El rol de ethical hacker en la banca

Artículo | Abril 2017

En el 2016 los cajeros automáticos de numerosos bancos europeos empezaron a arrojar efectivo de forma aleatoria, sin que ningún usuario los manipule físicamente. Tras los incidentes, la firma rusa de seguridad cibernética Grupo IB llevó a cabo una investigación, tras la cual concluyó que los cajeros automáticos habían sido objetivo de un malware, que tan solo en 10 minutos tomaba el control de la red bancaria.

El cibercrimen es una de las industrias criminales con más ingresos, aún por encima del narcotráfico.

Este caso llamó la atención porque en el pasado, para tomar el control de un cajero automático, los cibercriminales tenían que manipularlo físicamente, pero en esta ocasión lo hicieron remotamente, lo que puso en alerta a la industria en general.

Como este, existen decenas de casos en los cuales cibercriminales han aprovechado las vulnerabilidades de los sistemas bancarios para corromper su software y robar miles de millones de dólares. Muy conocido es también el caso del Banco Central Bangladesh, del cual un grupo de cibercriminales lograron transferir USD. 100 millones a diferentes cuentas bancarias alrededor del mundo.

En 2004 el mercado de la ciberseguridad era de USD. 3.5 mil millones, actualmente es de USD. 135.43 mil millones y se pronostica que para 2021 sea de USD. 202.36.

La pregunta inminente que se hace la industria financiera es ¿cómo construir sistemas más seguros? Tim Grieveson, chief cyber security strategist en Hewlett Packard Enterpise plantea que las organizaciones deben pensar más como los ciberatacantes, deben ponerse en sus pies y pensar en sus fortalezas y debilidades; aún más ahora que el cibercrimen se está profesionalizando y organizando en grupos criminales, atraídos por la rentabilidad del mercado.

Jay Bavisi es el cofundador y presidente de E-Commerce Consultants y creó un estándar de hacking ético utilizado actualmente por el Pentágono de Estados Unidos. Desde su visión, el rol del hacker ético es el de guardaespaldas de la computadora, determina las posibilidades de que la red sea atacada por cibercriminales y de qué forma lo harían. Trata de averiguar si es posible proteger el sistema y si está lo suficientemente protegido.

La industria financiera vive de su reputación y credibilidad, a ningún banco le gustaría salir en los periódicos relacionado a un tema de seguridad.

Comprendido este punto de vista, la figura del “Ethical Hacker” se vuelve esencial para proteger la industria financiera, una persona que se vale de su conocimiento informático para tratar de romper la seguridad de los sistemas de software, encontrando debilidades y vulnerabilidades antes de que lo haga un cibercriminal; para después aconsejar al área informática sobre cómo reforzar y eliminar esas áreas sensibles.

Esta práctica no es novedosa, por si la palabra hacker se ha desvirtuado hacia una connotación negativa, en su sentido práctico es una persona altamente calificada en computación la cual utiliza su conocimiento para resolver problemas relacionados a su experticia. El oficio de descubrir vulnerabilidades dentro de los sistemas informáticos tiene tanto tiempo como los mismos sistemas, pero por un lado están quienes buscan lucrar violando las leyes y quienes buscan construir sistemas más seguros y sólidos.

El rol del hacker ético se vuelve cada vez más importante y necesario para proteger los sistemas informáticos de la industria financiera.

El ethical hacking (hacking ético en español) se ha convertido en un medio para blindar los sistemas informáticos de la industria financiera. El Bank of England se encuentra supervisando un programa sin precedentes de hacking ético, como parte de una amplia evaluación sobre la resistencia de estos sistemas en 20 de los bancos más importantes y otros actores financieros.

En la India, tres bancos, uno privado y dos públicos contrataron los servicios de Cyberdome, una empresa de hacking ético para analizar sus sistemas y protegerlos, después de que la compañía Apache advierta sobre ciertas brechas de seguridad dentro de sus servidores, los cuales eran utilizados por estos bancos.

En promedio, a las instalaciones de un banco le toman 10 días recuperarse por completo de un ciberataque, añadiendo a esto el costo de las operaciones, de acuerdo a la publicación The effect of cybercrime on a Bank's finances.

Cada día más bancos alrededor del mundo ven en el hacking ético una forma de conocer a profundidad la fortaleza y debilidades de sus sistemas informáticos, mientras la industria de la seguridad informática sigue creciendo para resguardar y proteger los datos bancarios. Mientras este sea un mercado de interés para los cibercriminales, será una lucha estratégica la cual ningún banco querrá dar por perdida.