El sector bancario se convierte en uno de los principales objetivos de los cibercriminales en 2023. Un análisis de la evolución de los ciberataques en el sector financiero reconoce que la situación se ha agravado a causa de la continuidad del conflicto bélico entre Rusia y Ucrania.
El sector bancario principal objetivo de los cibercriminales
El estudio asegura que la técnica de ataque más utilizada son las campañas de malware, llevadas a cabo por grupos de cibercriminales como KillNet, Anonymous Sudan, Kvazar, CyberArmy of Russia, se trata de un tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo.
Los ataques impulsado por colectivos hacktivistas prorrusos se deben a la planificación y entrega de ayuda militar, logística y económica a Ucrania por parte de la Unión Europea, entre otros motivos
En el análisis realizado de la evolución del cibercrimen en el sector financiero a lo largo del primer semestre de 2023, asegura que las campañas de malware bancario han tomado protagonismo en esta primera mitad del año, siendo algunas de ellas muy agresivas y contando con objetivos y víctimas específicos de los cibercriminales, dentro de la Unión Europea (UE), Latinoamérica y Estados Unidos, como el Banco de Inversiones de Europa o entidades bancarias rusas.
Guerra de Rusia y Ucrania
Asimismo, el conflicto bélico entre Ucrania y Rusia ha motivado las acciones y operaciones hacktivistas, lo que ha tenido un impacto relevante en el sector financiero al haberse visto afectado por diversas campañas de los cibercriminales, que pueden causar graves daños en las operaciones de negocio, bases de datos o comunicaciones, lo cual puede provocar graves pérdidas económicas, daños reputacionales y legales, tanto para la entidad como para sus clientes. Entre estas, destacan las llevadas a cabo por el grupo NoName057(16), KillNet, Anonymous Sudan, Kvazar, Bloodnet, IT Army of Ukraine y CyberArmy of Russia, entre otros.
Colectivos de cibercriminales: hacktivistas prorrusos
Algunas de estas operaciones están impulsadas por colectivos hacktivistas prorrusos, que llevan a cabo estos ataques debido a la entrega de ayuda militar, logística o económica por parte de la UE a Ucrania, así como a la imposición de sanciones aprobadas y ejecutadas por la UE y los Estados Unidos a Rusia. Por otra parte, estos ataques también son propiciados debido a la actividad cibernética de Ucrania contra intereses e infraestructuras rusas, así como a supuestas actividades de organismos y entidades de países europeos que se han posicionado en contra de Rusia.
¿Qué es el hacktivismo?
Es el acrónimo de hacker y activismo también conocido como ciberactivismo. Se entiende normalmente como “la utilización no-violenta de herramientas digitales persiguiendo fines políticos; estas herramientas incluyen desfiguraciones de webs, redirecciones, ataques de denegación de servicio, robo de información, parodias de sitios web, sustituciones virtuales, sabotajes virtuales y desarrollo de software”
“El conflicto bélico en Europa ha motivado que los grupos prorrusos activen sus operaciones cibernéticas contra entidades bancarias alrededor de toda la UE, dada la importancia de este sector. Uno de los últimos ciberataques a gran escala fue propiciado por KillNet y Anonymous Sudan contra el Banco de Inversiones de Europa, el cual sufrió graves disrupciones en sus servicios web. Por ello, es realmente importante contar con un servicio de protección ante estas amenazas a través de la prevención y monitorización de estas, garantizando la seguridad de una industria tan relevante como lo es la banca”, destaca Sonia Fernández, responsable del equipo de Threat Intelligence de S21Sec.
Actividad APT contra el sector bancario
Por otro lado, las Amenazas Persistentes Avanzadas (APT) también se encuentran entre las ciberamenazas más relevantes dentro del sector bancario, debido a la complejidad de sus acciones y operaciones, así como por el despliegue de sus tácticas, técnicas y procedimientos. En este sentido, se ha identificado una APT del grupo delictivo Blind Eagle (APT-C-36) involucrada en amplios ciberataques contra instituciones financieras y entidades bancarias en Latinoamérica y España, entre otros países.
¿Qué es una amenaza avanzada persistente (APT)?
Como el nombre “avanzado” lo sugiere, una amenaza avanzada persistente (APT) utiliza técnicas de hackeo continuas, clandestinas y avanzadas para acceder a un sistema y permanecer allí durante un tiempo prolongado, con consecuencias potencialmente destructivas.
Este tipo de ataque comienza con la recepción de un email que suplanta a organismos regulatorios nacionales del ámbito financiero. El correo viene acompañado de un archivo adjunto que, una vez descargado, inicia una segunda descarga de un archivo malicioso desde servidores distribuidos en diferentes ubicaciones geográficas de todo el mundo, con el objetivo de permitir la entrega rápida del contenido. A través de este procedimiento, los ciberdelincuentes cuentan con la posibilidad de realizar acciones maliciosas como la filtración de información o el acceso a contenidos que normalmente están protegidos.
Objetivos prioritarios de los cibercriminales
Debido al nivel de esfuerzo necesario para llevar a cabo un ataque de este tipo, las APT suelen asociarse con objetivos de alto valor, como países y grandes corporaciones, con el objetivo de robar información durante un largo período de tiempo, en lugar de simplemente “adentrarse” y salir rápido, como hacen muchos hackers de sombrero negro durante ciberataques de bajo nivel.
Las APT suponen un método de ataque que debería estar en el radar de las empresas de todo el mundo. Sin embargo, esto no significa que las pequeñas y medianas empresas puedan pasar por alto este tipo de ataque.
Los atacantes de APT utilizan cada vez más a las empresas más pequeñas que conforman la cadena de suministros de su objetivo final como una forma de acceder a las grandes organizaciones. Por ejemplo, utilizan a tales empresas como trampolines ya que, normalmente, cuentan con menos protección.
Un ataque en constante evolución
El propósito global de un ataque de APT es obtener acceso continuo al sistema. Los hackers lo logran en una serie de etapas.
Etapa 1: obtener acceso
Al igual que un ladrón fuerza una puerta con una palanqueta, para insertar malware en una red objetivo, los cibercriminales suelen obtener acceso a través de una red, un archivo infectado, el correo electrónico basura o la vulnerabilidad de una aplicación.
Etapa 2: infiltrarse
Los cibercriminales implantan malware que permite crear una red de puertas traseras y túneles utilizados para desplazarse por los sistemas de manera desapercibida. A menudo, el malware emplea técnicas como reescribir el código para ayudar a los hackers a ocultar sus rastros.
Etapa 3: intensificar el acceso
Una vez dentro, los hackers utilizan técnicas como el quebrantamiento de contraseñas para acceder a los derechos de administrador, aumentar el control sobre el sistema y obtener mayores niveles de acceso.
Etapa 4: desplazamiento horizontal
Con un mayor nivel de incursión dentro del sistema gracias a los derechos de administrador, los hackers pueden moverse por este a voluntad. También pueden intentar acceder a otros servidores y a otras partes seguras de la red.
Etapa 5: mirar, aprender y permanecer
Desde el interior del sistema, los hackers obtienen una completa comprensión de su funcionamiento y sus vulnerabilidades, lo que les permite hacer uso de la información que desean.
Los hackers pueden intentar mantener este proceso en funcionamiento, posiblemente de manera indefinida, o retirarse después de cumplir un objetivo específico. A menudo, dejan una puerta abierta para acceder al sistema de nuevo en el futuro.
El factor humano contra los cibercriminales
Debido a que la ciberseguridad corporativa tiende a ser más avanzada que la de los usuarios particulares, los métodos de ataque a menudo requieren la participación activa de alguien en el interior para lograr el momento crucial e importantísimo de la “palanqueta”. Sin embargo, esto no significa que el personal participe a sabiendas en el ataque. Por lo general, esto implica un atacante que despliega una amplia gama de técnicas de ingeniería social, como el “whaling” o el “spear phishing”.