Bancos adoptan tácticas militares contra delitos cibernéticos
O’Fallon, Misuri. En un búnker sin ventanas, una pared de monitores desplegaba datos sobre los ataques (267 mil 322 en las últimas 24 horas, es decir, unos tres ataques cada segundo) y más de diez analistas observaban pantallas llenas de líneas de códigos informáticos.
Un antiguo soldado de la Fuerza Delta con experiencia de combate en Irak y Afganistán daba vueltas por la habitación y supervisaba las alertas que llegaban. Ahora se dedica a tratar de bloquear los avances de un nuevo enemigo: los ciberatacantes.
“No son muy distintos de los terroristas y los carteles de las drogas”, comentó Matt Nyman, el creador del centro de comando, mientras mantenía la vista en su escuadrón de empleados de Mastercard. “En esencia, las redes de amenazas operan de manera similar”.
El delito cibernético es una de las industrias más lucrativas y de crecimiento más rápido del mundo. El año pasado causó pérdidas de por lo menos 445 mil millones de dólares, un aumento de alrededor del 30 por ciento en solo tres años, según un estudio económico global. El Departamento del Tesoro designó hace poco a los ciberataques como uno de los mayores riesgos que enfrenta el sector financiero de Estados Unidos. Los bancos y empresas de pagos viven esta lucha como una guerra real, así que han respondido a ella con un enfoque cada vez más militarizado.
Ahora, espías retirados del gobierno estadounidense, soldados y expertos en contraespionaje ocupan los cargos más altos en los equipos de seguridad de los bancos. Han aportado a sus nuevos empleos las herramientas y técnicas utilizadas en el sector de la defensa nacional: ejercicios de combate, centros de inteligencia modelados a partir de los aplicados en el trabajo de contraterrorismo y analistas que monitorean las amenazas en los rincones más sombríos de internet.
En Mastercard, Nyman supervisa el nuevo centro de fusión de la empresa, un término tomado del Departamento de Seguridad Nacional. Tras los ataques del 11 de septiembre de 2001, la agencia estableció varios centros de fusión para coordinar la recopilación de información de inteligencia a nivel federal, estatal y local. Este enfoque se implementó en todas las dependencias gubernamentales, y comenzaron a utilizarse esos centros para enfrentar brotes epidémicos, incendios y el tráfico sexual.
Desde entonces, las entidades financieras comenzaron a aplicar la misma estrategia. Por lo menos una decena de bancos, entre ellos Citigroup, han abierto centros de fusión y tienen planes para abrir muchos más. Visa, que hace dos años creó su primera oficina de ese tipo en Virginia, se encuentra en la fase de desarrollo de otras dos, en el Reino Unido y en Singapur. Los bancos esperan que tener sus propios equipos de inteligencia les ayude a detectar de manera más eficiente algunos patrones en los datos que recopilan.
Los centros también tienen un propósito simbólico: contar con una división encargada de esos temas refuerza la nueva realidad que estamos viviendo. Ahuyentar a los ladrones siempre ha sido una prioridad, por eso los bancos construyen bóvedas de seguridad, pero la carrera armamentista cibernética ha escalado con gran rapidez.
Para muchos directores de empresas financieras, la seguridad cibernética se ha convertido en la mayor preocupación, e incluso ha eclipsado otros problemas como las regulaciones y la economía.
Alfred F. Kelly Jr., director ejecutivo de Visa, está “completamente paranoico” con respecto a este tema, según comentó con algunos inversionistas durante una conferencia en marzo. Brian T. Moynihan, de Bank of America, afirmó que su equipo de ciberseguridad es “la única área de la empresa que no tiene límites de presupuesto” (el director de operaciones del banco indicó que gastarán alrededor de 600 millones de dólares este año).
Los militares agudizan las capacidades de los soldados mediante prácticas de combate que consisten en enviar a los soldados a diversas locaciones geográficas para probar su habilidad táctica y de manejo de armamento; el sector financiero creó su propia versión: Quantum Dawn, un simulacro bienal de un ataque cibernético catastrófico.
En su edición más reciente, en noviembre, 900 participantes de 50 bancos, reguladores y agencias policiacas representaron sus papeles en respuesta a un ataque a toda la industria con un programa informático maligno que empezaba por corromper todos los pagos enviados por los bancos y después los bloqueaba. Durante la prueba de dos días, los organizadores agregaron nuevas amenazas en intervalos de algunas horas, como ataques en los que se suspendía el servicio y los sitios web de los bancos quedaban desconectados.
Cada banco dedica varios meses antes del evento a recrear su tecnología interna en una red aislada de prueba, una plataforma llamada cyber range, para que sus empleados puedan utilizar sus herramientas y software reales. La empresa encargada del campo de batalla virtual, SimSpace, es contratista del Departamento de Defensa de Estados Unidos.
En algunas ocasiones, las pruebas revelan fallas importantes.
Hace tres años, una serie de simulacros de menor escala coordinados por el Departamento del Tesoro —llamados Hamilton Series— evidenciaron un problema técnico. Un ataque a Sony, atribuido a Corea del Norte, filtró correos electrónicos y datos privados de la empresa poco tiempo antes, lo cual ocasionó la pérdida de enormes secciones de la red de internet de Sony.
Los reguladores se preguntaron si un banco, en especial uno no muy grande, podría recuperarse si sucediera algo similar. Quienes participaron en el simulacro salieron muy preocupados.
“Fue evidente que necesitábamos agregar otra capa de a nuestra seguridad”, afirmó John Carlson, jefe de personal del principal grupo de coordinación de ciberseguridad de la industria, Financial Services Information Sharing and Analysis Center.
Los bancos más grandes organizan sus propios simulacros internos de ataque, varios al año, para identificar sus puntos vulnerables y mantener a tono sus acciones de intervención inmediata.
“Es la idea de la memoria corporal”, señaló Thomas J. Harrington, director de Seguridad de la Información en Citigroup, quien trabajó veintiocho años para el FBI.
En la industria financiera, el temor generalizado es que se repita la violación de datos que afectó a Equifax el año pasado, a mayor escala. Algunos atacantes robaron información personal, incluso números de Seguridad Social, de más de 146 millones de personas. Como consecuencia del ataque, el director general y otros tres altos directivos de la empresa perdieron su trabajo. No se ha revelado públicamente quién robó esos datos ni qué hicieron con ellos. El buró de crédito ya ha gastado 243 millones de dólares para resolver el problema.
Nyman tiene la responsabilidad de garantizar que nada parecido suceda en Mastercard. Mientras recorre el centro de fusión de la empresa, describe el trabajo del equipo en lenguaje militar. Describe su enfoque de acción ofensiva con un término que hace referencia a los momentos previos a la explosión de una bomba.
Los ataques son constantes: durante nuestra conversación se registraron varios ataques a los sistemas de Mastercard. El total en lo que va del año supera los veinte millones.
(Con información de The New York Times)