Banco de Chile y el resultado fue el robo de U$S 10 millones que se efectuó, otra vez, a través de vulnerabilidades en los sistemas de la plataforma SWIFT.

Esta ola comezó en febrero de 2016. Un banco de Bangladesh fue víctima de un sofisticado ataque en el que robaron unos U$S 81 millones. En ese momento, la novedad del ataque fue que la operación se hizo vulnerando al sistema SWIFT (Society for Worldwide Interbank Financial Telecommunication) encargado de efectuar transacciones monetarias entre entidades financieras de todo el mundo.

El ataque fue atribuido por diversos investigadores tiempo después, al famoso Grupo Lazarus; organización ciber criminal con un importante récord de robos y ciber ataques por más de diez años.

La organización SWIFT reaccionó de forma más o menos rápida, modificando y profundizando su CSP (SWIFT Customer Security Program) en el que indicaban que para seguir operando con ellos, todas las entidades adheridas debían cumplir con el nuevo Customer Security Controls Framework (Marco de Controles de Seguridad para los Clientes). De hecho, y según las recomendaciones de SWIFT, se iban a efectuar auditorías a los bancos adheridos y se les iba a cancelar la suscripción de no cumplir con dicho marco de ciber seguridad.

Sin embargo, a partir del primer evento en Bangladesh, los ataques a bancos a través de los sistemas de SWIFT se multilplicaron a lo largo del mundo con modus operandis similares y también atribuidos por los investigadores al Grupo Lazarus. Estos son algunos de los incidentes:

Una de las particularidades del último robo, fue que el grupo de atacantes introdujo un virus, el Swapq, dentro de las redes del banco, con el objetivo de desviar la atención a la verdadera acción, la de infiltrarse en el sistema SWIFT y robar dinero.

Es cierto que el nivel de sofisticación de estos ataques es muy elevado y que las acciones parecen estar muy bien planificadas y coordinadas. Sin embargo, también es cierto que los niveles de ciber seguridad de los bancos, así como de muchas otras empresas en el mundo, deja todavía bastantes puertas abiertas que son aprovechadas por los atacantes.

Existen iniciativas que obligan a las entidades a incrementar sus medias de ciber seguridad, como SWIFT CSCF o la flamante GDPR. Pero estas iniciativas llegan a una velocidad que sumada (o restada?) a la velocidad en que las entidades ponen en marcha sus proyectos y, efectivamente, logran implementarlos… es mucho menor a la velocidad en que los grupos de ciber criminales desarrollan sus herramientas y tácticas de ataque.

Esta es una carrera en la que, quienes estamos de este lado de la linea, estamos perdiendo.

 

Nota por Carlos Benitez

 

Carlos Benitez, es un reconocido experto en temas de seguridad de la información.

El efecto “Ciber-Tequila”

El efecto “Ciber-Tequila”

Esta vez, el blanco fueron bancos mejicanos.
Los ciber delincuentes lograron robar una cantidad no definida con precisión, pero que ronda entre 20 y 40 millones de dólares, en un sólo día. El robo ocurrió el pasado 27 de abril, fecha en la cual cinco bancos mejicanos, entre ellos, Citibanamex, Banorte y Bajío fueron atacados con un complejo e ingenioso ciber ataque.

Para efectuar una transferencia electrónica normal entre cuentas en México, el dueño la cuenta de origen ingresa a su homebanking, determina el monto a transferir, el banco y la cuenta de destino. Una vez hecho esto se dispara un proceso a través del cual un sistema interno del banco verifica los datos de ambas cuentas (fondos, inhibiciones, números de cuenta, etc.) para validar la transferencia. Al validarla, este sistema envía los datos de la transferencia al Sistema de Pagos Electrónicos Interbancarios (SPEI). El SPEI informa a otro sistema interfase en el banco de destino, que ha ingresado un monto de dinero y que debe ser depositado en la cuenta de destino. El sistema del banco destino, incrementa entonces el saldo de la cuenta destino en el monto determinado.

¿Qué pasaría si alguien ingresara al sistema interfase del banco de destino, e insertara una orden de transferencia “validada” como si viniera del SPEI? Al estar validada la transferencia, el aplicativo simplemente incrementaría el saldo de la cuenta destino.

¿Qué pasaría entonces si 30 segundos después de realizar esa transferencia “fantasma”, alguien ingresara a un cajero automático y retirara ese monto?

El monto simplemente desaparecería de las arcas del banco sin que nadie hubiese depositado un centavo.
Eso es exáctamente lo que ocurrió en esos 5 bancos de México. Un grupo aún no identificado de ciber ladrones ingresaron a los sistemas internos de los bancos de destino (todavía, y a pesar del tiempo transcurrido, los responsables de los bancos no saben cómo), y generaron cientos de transferencias falsas a cuentas fantasmas previamente creadas, retirando el efectivo en una operación cronométricamente perfecta. Para esconder mucho mejor la operación, cada transferencia fue hecha por valores totalmente diferentes, variando desde decenas de miles a cientos de miles de pesos mejicanos.

El Profesor de La Casa de Papel estaría pensando en cómo no se le ocurrió a él este plan. El robo fue hecho a los bancos y no a los usuarios. El ciber-atraco no afectó ninguna cuenta de ningún cliente.
Pero más allá de los montos y de los elementos de color que tiene esta noticia, la realidad es que dejó expuesta la gran debilidad de los sistemas que utilizan los bancos de México.
Es evidente que no sólo nunca evaluaron el ciber-riesgo al que estaban expuestos, sino que mucho menos implementron las contramedidas necesarias para mitigar esos riesgos.
Una de las consecuencias de este “ataque sin precedentes” al sistema de pagos de los bancos de México, fue que el Gobernador del Banco Central de México, Alejandro Díaz, anunció públicamente hace dos días la creación de la unidad de ciberseguridad del Banco . El objetivo de la nueva unidad consistirá en diseñar y emitir directrices sobre seguridad de la información para los bancos del país, que son regidos por el Banco Central de México.

Si bien es altamente positivo que el sistema bancario de México incorpore regulaciones en ciberseguridad, de la misma forma que nuestro BCRA viene haciendo desde hace años, lo que este evento deja claro es que a pesar del inquietante incremento en los ciberincidentes de los últimos años en el mundo, se sigue actuando en forma reactiva. Seguramente los responsables de emitir las definiciones políticas en materia de ciber-protección bancaria, deben haber pensado: “a nosotros no nos puede pasar…“.

Nota por Carlos Benitez
Otra vez los Juegos

Otra vez los Juegos

 
Existe una extraña tendencia histórica, que muestra que cada vez que se produce un evento deportivo mundial de gran magnitud, las redes, las aplicaciones, los sitios relacionados con el evento, son blancos de ciber-ataques.
Hace años que sucede esto y en algunos casos hasta ha tenido consecuencias positivas. Antes del mundial de fútbol Brasil 2014, se sabía de amenazas a la organización del evento sobre la posibilidad de interrupciones en sus sistemas. Dos años más tarde, lo mismo sucedía con los juegosolímpicos de Rio 2016.
Como consecuencia de estas amenazas, Brasil se preparó tan fuertemente para defenderse que hasta casi significó la creación misma del área de Ciberdefensa, el ComDCiber que hoy está activo, funciona plenamente y sigue invirtiendo en cada vez más en medidas de ciber-protección a nivel nacional.
Esto ocurre desde hace años juego tras juego, por lo que los Juegos Olímpicos de Invierno que se llevan a cabo en este momento en PyeongChang, Corea del Sur tampoco son ajenos. Y esta vez las contramedidas parecen no haber sido suficientes. Durante el mismo momento en que se producía la ceremonia inaugural el pasado 9 de febrero, un grupo hasta ahora no identificado (aunque hay fuentes que aseveran que fueron hackers rusos), bloqueó el acceso a Internet y algunas transmisiones, hizo aterrizar los drones con las cámaras, bajó el sitio web oficial e impidió que los espectadores imprimieran sus reservas. El ataque fue denominado “Olympic Destroyer” y el malware involucrado tenía por objetivo destruir los recursos compartidos de red a los que se tuviera acceso desde el equipo infectado. El malware, al parecer, estaba diseñado para producir el mayor daño en el menor tiempo posible.
Si bien este ataque se produjo el 9 de febrero, comenzó en realidad tiempo antes. En diciembre del año pasado, los miembros de la organización de los Juegos fueron blanco de phishing, cuyo objetivo fue el de obtener información interna de los sistemas asociados a los Juegos para hacer mucho más eficiente el ataque final. Lo interesante de este ataque, fue que esta vez se utilizó un método novedoso en la que se envía adjunto al email falso, un documento de Word que contiene un script malicioso. Lo que realmente llama la atención por su novedad, es que el código malicioso se esconde dentro de los pixels de imágenes adjuntas lo que lo hace indetectable a los antivirus. Es por esto que probablemente muchos de estos ataques hayan sido exitosos y logrando la interrupción de servicios del primer día del evento. Es obvio que fallaron los antivirus por no estar preparados para este tipo de ataques, pero falló algo más; la concientización, los usuarios que a pesar de todos los cursos, charlas y avisos que suponemos tuvieron, abrieron un adjunto de un email falso.
Pero, ¿por qué atacar a los Juegos? Existen varias teorías al respecto así como análisis más serios y profundos que indican que el momento de un evento de estas características posee gran atractivo para convertirlo en blanco de ciber-ataques. A pesar de la organización, la realidad es que, como indica el informe de Berkeley, en estos eventos la ciber-superficie de ataque es infinita. Es imposible mitigar el riesgo de todos los dispositivos interconectados, el volumen, la variedad, la heterogeneidad; la distribución geográfica es tal que los hace incontrolables. Sistemas de puntuación, dispositivos que miden el estado de salud de los competidores, control de entradas, dispositivos de transmisión de los medios de prensa, medios de transporte, sin contar con los sistemas de control propios de los estadios y los dispositivos personales de cada participante, organizador o visitante; todo esto conectado de una forma u otra a la misma red.
Por otra parte, la cantidad de tecnología involucrada en estos eventos no sólo es inmensa, sino que además es crucial para el desarrollo del evento que no podrían realizarse sin ésta. Esto lo vuelve un verdadero desafío para los organizadores que tratan de extremar las medidas de ciber-protección, así como para los atacantes que ven terreno propicio para introducirse en los sistemas del próximo evento y demostrar que las medidas de protección no alcanzan.
Veremos qué pasa en el mundial de Rusia. Y Buenos Aires, ¿cuán preparada está para los Juegos Olímpicos de la Juventud de Octubre, ¿quién ganará la partida?
 
Nota por Carlos Benitez