Luego de conversar con directores de Seguridad de la Información (CISO) de grupos financieros y proveedores tecnológicos, iupana identificó los principales riesgos que deberían estar en el radar de toda área de seguridad en bancos y fintechs de América Latina.
Las cifras dicen que la tendencia de ataques no se detiene. Los casos de fraude bancario mediante malware, por ejemplo, aumentaron un 113% en la región durante los últimos 12 meses y los fraudes digitales en la banca crecieron un 32% en la primera mitad de 2024 en comparación con el mismo periodo de 2023, según un informe de BioCatch.
Ante este panorama, iupana preparó una lista con las principales preocupaciones que hoy ocupan a los responsables de seguridad digital en bancos y fintechs de LatAm.
1.IA y deepfakes
Los deepfakes impulsados por IA se han convertido en una amenaza creciente para la autenticación de identidad pues su evolución constante obliga a los equipos de seguridad a actualizar sus defensas.
“Es importante conocer cuánto amenazan los deepfakes en la región y mucho mejor saber cómo lo están enfrentando los distintos bancos”, dice el CISO de un holding financiero.
La facilidad de acceso a herramientas de IA está siendo aprovechada por grupos criminales para suplantar identidades y vulnerar procesos de onboarding o recuperación de cuentas. Ante este escenario, algunas entidades han decidido desarrollar soluciones propias.
En Chile, Bicecorp, asegura a este medio que, pese a tener un proveedor de autenticación, aún tenían fallas en sus procesos, por ello crearon su propia herramienta, Amparo ID, que añade una capa de seguridad que lee el chip de los ID.
2. Actualizaciones de softwares
Aunque se trata de un problema histórico, la urgencia por mantener los sistemas actualizados es más crítica que nunca, pues los cibercriminales están en constante búsqueda de vulnerabilidades.
“Un banco tiene diferentes sistemas operativos, todos los días aparecen nuevos parches de seguridad en todos y eso solo a nivel de computadores”, dice Narciso Basic, CISO de Equifax para Chile, Perú y Ecuador.
“Imagina capas más arriba, en los servidores que tienen diferentes modelos de bases de datos. Imagina el esfuerzo y el dinero que tiene que hacer la banca y las fintech para poder manejar esa plataforma”, advierte el ejecutivo.
El desafío está latente porque el músculo tecnológico de los bancos más longevos de la región se sostiene en softwares que necesitan últimas versiones para evitar filtraciones de terceros.
3. El eterno phishing y las cuentas mula
El phishing sigue siendo una de las técnicas más efectivas para cometer fraude digital, pese a los avances en ciberseguridad y lo antiguo del método. El engaño, dirigido tanto a clientes como a empleados, continúa generando pérdidas significativas en la región.
“No hay que buscar mucho en nuevas formas de fraude. El phishing sigue siendo muy eficiente, porque siempre hay alguien que cae” asegura el CISO de un banco de Centroamérica.
Desde la fintech Pomelo ya habían advertido que ahora el phishing está siendo más personalizado, al punto de estar muy bien montados de acuerdo con los intereses de la persona atacada.
El ejecutivo también advierte que es necesario mejorar la tecnología para la identificación de cuentas mula, para mejorar el correcto conocimiento del cliente y fortalecer la lucha frente al lavado de activos.
“En Centroamérica hay una masificación de cuentas mula y hay que ser muy cuidadoso para bloquear sin perjudicar a familias que realmente necesitan sus remesas”, explica el CISO.
4. Stealer logs
Otra vulnerabilidad en los sistemas financieros está relacionada con el robo de credenciales. Los atacantes aprovechan herramientas como los stealer logs para extraer información sensible directamente desde los dispositivos comprometidos.
“Las fallas que normalmente solemos encontrar son credenciales divulgadas por stealer logs, que es cuando el atacante se mete al dispositivo y baja toda la información que pueda encontrar. Desde archivos hasta bloc de notas donde podrían haber anotado información sensible. Credenciales guardadas en el Chrome, y luego lo publican”, dice Alicia Cuestas, CEO de Open-Sec, una empresa de ethical hacking.
De hecho, este tipo de malwares se difunden con rapidez debido al modelo de fraude como servicio (FaaS). Sobre cómo blindarse de estos ataques conversaremos este jueves con especialistas de albo, Kueski y Veridas.
5. Controles débiles de biometría
Open-Sec tiene entre sus clientes a diversos bancos de la región y en una de sus auditorías comenta que pudo pasar los controles de biometría fácilmente.
“Hemos tenido casos donde hemos realizado pruebas de biometría, hemos impreso la cara de la persona y solo le hicimos huecos en los ojos y ha funcionado”, revela Cuestas.
Es por ello, que muchos bancos y fintechs de la región están complementando a la capa biométrica con capas comportamentales, con el fin de conocer dónde el usuario está en un lugar seguro y habitual de desplazamiento, como Modo Rúa de Nubank.
6. Vulnerabilidad de terceros
Al externalizar servicios, las entidades financieras pierden visibilidad sobre ciertos puntos críticos de seguridad, por ejemplo, la migración a la nube ha traído eficiencia operativa, pero también nuevos riesgos.
“Normalmente las empresas financieras se encargan de su entorno, pero a veces externalizan algunos servicios. Por ejemplo, se van a la nube, es positivo, pero amplía tu área de riesgo porque ya no tienes todo controlado”, advierte Basic de Equifax.
El riesgo se multiplica cuando los proveedores de servicios tecnológicos subcontratan a su vez a otros actores. Esta cuarta parte escapa muchas veces del control de los bancos.
“¿Los bancos se aseguran que las cláusulas que le dan a los terceros son las mismas si este necesita de un cuarto?”, sentencia el especialista.
