Aunque, en líneas generales, los bancos y otras entidades comerciales se encuentran a la vanguardia en cuanto a seguridad de la información se refiere, muchas han emprendido campañas informativas masivas para alertar a sus clientes sobre las amenazas que acechan el ciberespacio y avisarles que deben permanecer alertas y no confiar en los correos que reciban, sobre todo aquellos en los que le son solicitados sus datos personales ó su clave bancaria.
Pero a los ataques indirectos como el phishing, que se basan en el engaño y en los que es imprescindible la intermediación del usuario, se les unen los ataques directos. Estos ataques son los que los hackers realizan sobre las bases de datos, sistemas y sobre todo, contra las propias aplicaciones de las entidades bancarias y financieras, que almacenan gran cantidad de información privada de sus clientes y procesos internos. Sus formas son diversas y cada día nacen nuevas formas de apoderarse de esta información privilegiada.
Este tipo de ataques suponen un peligro mayor ya que el volumen de datos capturados por los ciber-delincuentes es mucho mayor y el usuario es totalmente ajeno a estos delitos hasta que no se ve directamente perjudicado (uso fraudulento de sus datos privados, sustracción de fondos de su cuenta, etc.). Tanto los ataques directos e indirectos tienen un resultado negativo directo sobre la imagen de las empresas mercantiles encargadas, sin contar con las implicaciones legales y monetarias a que haya lugar.
Deny All, fabricante francés de soluciones de seguridad especializado en aplicaciones Web, presenta las medidas básicas de seguridad para las entidades financieras, con objeto de no olvidar las claves para estar preparado frente posibles ciber-ataques:
> Seleccione una consultora de seguridad que colabore con el equipo interno en todo lo referente a la seguridad de aplicaciones. Una visión experta desde el exterior puede ayudar a comprender mejor el entorno de riesgo en el que nos encontramos.
> No confíe únicamente en soluciones VPN. Tenga en cuenta que aunque el canal por el que fluye la información sea seguro, quizás no lo sea tanto el punto de entrada.
> Implemente dos factores de autenticación para un control más robusto de sus sistemas. Un nombre de usuario y un password no son suficientes.
> Añada un sistema de control y filtrado de nivel 7, de modo que el intercambio de peticiones y respuestas entre cliente y entidad financiara se chequén automáticamente.
> Combine el control de acceso con funciones de control de derechos.
> Realice tests de acceso periódicos y en profundidad, de esta forma detectará las vulnerabilidades inherentes en la aplicación y no sólo en la red.
> Revise su política e infraestructuras de seguridad de forma periódica y continua.
> Someta a control todas las propuestas de inversión en seguridad que le planteen, en base a un cálculo de retorno de inversión, usando los datos obtenidos en la fase de análisis de riesgos.
Mas allá de las medidas básicas, lo que persigue una entidad bancaria o financiera es la completa garantía de que sus aplicaciones estarán protegidas al 100% ó hasta dónde la tecnología lo permita, la respuesta a esta exigencia es un firewall de aplicación que complemente las arquitecturas tradicionales de seguridad y ofrezca una protección total al conjunto de aplicaciones, mejorando además el rendimiento y simplificando la infraestructura Web existente. La tecnología de proxy inverso filtra la totalidad de los flujos http ó https destinados a las aplicaciones Web, este filtrado se debe realizar, por lo menos, a tres niveles:
> Filtrado por Black List: Rechaza los ataques más conocidos a través de filtrado basado en firmas. Actualizada de forma automática, permite la creación personalizada de listas negras adicionales.
> Filtrado Dinámico por Stateful tracking: Analiza durante la sesión el comportamiento del usuario, detectando cualquier anomalía e impidiendo que la información no autorizada sea entregada a usuarios malintencionados.
> Filtrado por White List: Es un modelo de seguridad positiva que permite autorizar los flujos correspondientes a una utilización normal y rechazar inmediatamente todas las demás peticiones no autorizadas por el sistema, evitando, de esta forma cualquier ataque, ya sea conocido o no conocido. Para la implantación de este sistema. El filtrado supone una reducción de tráfico sobre los servidores lo que permite obtener un mayor ROI en infraestructura.
> Finalmente un Gateway de Seguridad a nivel de aplicación, permitirá abrir aplicaciones para su uso interno directamente desde la Intranet privada.
En definitiva los ataques a los que se enfrentan las empresas del sector financiero son cada día más sofisticados y peligrosos, por ello estas empresas para quienes la seguridad es un factor crítico, deben contar con todos los recursos que la tecnología les ofrece para proteger a sus clientes y asegurar sus aplicaciones on-line, protegiendo sus datos de los ataques tanto conocidos como desconocidos, acelerando sus procesos, simplificando las arquitecturas y reduciendo costos.
