Jordi Murgó: “todos somos responsables ante los ciberataques”


2017 ha sido un año decisivo para la seguridad informática. Los ciberataques llevados a cabo en mayo y junio han supuesto el cuestionamiento de las medidas de seguridad de los sistemas informáticos actuales. Compañías, instituciones y todo tipo de usuarios de 150 países fueron asaltados por ciberdelincuentes que infectaron algunos servidores de todo el mundo. Grandes empresas y entidades como el Banco Central de Ucrania, el fabricante de aviones Antónov, Telefónica o el Sistema Nacional de Salud del Reino Unido fueron víctimas de los ciberataques.

Para entender la situación actual de la ciberseguridad, especialmente en el sector financiero, y qué medidas se pueden tomar hemos entrevistado a un hacker ético de la vieja escuela: Jordi Murgó, conocido por su apodo Savage. Jordi lideró el grupo de hackers Apòstols, creó varios programas informáticos y se dedicó al hacktivismo ético en apoyo de distintas causas. Actualmente es responsable de iniciativas de investigación en el departamento de Applied Technologies de GFT y también trabaja en el Laboratorio de Innovación Digital de la compañía.

Miguel Reiser: El sector financiero es uno de los que más relevancia dan a la ciberseguridad. ¿Cómo pueden afectar ataques como los que se han vivido recientemente a las entidades financieras?

Jordi Murgó: Primero, permíteme separar la materia en dos zonas de seguridad distintas. La primera es la parte interna del negocio bancario, protegida de forma bastante eficiente y ajustada a reglamentación. La segunda, escapa a este paraguas, y es donde se centra el fraude bancario en estos momentos: el terminal de acceso del usuario final y de los comercios.

La primera zona tiene ahora mismo como principal amenaza específica los APT (Advanced Persistent Threats) especializados en transacciones internacionales (SWIFTNet) y los especializados en cajeros automáticos (ATM CEN/XFS). Esto es así porque ambas plataformas están estandarizadas y son fácilmente localizables en los equipos.

La segunda zona, el terminal de punto de venta de comercios y los móviles, tabletas y ordenadores personales de los clientes están expuestos a la intemperie, al alcance de todas las plagas especializadas en la captura de claves de acceso a las webs bancarias y en la captura de tarjetas de crédito en los terminales de punto de venta. Y a esto debemos añadir las insistentes campañas de Phishing que intentan engañar a los clientes bancarios para capturar sus credenciales de acceso.

 

MR: ¿Cómo se puede prevenir el fraude en tiempo real en banca? ¿Cuáles son las claves para hacerlo?

JM: Si nos centramos en los casos de suplantación de identidad del cliente, debemos aplicar medidas adaptativas que determinen la probabilidad de fraude mediante sistemas cognitivos que comparen en tiempo real el entorno y actuación del usuario con sus costumbres más frecuentes.

Si la transacción que se pretende realizar levanta sospechas se debe solicitar un segundo factor de autenticación. Los sistemas biométricos basados en dispositivos móviles son robustos y no requieren inversión en hardware adicional por parte de las entidades bancarias.

Existen soluciones que validan la integridad de dispositivos móviles y tabletas que pueden ser integradas en las aplicaciones bancarias, avisando e incluso impidiendo su utilización al cliente.

Para el caso de ordenadores personales de los clientes debería ofrecerse una solución anti-malware / anti-virus que integrada con los navegadores permitiera conocer la integridad del equipo que está accediendo a la aplicación bancaria.

De una forma parecida, en el caso de terminales de punto de venta antes de acceder a los datos de la  tarjeta de crédito para realizar las operaciones de pago electrónico debería realizarse una validación de integridad mediante alguna herramienta anti-malware. Aunque en este caso entramos en el espacio de corresponsabilidad de los fabricantes de software de TPVs.

MR: ¿Quién es el responsable de los fraudes financieros?

JM: El responsable es el actor activo en el fraude, el cibercriminal, o simplemente el criminal, sin duda, pero existen factores que le facilitan el trabajo, y en ese punto todos somos responsables.

Los clientes son responsables de la higiene de sus equipos, y de utilizar contraseñas exclusivas para acceder a las entidades bancarias.

Los fabricantes de terminales móviles y sistemas operativos son responsables de corregir y facilitar actualizaciones de seguridad a sus usuarios.

Las entidades bancarias son responsables de obligar a que las credenciales de usuario tengan la calidad suficiente para no poder ser fácilmente descubiertas. Y deberían ser responsables del ofrecimiento de medidas tecnológicas suficientes para garantizar la misma seguridad de custodia financiera en su variante electrónica que la ofrecida de en su forma física.

MR: ¿Qué datos de información no bancaria pueden resultar útiles a la hora de prevenir el fraude bancario?

JM: Los metadatos asociados al entorno del usuario que realiza las operaciones, esto son: el horario, el tipo de terminal, el sistema operativo, versión del navegador o aplicación, el número de serie del equipo, la geolocalización del equipo, la geolocalización de la IP, el operador móvil utilizado, el país del beneficiario de la transacción…

Con todo ello podemos determinar si se trata de transacciones que se alejan del uso más común por parte de este usuario.

MR: ¿Es el big data la solución a los posibles ciberataques que puedan sufrir los datos?

JM: Indirectamente. El big data y los sistemas cognitivos se utilizan para el almacenamiento de eventos relacionados con la seguridad, la detección de comportamientos anómalos en las redes y la correlación de eventos para correcta detección y actuación ante posibles ciberataques.

Soluciones de “backup” existen desde los inicios de la informática.

MR: Pese a todos los avances en materia de ciberseguridad, ¿por qué parece tan sencillo, en algunas ocasiones, acceder a algunos organismos oficiales, bancos, etc.?

JM: No es sencillo si detrás existe una estructura organizativa dedicada a la ciberseguridad. O no debería serlo si son mínimamente competentes.

MR: ¿Cuáles son las claves para conseguir una contraseña segura en lo que a nuestra cuenta del banco se refiere?

JM: Lo primero debería ser que nuestro banco no nos complique innecesariamente la vida, con limitaciones especiales que solo pueden dificultar que la recordemos. Una forma sencilla es recordar una frase, un trozo de una canción o poema que sepamos de memoria, y a partir de esa fase creamos un anagrama usando partes de cada palabra y mutaciones numéricas de letras parecidas:

  • Original: Luke, yo soy tu padre!
  • Anagrama simple: Lu,yosotupa!
  • Anagrama numérico: Lu,y0507up4!

Y sólo utilizarlo en aquella entidad bancaria que nos recuerda a Darth Vader.

MR: ¿Se puede acceder a sistemas sin que quede constancia de ese hackeo?

JM: Es posible, pero precisamente para evitarlo se toman contramedidas como la centralización de logs, eventos y las capturas de trazas de red.

MR: ¿Qué consejos darías para evitar, en la medida de lo posible, hackeos como el que algunas de las empresas más importantes de este país han sufrido recientemente? ¿Cuáles son las armas que podemos utilizar?

JM: La seguridad es un tema muy serio, si una empresa no tiene suficiente experiencia interna, debe recurrir a servicios de seguridad externos, que le ayuden a identificar assets, amenazas y riesgos, y a crear los planes de seguridad mejor ajustados a su actividad. Si bien la seguridad absoluta no existe en un mundo conectado, podemos aumentarla a niveles muy elevados con la correcta mitigación de riesgos, limitando la exposición a posibles amenazas, y con el análisis continuo de nuestras instalaciones. La gestión de los incidentes de seguridad en ocasiones sobrepasa la capacidad de los centros de operaciones internos, y es cada vez más importante contar con los servicios de un SOC (Security Operations Center) de segundo nivel que pueda afrontar con éxito los ataques más sofisticados y/o catastróficos.

¡Muchas gracias por la entrevista!