Ciberataques: ¿está seguro nuestro dinero?

El viernes 12 de mayo, el mundo asistió perplejo al ciberataque sufrido por firmas del prestigio de Telefónica o Renault, entre otras muchas. En total, el virus Wannacry infectó a más de 200.000 equipos en más de 150 países, según datos oficiales de Europol. Pero más allá del impacto real del suceso, éste levantó muchos interrogantes entre la población: ¿Si una firma especializada en tecnología como Telefónica puede quedar comprometida de este modo, qué podría pasar con otros sectores?, ¿cómo afectaría a la banca?, ¿está seguro nuestro dinero?

Nos hemos puesto en contacto con las principales entidades españolas para preguntarles sobre aquella jornada y han negado que el reciente ciberataque tuviera efecto alguno en sus sistemas. Pero lo cierto es que Wannacry no es un caso aislado. Según el último estudio sobre la cibercriminalidad en España elaborado por la Secretaría de Estado de Seguridad, sólo durante el año pasado se produjeron un total de 60.154 hechos delictivos en Internet, de los cuales el 67,9 por ciento fueron fraudes informáticos (estafas) y el 16,8 por ciento, amenazas y coacciones. A nivel global, un tercio de los responsables de tecnología de las empresas afirma haber sufrido un ciberataque importante en los últimos 12 meses, según un estudio de KPMG. Específicamente en el sector financiero, el 26 por ciento de entidades a nivel global reconoce haber sido víctima de algún tipo de ataque, según un estudio de Capgemini. Y estos sucesos dejan importantes daños. En concreto, las aplicaciones maliciosas Ransomware (como Wannacry, que restringen el acceso al sistema infectado y piden un rescate a cambio de quitar esta restricción) generaron 24 millones de ingresos a delincuentes cibernéticos en 2015 y produjeron 325 millones de dólares en daños indirectos, incluyendo el coste de tareas de desinfección y restauración, según PriceWaterhouseCoopers. 

Pero, pese a esta realidad, la percepción del cliente de banca es que su dinero está seguro. En concreto, el 83 por ciento de los clientes a nivel global y el 76 por ciento en España confían en su banco y aseguradora, según el estudio de Capgemini. De hecho, la banca es el sector en el que más confían los ciudadanos respecto a este tema, por encima de las compañías de telecomunicaciones, de comercio electrónico, de pagos o los minoristas. Una realidad que confirma otro estudio elaborado por Symantec, aunque reduce la proporción de clientes que confían en la seguridad de su banco al 66 por ciento.

Sin embargo, esta elevada confianza de los clientes contrasta con la escasa confianza de los directivos de banca en la seguridad de sus sistemas. Así, solo el 21 de los directivos de banca y seguros confían en ellos (22 por ciento en España), según el informe de Capgemini. ¿Qué quiere decir eso? «Esto denota que somos mucho más vulnerables de lo que nos creemos. La gente no es consciente de lo que hay fuera», dice Gerard Vidal, consejero delegado de la empresa especializada Enigmedia.

En todo caso, tampoco es cuestión de ser alarmistas, según este experto. «¿Está nuestro dinero seguro? Sí. Hay problemas, pero uno de los requisitos de los bancos es guardar este dinero. Y para eso tienen seguros también. De la misma manera en que tienen pólizas por si les atacan, también tienen pólizas de cibercrimen», relata este especialista, quien añade: «Internet está lleno de cosas buenas y cosas malas. Y, a día de hoy, cuesta que las medidas de seguridad crezcan al mismo ritmo que Internet. ¿Quiere decir eso que estamos inseguros? No. No por estar en ese entorno estamos inseguros. No por salir a la calle nos puede atropellar un camión. Pero, si cruzamos a pie una autopista, sí puede atropellarnos. Por eso, estamos seguros en la medida en que entendamos las normas del entorno digital», añade este especialista. 

Otro motivo para la tranquilidad es, según este experto, el hecho de que entre las entidades españolas haya grandes referentes en ciberseguridad como, por ejemplo, el BBVA, que incluso estuvo exponiendo su estrategia de defensa en la última conferencia RSA (uno de los eventos de seguridad más importantes del mundo). 

«En IT securities, los bancos españoles son una referencia. Son muy buenos. En España, los ingenieros están muy bien formados y la gente que está ahí tiene cabeza. Además, un banco sabe que tiene que estar al día y que tiene deberes. Tiene muchos sistemas de información y tiene que protegerla», asevera el consejero de Enigmedia, una compañía que precisamente está desarrollando un software para una entidad financiera que evite que nadie pueda hacerse pasar por la aplicación móvil del banco para robar las contraseñas.

Y es que las entidades se toman muy en serio el asunto de la seguridad. 

En CaixaBank, por ejemplo, han creado un grupo especializado en respuestas a incidentes de seguridad informática (CiberSOC) y un centro que coordina la seguridad integral de todo el grupo, iSOC (Integrated Security Operations Center), que es miembro de los principales foros internacionales de investigación y colaboración en materia de ciberseguridad, como el Forum for Incident Response and Security Teams (FIRST), el Messaging Anti-Abuse Working Group o el Anti-Phishing Working Group de Estados Unidos. Además, CaixaBank está involucrada en la creación de APWG.eu, la primera alianza europea de empresas, gobiernos, cuerpos de seguridad y universidades a favor de la seguridad informática, que tiene su base de operaciones en Barcelona.

Asimismo, CaixaBank ha desarrollado programas de formación adaptados a los diversos niveles para actualizar los conocimientos de los empleados en materia de ciberseguridad y también impulsa acciones de sensibilización entre sus clientes acerca de cuestiones de seguridad básica, como el phishing. Por último, los clientes disponen de la protección gratuita CaixaBank Protect, que les garantiza la seguridad frente a posibles fraudes en operaciones electrónicas con sus cuentas y sus tarjetas.

Por su parte, en Santander trabajan en 3 ámbitos fundamentalmente: la seguridad de la información, la seguridad de los sistemas y la seguridad de los usuarios, clientes y empleados.

«El banco lleva años focalizado en desarrollar el ámbito de la de la seguridad de los usuarios, elaborando planes de contenidos formativos y consejos de ciberseguridad, tanto para clientes como para no clientes. Somos conscientes de que el usuario es el eslabón más débil de la cadena y estamos seguros de que fomentando la confianza digital de nuestros clientes avanzamos también en la transformación digital del negocio», dicen fuentes de Santander.

Y es que los clientes son uno de los focos más vulnerables. Affinion también avisa sobre este asunto y advierte de que, tras las grandes inversiones efectuadas por los bancos en ciberseguridad, se ha producido un «cambio de estrategia» de los ciberdelincuentes, que «intentan hacerse con el control de los datos personales a través de las contraseñas de los usuarios». Y es que hay que ser conscientes de que dos de cada tres personas no cambian la contraseña con frecuencia y las más utilizadas son dos muy fáciles de detectar, «contraseña» y «123456», según recuerda Yves Kramer, gestor de Pictet Security, un fondo especializado en seguridad.

Entonces, ante esta amenaza, ¿qué debe hacer el cliente de banca? Lo primero de todo es utilizar la lógica, según aconseja Gerard Vidal, de Enigmedia. Asimismo, conviene mantener el sistema operativo del ordenador actualizado, hacer copias de seguridad, cambiar las contraseñas y elegir unas que sean «robustas», instalar un antivirus, usar las redes sociales con precaución y, sobre todo, tener mucho cuidado con la gestión de los datos personales. 

«Hay que aplicar el sentido común. De la misma manera en que tu madre te enseñó a no hablar con extraños, debes hacer algo parecido cuando navegas por Internet. Si te llega un mensaje en inglés con un archivo adjunto y te parece sospechoso, no lo abras». Puede parecer un consejo muy básico pero conviene recordar que fue precisamente este sencillo error el que permitió la difusión de Wannacry hace pocas semanas.