Perante um cenário de ataque cibernético, os especialistas concordam que é essencial que as equipes bancárias tenham planos detalhados para mitigar ameaças em poucas horas, responder rapidamente aos incidentes e gerir os riscos reputacionais.
No fim de outubro, o banco Intrebank do Peru sofreu uma violação de dados, no incidente mais recente que destaca a necessidade do setor enfrentar eficazmente os ataques, um risco cada vez mais presente para as instituições financeiras a nível global e regional.
Para o Interbank os horários eram críticos. Antes que o banco do grupo Intercorp confirmasse em comunicado que “um terceiro não autorizado alegou ter obtido ilegalmente alguns dados de um grupo de nossos clientes e os publicou em um fórum ‘dark web’ em 30 de outubro com o objetivo de nos extorquir”, um usuário identificado como “kzoldyck” no site “breachforums”, popular entre hackers, passou a oferecer informações dos clientes: 3,7 terabytes (TB) de dados, que incluiriam acesso a um montante estimado em US$ 1,7 bilhão de dólares.
“Um banco pode ter suas áreas bem monitoradas para evitar eventualidades, mas esses incidentes costumam ser percebidos quando de repente começa a aparecer nas redes sociais ou através de e-mails que algo está acontecendo com a plataforma e os usuários não conseguem entrar, fazer transações, os dados não aparecem bem”, explica Víctor Ruiz, fundador da startup de segurança cibernética Silikn.
“Outra forma é o banco começar a detectar essas falhas por meio de seus sistemas de detecção de instruções ou algum sistema de segurança”, acrescenta.
Os ataques cibernéticos mais que duplicaram desde a pandemia, segundo o Fundo Monetário Internacional (FMI). Isto aumenta o risco de sofrer grandes perdas, o que, por sua vez, pode levar a problemas financeiros ou de solvência e aumentar os custos de melhoria da segurança, bem como danos à reputação.
Regulamento: o guia
Quando um ataque atinge tal extensão e os dados dos clientes podem ser comprometidos, os bancos devem agir para proteger as informações e os ativos. Hiram Alejandro Camarillo, diretor de informação e privacidade do escritório Seekurity, destaca que, por serem entidades pertencentes a um setor regulado, devem considerar os protocolos regulatórios emitidos pela autoridade e que dão diretrizes para proceder com um incidente.
“Se a qualquer momento o ataque incluir ou afetar dados de clientes, eles deverão notificá-lo. Em alguns países é até obrigatório por regulamentos, leis e circulares que solicitam aos bancos que notifiquem os usuários e as autoridades correspondentes. Existem até algumas instituições especializadas em vigilância, que identificam se há dados pessoais dos usuários que estão sendo usados em algum lugar ou oferecidos no mercado negro”, explica Caramillo.
Na América Latina, as regulamentações sobre segurança cibernética nas instituições financeiras variam de acordo com o país, mas, em geral, visam a estabelecer padrões que fortaleçam a proteção de dados e a continuidade das operações comerciais. Por exemplo, no Chile, existe o Padrão de Segurança Cibernética do Banco Central, que exige que as instituições financeiras implementem planos de continuidade operacional, gestão de riscos e resposta a ataques cibernéticos. Também México, Brasil, Argentina, Colômbia, Costa Rica contam com regulamentos emitidos por reguladores financeiros para lidar com essas contingências.
No Peru, a Resolução nº 504-2021, emitida pela Superintendência de Bancos, Seguros e AFP (SBS), aprovou o Regulamento para a Gestão da Segurança da Informação e Cibersegurança. O objetivo é exigir que as instituições financeiras implementem um ambiente seguro para o fornecimento de produtos e serviços aos seus usuários. Além disso, busca prepará-los para enfrentar o aumento dos riscos relacionados à segurança da informação, derivados do avanço acelerado das tecnologias, da crescente interconectividade entre as empresas e da ascensão da transformação digital.
“Os bancos têm conseguido, na sua maioria, ter tecnologia e sistemas de segurança de ponta muito avançados, falando em tecnologia, mas, em alguns casos, precisam de reforçar procedimentos e políticas para conseguirem estabelecer o que acontece quando ocorre um incidente, para quem é relatado? Quem é o responsável não só por dar respostas, mas por resolver o problema”, afirma Ruiz.
Ceder ou não ceder?
Em muitos casos, os invasores exigem resgates em troca de informações roubadas. Diante desta situação, Ruiz destaca que o fundamental é a prevenção baseada em tecnologia atualizada, pessoal treinado e procedimentos claros. Contudo, em uma situação em que a prevenção falhou e não há planejamento para fazer face às contingências, o banco deve medir o alcance e o tipo do ataque.
“Em um ataque do tipo ransomware, que consiste em o invasor roubar e criptografar as informações do banco e pedir resgate para liberá-las, é recomendado nunca pagar o resgate. Eles devem ver que outras alternativas existem dentro do banco, um backup adequado da informação, bases de dados atualizadas ou servidores em diferentes partes, tanto físicas como na nuvem, com os quais possam restaurar a operação”, explicou Ruiz.
O especialista em cibersegurança explica que pagar um resgate tem mais implicações do que incentivar ou não as atividades dos cibercriminosos. Ceder às exigências dos hackers pode comprometer ainda mais a situação, porque os atacantes podem partilhar informações com outros grupos cibercriminosos para desencadear um ataque mais complexo.
“Além de criptografar informações, os cibercriminosos também desenvolveram malwares, programas maliciosos para roubar informações críticas para a organização. Foi desenvolvido para detectar contas bancárias, chaves de transferências, senhas, números de usuários, tudo para acessar as contas, as detectar e extrair informações que podem ser compartilhadas com criminosos, mas também pode ser utilizado como dupla extorsão por ameaçando publicá-lo”, alerta Ruiz.
“kzoldyck”, usuário do atacante do banco peruano, publicou que manteve conversas com funcionários da entidade, embora isso não tenha sido confirmado nem negado pela entidade. Nas supostas conversas, o hacker ameaçou tornar públicas as informações roubadas, caso não correspondessem ao resgate.
Risco reputacional
Na experiência de Caramillo, os bancos reforçaram as suas áreas de segurança cibernética, dando-lhes mais tecnologia e pessoal do que tinham há dez anos. Isso rendeu frutos em melhorias na prevenção de ataques.
“As áreas de cibersegurança nos bancos estão muito fortalecidas, principalmente, pelas questões de roubo de informações dos usuários. Estão muito preocupados com o roubo de dinheiro, que em algum momento possam ter, e perceberam que os impactos foram muito mais custosos do que não ter não ter segurança”, diz o especialista.
Até à data não existem números oficiais sobre quando seria o impacto econômico deste ataque ao Interbank. No entanto, Ruiz ressalta que o impacto na reputação dos usuários pode ser ainda mais caro do que os vazamentos.
“Os bancos devem estabelecer um canal de contato claro e direto com os usuário afetados, evitando respostas evasivas como ‘perdi as suas poupanças’. É crucial comunicar de forma transparente os esforços em curso — por exemplo, informando que os fundos estarão disponíveis dentro de 24 ou 48 horas — e também oferecendo alguma compensação. Isto não só reforça a confiança do cliente, mas também demonstra responsabilidade na gestão de incidentes de segurança”, destaca Ruiz.
Depois de o ataque ao Interbank ter sido tornado público, foram denunciadas longas filas de clientes nas agências onde se dirigiram para solicitar informações sobre as suas poupanças, o que foi seguido de desculpas públicas do gerente-geral, Carlos Tori, que alertou os clientes sobre possíveis tentativas de phishing, engano ou manipulação e instados a não compartilhar informações pessoais, senhas ou números de cartão.