Asistencia Técnica 3. Ciberseguridad en el Sistema de Pagos

Día 1

La primera sesión se centró en el panorama general sobre ciberseguridad en América Latina y el Caribe, donde se comentaron algunos de los ataques cibernéticos más notorios en el mundo, especialmente en América Latina. Entre dichos ataques cibernéticos se mencionó el virus Melissa que fue desatado en 1999 por el programador David Lee Smith, enviando a los usuarios un archivo para ser abierto por Microsoft Word. Otro ataque cibernético se dio en 1999 por James Jonathan, de 15 años, quien pudo hackear y apagar las computadoras de la NASA durante 21 días. También se comentó el ciberataque que se suscitó en 2007 en Estonia, y se cree que es el primer ataque cibernético contra todo un país, durante el cual unos 58 sitios web estonios se desconectaron, incluidos sitios de gobierno, bancos y medios de comunicación.  Otro ataque cibernético ocurrió en PlayStation Network de Sony en abril de 2011, y extrajo la información personal de 77 millones de usuarios. Así mismo, se mencionó el ataque cibernético a Adobe, donde la empresa afirma que las contraseñas y la información de la tarjeta de crédito de los primeros 2.9 millones de usuarios afectados se vieron comprometidas, mientras que los 35.1 millones restantes solo sufrieron la pérdida de sus contraseñas e identificaciones. También se habló del ciberataque a Yahoo en 2014, donde millones de cuentas se vieron comprometidas. Del mismo, modo se mencionó el primer ciberataque a una red eléctrica reconocido públicamente, en el que alrededor de la mitad de los hogares de la región de Ivano-Frankivsk Oblast, en Ucrania, se quedaran sin electricidad durante unas horas en 2015.

Finalmente, se discutió brevemente el ataque cibernético WannaCry ransomware de 2017. Dicho ataque es uno de los mayores ciberataques de ransomware de todos los tiempos, ya que alrededor de 230,000 computadoras se vieron afectadas en más de 150 países. Este brote tuvo un impacto masivo en varias industrias y se cree tuvo un costo global de aproximadamente 4 mil millones de dólares.

En el caso de América Latina se han realizado varios ataques cibernéticos, como el presunto “hackeo” al sistema de pagos de Banxico. De acuerdo con versiones extraoficiales, pudo ser un ataque conocido como denegación de servicio, lo que implica que se tenga “lentitud” en el procesamiento de pagos. Este sistema, que procesa más de 30 millones de operaciones al mes, no sufrió ningún daño permanente. En el caso de Brasil, el sitio web del Ministerio de salud fue atacado por piratas informáticos derribando varios sistemas y comprometiendo temporalmente otros. América Latina tiene un perfil regional único de amenaza de cibercrimen, dados los desafíos socioeconómicos que afectan a la región. Al describir el panorama latinoamericano de amenazas de cibercrimen, un factor especialmente importante es el nexo entre el desarrollo económico, la digitalización, la gobernanza y el crimen organizado.

La segunda sesión revisó el fortalecimiento y la certificación de la ciberseguridad en el Banco Central de Costa Rica. Se puntualizó que es un proceso de fortalecimiento de la institución y se mencionó cómo la certificación de seguridad se considera una herramienta de gran potencial y aporte en el sentido de que un tercero sea quien valore el avance que se tiene en el tema. El apoyo de la alta gerencia también es un tema relevante en el desarrollo y fortalecimiento de la ciberseguridad de la institución, y se encuentra delineado y propuesto como control obligatorio en normas como ISO27000 y el Marco de Ciberseguridad publicado por el Banco Central Europeo.

Contar con una política de alto nivel y con una de declaración expresa de la relevancia de la seguridad de la información y de la ciberseguridad en una institución, es uno de los pilares sobre los que descansa el fortalecimiento de dicha institución. En el Banco Central de Costa Rica se ha autorizado la política de seguridad de la información, que indica que se debe “garantizar la protección de los activos de información del Banco Central de Costa Rica, de uso no autorizado, modificación, daños o destrucción accidental o intencional”.

Se cree que el fortalecimiento de un sector, y en general de los vínculos que tiene el banco central con otras instituciones, es posible si la institución tiene primero resuelto el tema de ciberseguridad interna. Así mismo, se mencionó que es de gran importancia mantener los vínculos externos, y apuntar como meta el dar ejemplo en el tema del fortalecimiento de la tecnología para mitigar la ocurrencia de incidencias.  Así, la Función de Aseguramiento es un agrupamiento de temas asociados a ciberseguridad, que deben administrarse de forma focal, pues dicha función construye estándares o políticas de ciberseguridad que atienden los procesos de evaluación o certificación. También atienden el programa de concientización en ciberseguridad y los vínculos que tiene con otros procesos institucionales. Entre ellos están la continuidad, gestión de riesgo y seguridad de la información. En el tema de aseguramiento, el banco central decidió formalizar un esfuerzo para la certificación de seguridad con dos tipos de controles, los de infraestructura común, que usualmente tienen que ver más con TI, y los controles sobre procesos o servicios específicos.

En 2007, el banco central decidió realizar un proceso inicial de certificación de seguridad utilizando el programa Verizon, que tiene una propuesta importante de controles técnicos de la infraestructura. Lo anterior permitió fortalecer la infraestructura tecnológica sobre la que se soportan los servicios y luego ir incorporando a los negocios a este esfuerzo. Entonces, cuando un tercero realiza una revisión a fin de que se cumplan con buenas prácticas, se empieza a generar un nivel de cumplimiento, lo que propicia un desarrollo más acelerado. Así también, partir de 2007 arrancó el Sistema Nacional de Pagos, que es el motor de compensación para el sector de transferencia de alto y bajo valor.

Entre la cobertura de las labores que se realizan, se encuentran el internet, la red interna, las aplicaciones web, la valoración de la reputación, el tráfico institucional en internet, la red de salida, el correo electrónico, las computadores y servidores, el riesgo de phishing y de acceso físico, las redes inalámbricas y la valoración de políticas, procesos y procedimientos.

En la sesión tres se habló de la experiencia sobre ciberseguridad en Guatemala, donde el Sistema de Pagos empezó sus funciones en 2006 siendo el responsable el banco central. La ciberseguridad se encuentra ubicada dentro del Departamento de Tecnologías de Información, y esta a su vez dentro de la Gerencia Administrativa. La seguridad informática implica múltiples vectores de ataque y requiere múltiples capas de protección, por lo que la metodología se asienta en los principales aspectos de la seguridad, que son confidencialidad, integridad, disponibilidad y autenticación. En el caso de la autenticación, el emisor de certificados es el banco central, la autenticación de usuarios se lleva a cabo por medio de certificados digitales manejados en USB HSM. Las transacciones se firman digitalmente y los sistemas también cuentan con certificados propios. En el país hay cuatro emisores comerciales, y ya se han hecho pruebas para incluirlos como emisores de certificados del sistema.

La evaluación del aseguramiento se ha contratado como un servicio de certificación de seguridad, utilizando el formato y canal público del sistema de contrataciones del estado. En su historia, se han obtenido certificaciones como el Verizon Business Perimeter y Enterprise (TruSecure, Cybertrust). El proceso de aseguramiento es dinámico, y debe mejorarse continuamente ante un entorno tecnológico y cibercriminal en continua evolución. Entre los agentes de cambio se encuentran las criptomonedas, la guerra cibernética, el robo electrónico del Banco Central de Bangladesh y los smartphones. Para tratar con los nuevos cambios, se tuvo que tratar con los vectores de cambio, la navegación en internet, el correo electrónico y mantener al día la recuperación, como es el respaldo de archivos críticos de estaciones de trabajo, y se establecieron diversos mecanismos de protección.

Respecto al monitoreo, se han tratado de realizar contrataciones para la verificación de cuentas sin uso en red. También se ha realizado una depuración de cuentas, y se realiza la verificación de equipos y la verificación de archivos de carpetas compartidas en la red. Del mismo modo, se realiza verificación de escritorio remoto, control de clientes, control de software abierto, y control de bloqueo de cuentas, entre otros. Asimismo, se realizan otras prácticas como la destrucción de medios, segmentación de red, cifrado de equipo móvil, respaldo centralizado de contraseñas, monitoreo de cuentas privilegiadas y respaldo de contraseñas administrativas.

 

Día 2

 

La sesión cuatro estudió el caso del sistema financiero en República Dominicana, donde se compartieron las causas de la necesidad de Ciberseguridad en el Banco Central de la República Dominicana (BCRD). La realidad es que hay nuevos proveedores no bancarios de servicios de pagos, mayor competencia, tecnología más accesible y productos muy innovadores. Además, se está en un proceso de transformación hacia la banca digital, y a consecuencia de todo esto hay instrumentos de pagos mucho más simples, nuevos canales, menor uso del efectivo, mayor inclusión financiera y un aumento en el uso de productos y servicios financieros por parte de la población; los sistemas son muy interoperables y hay muchas opciones.

Todo inicia por el sistema de pagos, porque en el BCRD se tiene un sistema de liquidación bruta en tiempo real. A dicho sistema están conectadas todas las entidades financieras y todos los proveedores de servicios de pagos, los administradores de servicios de pagos, las marcas internacionales de tarjetas, etc. Se tienen dos formas de conexión, a través de una VPN privada y a través de Swift, para lo cual se creó en su momento un grupo cerrado de usuarios.  Por otra parte, el riesgo cibernético siempre está latente ya que hay una debilidad dentro de los procesos operativos de las instituciones, y puede provocar pérdidas financieras, afectación de los servicios y daños a la reputación. Esto puede deberse a fallas en los sistemas de información, errores humanos y por influencias externas.

Los ataques ocurren por brechas de seguridad causadas por intrusos, brechas de seguridad involuntarias o accidentales y riesgos operativos de TI mal gestionados. Las medidas para enfrentar el riesgo tienen que ver con el robustecimiento del marco regulatorio, fortalecer los controles administrativos y tecnológicos, capacitación constante del personal técnico, intercambio continuo de información y experiencia y el establecimiento de mecanismos internos y sectoriales de respuesta a incidentes de ciberseguridad.

Desde el 2017, se inició el trabajo sobre el reglamento de ciberseguridad basado en las Normas Internacionales de Información Financiera (NIIF), con reglas que pudieran ser evaluadas. Ese reglamento es el principal instrumento para el desarrollo de capacidades sectoriales para la mitigación del riesgo cibernético y su impacto en las infraestructuras tecnológicas del sistema financiero. Su primera fase de cumplimiento arranca a finales de noviembre de 2019. El reglamento tiene por objeto establecer los principios y lineamientos generales para que los regulados procuren la integridad, disponibilidad y confidencialidad de la información y el funcionamiento óptimo de sus sistemas de información y de la infraestructura tecnológica.

Todos los procesos tienen su origen en una evaluación de riesgos, que viene de un diagnóstico externo donde se determinan todas las vulnerabilidades, haciendo más importante y especializado el trabajo de gestión de riesgos. Existe una multiplicidad de vectores dentro de la superficie de ataque. Por ejemplo, desde el correo electrónico se tienen varias capas de filtrado, por lo que el proceso de infecciones que tiene que ser validado para determinar qué controles deben ser ajustados para evitar los falsos positivos; de esta forma los controles van pasando por un proceso de madurez. En el caso de los controles para el teletrabajo, el equipo lleva un riguroso proceso de enrolamiento, con un instructivo de trabajo donde el empleado debe garantizar la confidencialidad de las actividades para la realización del trabajo con seguridad. Actualmente, se cuenta con un equipo de gestión de incidentes con reglas de correlación y cada vez que se dispara alguna alerta se crean tickets, que son investigados por el equipo en donde se contacta a la identidad y se les indica el tipo de vulnerabilidad, a fin de prevenir una infección mayor. Así mismo, se busca tener una superficie de ataque muy baja, cumpliendo con el reglamento. Además, existe un proceso de comunicación con cada una de las 80 entidades donde existe un firewall en conexión con el banco central.

En la Sesión 5 se analizaron los lineamientos de respuesta y recuperación ante ciberincidentes del Banco Central de la República Argentina. El banco central tenía una primera regulación en 2006, que en esa época era bastante disruptiva en temas y requisitos de tecnología. En particular, se emitió un comunicado con los requisitos mínimos a tenerse en cuenta a la hora de que las instituciones implementaran su área y sus servicios de tecnología. Para 2012, se realizó una actualización de los canales electrónicos que empezaban a crecer y que ya se usan con mucha fuerza.

Debido al incremento exponencial de los servicios digitales previo y durante la pandemia de COVID-19, se hizo necesario realizar un abordaje mucho más pensando en la ciberseguridad y en el impacto que esos incidentes y servicios iban a tener en el sistema financiero nacional. Por lo tanto, la normativa original cambió y en 2019 se publicó un comunicado para que los bancos informaran al banco central de los incidentes que tuvieran y que pudieran afectar a los servicios de sus clientes. Por ejemplo, la imposibilidad de brindar servicios a clientes, o la interrupción significativa de los mismos, la incapacidad de cumplir con las obligaciones de la entidad en relación con el funcionamiento de los mercados en los que opera, o el compromiso de datos de información financiera o de los clientes.

Posteriormente, se emitieron una serie de lineamientos de ciberseguridad para dar oportunidad a las entidades financieras a irse preparando para lo que luego sí fuera una regulación efectiva. Dichos lineamientos mostraban a los regulados el camino que iban a seguir las futuras regulaciones. Los siguientes puntos a seguir fueron un marco de referencia de ciberseguridad y estrategia, gobierno, evaluación de los controles y el riesgo, monitoreo, respuesta, recuperación, compartir información y aprendizaje continuo. También se publicó un Glosario de Ciberseguridad con la finalidad de mantener un mismo lenguaje en los términos.

En 2021, se publicaron los lineamientos de respuesta y recuperación ante ciberincidentes, con el objetivo de limitar los riesgos en la estabilidad financiera e impulsar la ciberresiliencia del ecosistema. Dichos lineamientos tienen un alcance a entidades financieras, infraestructuras de mercado financiero y proveedores de servicios de pago. Así mismo, contiene componentes de gobierno, planificación y preparación, análisis, mitigación, restablecimiento y recuperación, coordinación y comunicación y mejora continua.

 

Día 3

 

La sesión seis explicó el tema de atención de incidentes en el sistema financiero, en la cual se compartió la experiencia de cómo se atiende este tema en México. Se analizaron temas como el panorama general, incidentes, las acciones que se llevan a cabo para incrementar las capacidades de ciberresiliencia y, en particular, cómo se ejercita este tema para estar preparados y algunos de los retos a los que se han enfrentado. Con el fin de atender el incremento y complejidad de incidentes en el sistema financiero en México, se ha establecido una Base de Coordinación en Materia de Seguridad de la Información, para coordinar entre autoridades e instituciones, acciones de respuesta a los incidentes de ciberseguridad que se presenten en el sistema. Para ello, las autoridades y entidades financieras deberán mejorar la coordinación en el sector, compartir alertas, dar respuesta a incidentes, determinar qué principios de seguridad de la información deben incluir en sus respectivas regulaciones y dar un tratamiento homogéneo a los requisitos y prácticas que las entidades financieras tendrán que observar. También deberán definir protocolos y responsables para atender incidentes de seguridad, y establecerán acuerdos de confidencialidad para el intercambio de información de seguridad de la información.

Asimismo, las autoridades financieras crearon el Grupo de Respuesta a Incidentes (GRI) en 2018 con dos objetivos principales, coordinar la respuesta a los incidentes de ciberseguridad que reporten las entidades financieras, y fomentar e impulsar el intercambio de información de ciberinteligencia de amenazas entre autoridades y entidades financieras. Para ello, el GRI opera bajo un modelo de gestión de incidentes, alineado a prácticas internacionales, que describe la interacción entre las entidades financieras afectadas por un evento. Este modelo se compone de cinco fases, que son preparación, detección, análisis, contención, erradicación y recuperación y actividades post-incidente. El modelo también contempla actividades previas y durante un incidente, como fomentar el intercambio de información de inteligencia de amenazas. Para ello, se requiere de un directorio actualizado y al mismo tiempo mantener actualizados los protocolos de actuación antes de un incidente, tratando de identificar las acciones claves de qué hacer y quiénes serían los participantes ante este. Asimismo, se fomentan las mejores prácticas en cuanto a la protección y a la respuesta ante incidentes. También se hacen reuniones o sesiones virtuales con la entidad participante afectada, y el equipo de seguridad del banco mantiene una comunicación directa con el CISO para tener un total detalle del evento, para medir con cierta exactitud el alcance del incidente y la posible afectación al sistema financiero.

Entre las lecciones aprendidas se encuentran establecer bases de colaboración entre autoridades financieras que persistan aun cuando haya cambios en las organizaciones, mejorar la coordinación entre autoridades para no duplicar esfuerzos ni solicitudes de información a las instituciones financieras afectadas por un incidente, instrumentar mecanismos de alerta e intercambio de información, y desarrollar la confianza entre autoridades y regulados para compartir información en otro canal diferente al de supervisión; finalmente, reforzar la colaboración entre autoridades financieras, instituciones y la Fiscalía para impulsar la persecución de delitos cibernéticos y ejercitar de una manera sistemática las capacidades de respuesta de todo el sistema financiero ante ciberataques.

En la sesión siete se compartió la estrategia de ciberseguridad hacia el sistema financiero mexicano. La Dirección de Ciberseguridad (DCiber) del Banco de México tiene como uno de sus propósitos reforzar la ciberseguridad y la ciberresiliencia del sistema financiero con un enfoque transversal y holístico. Lo anterior con el fin de coadyuvar a proveer a la economía del país de billete y moneda nacional, procurar la estabilidad del poder adquisitivo de dicho billete y moneda, propiciar el buen funcionamiento de los sistemas de pagos y promover el sano desarrollo del sistema financiero mediante la ayuda de tres gerencias principales, que se ocupan de la generación de políticas, lineamientos y guías, realizar la gestión de incidentes de ciberseguridad y la supervisión de intermediarios financieros.

La Estrategia de Ciberseguridad del Banco de México consiste en crear un círculo virtuoso de mejora continua a los niveles de madurez de ciberseguridad de las instituciones financieras, a partir de la emisión de regulaciones, supervisión de su cumplimiento, verificación de su efectividad y creación de propuestas de mejora. Esto se realiza a partir de identificar necesidades que tienen las infraestructuras y el mercado en temas de ciberseguridad. También se analiza la forma de atender las necesidades y se propone un proyecto regulatorio apegado a las mejores prácticas y estándares en temas de ciberseguridad. Todo lo anterior protegiendo al ecosistema sin generar un impacto negativo en su funcionamiento. Otro rol importante es la supervisión a las instituciones financieras, para verificar que cumplen adecuadamente la regulación. Así mismo, se observan las áreas de oportunidad que podrían tomarse en cuenta para lograr el círculo virtuoso y así mejorar la regulación.

Todas las pruebas se realizan utilizando ejercicios de simulación y de ciberresiliencia. El intercambio de información se realiza con colaboración de las entidades financieras y se ha obtenido una respuesta muy positiva en la participación. Del mismo modo se ha logrado un balance perfecto entre los distintos roles, mejorando la coordinación.

La Sesión ocho estudió el diseño y gestión de programas de ciberseguridad. Allí se comentó que la primera motivación para tener un programa de ciberseguridad es entender tanto la complejidad como la sofisticación de los ciberataques. Cabe señalar que dichos ataques han aumentado significativamente, no solo por la pandemia y por el trabajo remoto, sino también por la industrialización de las ciberarmas que usan los delincuentes. Dado que estos ataques son continuos se hace necesario mantener un programa de ciberseguridad aunado al tema de transformación digital y, al mismo tiempo, proporcionar nuevos servicios como entidad reguladora. Por otro lado, se hace necesario un programa dado que las herramientas, los procedimientos y las plataformas de ciberseguridad están añadiendo complejidad al tema.

En esencia, un problema de ciberseguridad es complejo por el entorno de ataques más sofisticados, así como por tener una superficie mucho más amplia, además de la complejidad de enlaces entre procesos de conectividad entre diferentes instituciones y diferentes sistemas. Lo anterior también implica tener un plan de trabajo con cronograma para tratar el tema de ciberseguridad con una postura de riesgo apropiada y acorde con las necesidades de la misión y la visión de la entidad financiera. Esto es, se debe tener un plan escrito con un pre plan y un cronograma para saber lo que se debe realizar en cada uno de los tiempos establecidos, y qué recursos se deben utilizar para ir de un perfil de riesgo dado o actual a un perfil de riesgo estimado e ideal. Por supuesto, debe existir un plan de trabajo acordado con la alta gerencia y el comité de ciberseguridad, de riesgo y todos los que apliquen. Este programa es la carta de ruta que se debe seguir.

Dentro del programa de seguridad se plasma un tipo de “filosofía” especifica o estilo de trabajo dependiente de cada líder de ciberseguridad. Lo anterior implica que en muchos casos se da prioridad al tema de cumplir una infraestructura, unos procesos, unas tecnologías orientadas a defender la institución y a tener las herramientas, datos o analíticas necesarias para defender la ciberseguridad de la institución. Por lo tanto, el programa conlleva a la certificación mediante un proceso estructurado que involucra la gestión de riesgos. Así mismo, dicho programa debe alinearse con los estándares y regulaciones y debe lograr las expectativas de los clientes y el negocio, así como proteger a las personas y activos de información.