  El cibercrimen continúa sin mostrar señales de retroceso. De hecho, durante 2010 han aparecido nuevas amenazas y han aumentado los niveles de sofistificación en los ataques presenciados en el mundo; y en la nueva década que este año se inaugura, el cibercrimen se está diversificando hacia un camino diferente: los ataques irán más allá de la industria de los servicios financieros, y el malware pasará de dirigirse a los equipos domésticos a los empleados de una organización, tanto pública como privada.
Frente a las nuevas tendencias que se avecinan, -ataques a dispositivos móviles, vulneración de las barreras de seguridad por parte de los propios empleados, o cómo la propiedad intelectual (información empresarial) empieza a ser un dato buscado por los ciberdelincuentes-, ha aumentado la necesidad de adoptar soluciones de protección y gestión de la información, en concreto, en el ámbito del fraude y cibercrimen, ya que el phising sigue creciendo y los troyanos son cada vez más refinados. Bajo esta perspectiva, ha tenido lugar una nueva tertulia, organizada por COMPUTING en colaboración con RSA, la divsión de seguridad de EMC, y que ha convocado a los responsables de la seguridad TI de algunas de las principales entidades financieras de nuestro país.
Iniciaba la charla David Navarro, responsable de Entidades Financieras de RSA, quien situaba el contexto actual en el que se encuentra la banca en un punto de inflexión en cuanto a los retos que se aproximan, porque “en tendencias, el phising está ahí para quedarse. Parece que se reduce pero el año pasado subieron los ataques un 27% con respecto a 2009, y además está evolucionando. Estamos observando que hay ataques de phising multimarca, es decir, que van dirigidos desde redes sociales a un grupo de entidades a la vez, y están muy acompañados del uso de troyanos específicos del sector de la banca como Zeus, con un interés de monetizar el fraude. Otra tendencia es el uso de malware contra dispositivos móviles. Cada vez más utilizamos smartphones y tablets para acceder a la banca on line desde múltiples canales que nos aportan más facilidad para trabajar con el banco. Ligado a esta tendencia, se ha producido un cierto puente entre las tecnologías de consumo y las empresariales; y esta convergencia de uso personal y profesional de las TI presenta nuevos retos para que haya fraude, como los ataques dirigidos contra empleados de la empresa. Por último, cada vez hay troyanos más específicos y complejos. Hemos percibido, por ejemplo, una posible fusión entre Zeus y SpyEye, que generará un megatroyano. Es clave, por tanto, en esta ecuación, la educación del usuario. Las entidades ponen contramedidas, nosotros proponemos soluciones, pero el usuario y su educación es fundamental para poder discernir dónde está el ataque”.  
Luis Saiz Gimeno, responsable de Prevención de Delitos Tecnológicos de BBVA, por su experiencia compartía muchos de estos aspectos.“Hay determinados tipos de ataques que vienen para quedarse porque son muy fáciles de realizar y difícilmente perseguibles. Lo que tenemos que procurar es que obtengan muy poca rentabilidad. Efectivamente, el phising se está dirigiendo, no sólo contra los bancos, también contra empresas de distribución, pymes, comercios… pidiendo datos para que la gente los facilite. Hasta que haya un poso de años en los que la gente reconozca que lo que piden no tiene sentido, va a llevar mucho trabajo. Es una cuestión de educación y para los que no son nativos digitales, será muy complicado. Es muy difícil llegar a un punto de compromiso entre lo que se puede hacer y dónde hay que sospechar y dónde está lo paranoico. En este sentido, podemos segmentar a la población en tres bandas: la paranoia total ante todo lo que llega y cree que es falso; una banda intermedia que es la mayor parte de la población; y una tercera que es que siempre va a haber alguien que termine cayendo en el fraude. Precisamente, para esta última, tenemos que poner medidas de protección”, afirmaba.
La explosión de nuevos terminales móviles les ha convertido en un objetivo muy atractivo para los cibercriminales, que han visto, sobre todo, en el área de las aplicaciones móviles, una puerta de entrada abierta de par en par, por lo que la proliferación de malware dirigido a estas aplicaciones y dispositivos es inevitable. Pedro Pablo López, gerente de Seguridad, Privacidad y Continuidad Global de Rural Servicios Informáticos (RSI), comentaba en este sentido queactualmente“el principal reto es la evolución de los ataques, que ahora son más especializados y tienden hacia los smartphones, y la nueva predisposición a enviar links de phising en el ámbito de los terminales móviles. Es más preocupante porque es volver a empezar a educar al usuario de que el smartphone no sólo sirve para llamar, también es un PC, el cual se utiliza para pagos y banca móvil, comprobar el correo electrónico, acceder on line a la red corporativa o almacenar datos personales. Y esto unido a la cada vez mayor descarga de aplicaciones móviles, nicho de posibles nuevos ataques, nos plantea nuevos retos de seguridad y, por ende, más preocupaciones”.
En el desarrollo de las aplicaciones móviles, la banca no es ajena. De hecho, “con la potenciación de la movilidad, de cara al cliente estamos ofreciendo nuevas aplicaciones de banca móvil, y eso se ha transformado, ya no es un canal telefónico”,declaraba Santiago Minguito, responsable de Seguridad de la Información de Banco Sabadell.“En ese sentido, debemos pensar en otros mecanismos de defensa. Por otro lado, yo destacaría otro aspecto: la evolución de los troyanos. La tendencia es realizar ataques con troyanos muy especializados, con los que el usuario ni se va a dar cuenta de que lo tiene instalado. Y frente a esto hay pocas soluciones. Los nuevos troyanos y los ataques a los smartphones son los dos puntos mas importantes a afrontar en los próximos años”, añadía.
Mencionaba anteriormente Luis Saiz de BBVA, que a la hora de definir mecanismos de defensa era crucial intentar conseguir que los ataques fueran lo menos rentables posible. Y esta es una de las principales demandas de las entidades financieras a la hora de diseñar una solución y estrategia de seguridad. “Cuanta más rentabilidad se obtiene es en las primeras horas del ataque, por lo que el objetivo que tenemos en las Cajas es fortalecer las medidas de seguridad en los back-end. Los dispositivos de autenticación sí podrían cubrir el ataque de malware, pero no justifican su implantación en cuanto a coste. No obstante, en las aplicaciones para dispositivos móviles, el problema lo tendremos con Google Android, porque en el caso de los tablets o iPhones, Apple, afortunadamente tiene un control muy fuerte de todas las aplicaciones que se suben a Apple Store”,explicaba José Luis Serna, jefe de Desarrollo de Producto de Nuevos Canales de la Confederación Española de Cajas de Ahorros (Ceca).
El malware se ha convertido en un problema cada vez más importante para las empresas e instituciones públicas de todo el mundo. Lo que antes se estimaba como un tema exclusivo de los usuarios y entidades financieras, ahora se ha trasladado también al ámbito empresarial, ayudado por una serie de factores como la movilidad de los empleados, el uso de redes sociales o la consumerización de las TI. Como resultado, las redes corporativas cada vez están más expuestas a malware, troyanos y otras amenazas que tienen el potencial de comprometer información sensible. Y además cada vez es más económico crear y dirigir un ataque. Así lo manifestaba Javier Sevillano, responsable de Infraestructura Tecnológica del departamento de Seguridad Informática de Caja Madrid, quien señalaba que“a los cibercriminales cada vez les cuesta menos dirigir ataques. Si el phising fuera caro habría menos, pero como es barato, hay mucho volumen. Por ello, están empezando a producirse ataques a comercios para robo de tarjetas, y el siguiente paso serán las entidades bancarias. Se nos van a abrir frentes nuevos ya que en los comercios y en los bancos hay verdaderas cantidades de información susceptible de convertirse en dinero, y ese será el próximo vector en los próximos años”.  
¿COMO AFECTAN LAS REDES SOCIALES?
Junto con la movilidad, las redes sociales son otro canal que ya está modificando el modelo de aportación de valor en la banca porque permite conocer tendencias y determinar pautas de comportamiento de los clientes, estudiar y predecir la demanda y analizar la evolución de los mercados de activos para invertir, escuchar opiniones de mercado y trabajar en la construcción de una reputación e imagen de marca, además de segmentar mercados para definir productos y servicios específicos.
Por estas razones, “hay empresas y entidades que dedican horas y personas para comunicar por las redes sociales. Es un canal más de comunicación”,indicaba Pedro Pablo López de RSI. “El problema es el acopio de datos que se puede realizar desde estos sitios y cómo se gestionan. En el ámbito de las redes sociales, hay un volumen de datos incontrolable del cual el usuario sí es consciente de su existencia. Se pone empeño en proteger el número de las tarjetas de crédito, pero luego no se pone cuidado en los datos personales que se suben a las redes sociales. Eso puede desequilibrar mucho, y el acopio de información que pueden hacer los cibercriminlaes es un gran problema”.
Además, como apuntaba David Navarro de RSA, “hay mucha gente que accede a las redes sociales mediante el teléfono móvil; y el usuario es tres veces más proclive a aceptar cosas por el móvil que por el PC”.
“Como sabemos que va a pasar, tenemos que estar preparados”,respondía Luis Saiz Gimeno de BBVA. “En realidad, es un tema de usabilidad del cliente porque en el mercado hay soluciones de seguridad, pero exigen que el cliente lleve encima, por ejemplo, un gadget o varios. Y a muchos clientes les supone un problema llevarlo; la cuestión es que si no tiene ese gadget o token no pueden hacer transacciones. Otro tema es lo que se puede hacer entre bambalinas. Ahí se puede hacer muchísimo. Nosotros, por ejemplo, para las primeras horas del ataques tenemos sistemas que detectan el 75% de los ataques de troyanos y phising antes de que haya spam y eso nadie lo percibe”.
MALWARE EN LA EMPRESA
Otra de las tendencias que se ha comentado durante esta mesa redonda es que “el phising antes estaba centrado en las grandes entidades, y ahora ha bajado a las pequeñas empresas, por lo que el espectro se ha ampliado”,observaba José Luis Serna de la Ceca.
Ahora el objetivo son los empleados de una organización; y llega hasta tal punto el interés de los cibercriminales por acceder al conocimiento interno de una compañía que, “las mafias que se dedican a crear troyanos una de las cosas que están empezando a hacer es pagar a universitarios para que se coloquen en las empresas y así meter el troyano desde dentro de la organización; ellos tienen un conocimiento del funcionamiento interior que no lo tiene nadie de fuera. El mayor daño está, por tanto, en el interior. Los cibercriminales tienen más ventajas porque tienen más tiempo, más gente, más recursos y no se sabe cuándo van a atacar; la única ventaja que nosotros tenemos como responsables de seguridad es que conocemos el terreno. Pero, si ese conocimiento sale fuera, estamos perdidos”, resaltaba Javier Sevillano de Caja Madrid.
Asimismo, también ponía de manifiesto Pedro Pablo López de RSI, el peligro de las reestructuraciones laborales. “El problema global de la crisis es que está produciendo salida de personas con conocimiento por reajustes de la plantilla, y estas personas son candidatos para las mafias, que los fichan para dar información y eso es mucho más grave”, alertaba.
En este punto, Santiago Minguito de Banco Sabadell, proponía que“además de proteger a los clientes, se deben proteger también los activos de la empresa, entre los que se incluye a los empleados”.  
VIRTUALIZACIÓN Y CLOUD COMO SALVAVIDAS
Tal y como han manifestado los asistentes de la tertulia, dos de las medidas de protección que cada vez están siendo más implantadas en las entidades financieras tienen que ver con dos de las tendencias tecnológicas más importantes de estos últimos meses: la virtualización y el cloud computing. Aunque, como matizaba David Navarro de RSA, “hay que tener presente el paradigma de cómo proteger el entorno virtual ya que no todo el mundo lo está protegiendo”.
Luis Saiz de BBVA, por ejemplo, afirmaba estar utilizando la virtualización, “porque una vez virtualizadas todas las infraestructuras, los dispositivos pasan a ser secundarios. Cuando te llevas todo a un entorno virtualizado, está más limitado y acotado, con lo cual es más sencillo de proteger. El problema son los accesos, que pueden no ser seguros. Estamos acostumbrados a tener acceso universal y cada vez vamos más a entornos multidimensionales. Hay que controlar dichos accesos dependiendo de dónde se accede, a qué se accede y cómo. El acceso por nivel de riesgo a las distintas informaciones es un tema que vamos a tener que ir pensando y donde es clave la gestión de la información”.
Santiago Minguito de Banco Sabadell, añadía en este sentido que“el paradigma de la ubiquidad nos obliga a implantar más tecnologías de control para proteger la información y los activos. Yo iría más allá de la virtualización porque tenemos que segregar desde dónde está accediendo el usuario, si es desde un entorno seguro de la empresa o es desde su casa. La clave estaba en la autenticación y gestión de identidades basada en el acceso, pero ahora se añade otra dimensión que es desde dónde se accede y a qué se accede”.
Para Pedro Pablo López de RSI, la solución también está en la nube. “Estoy de acuerdo en segmentar de dónde se accede y el tipo de riesgo, pero al tener un dispositivo de conexión universal es preciso poner más medidas y el cloud computing puede ser una solución. Todos los datos de la empresa estarán en la nube, el correo ya no estará en los servidores empresariales… por tanto, las aplicaciones y documentos ya no están en el dispositivo, sino en la nube. Es un cambio radical”.
Sin embargo, ¿cuál es la mejor opción, cloud privada o cloud pública?
Para Banco Sabadell, el cloud privado “no deja de ser outsourcing de toda la vida, y el cloud público dependerá de la información que saques fuera. En función de qué activos o información estés tratando, pones un cloud público o privado. No obstante, el futuro del cloud siempre pasa por un entorno cifrado”,expresaba Santiago Minguito. Mientras, para RSI, era un tema de legalidad. “Yo veo dos riesgos. Si es un cloud público, puede no estar dentro de nuestro ámbito legal porque no en todos los países está la LOPD; y el segundo aspecto es el económico porque se están tomando decisiones más por tema de costes, y no por otros factores”,concretaba Pedro Pablo López. No obstante, “desde el punto de vista de la seguridad, no hay ningún problema. Nosotros damos servicios cloud a las Cajas y no se percibe minusvalía de seguridad alguna”,zanjaba José Luis Serna de la Ceca.
S
