Con motivo de la conmemoración del Día Internacional de la Seguridad de la Información, S2 Grupo ha subrayado la creciente vulnerabilidad del sector financiero como uno de los blancos preferidos por los ciberataques en 2023. La empresa especializada en ciberseguridad identifica a los grupos APT, a menudo vinculados a intereses estatales, a las organizaciones delictivas que persiguen beneficios financieros a través del fraude, y a los grupos de hacktivistas, comprometidos en la promoción de agendas políticas, religiosas o sociales, como las principales amenazas.
En un comunicado, S2 Grupo advierte que «el sector financiero se encuentra entre los objetivos más frecuentes en la actualidad, y el aumento del cibercrimen agudiza la preocupación en las empresas de todo el mundo, ya que las transformaciones digitales en el sector amplían las oportunidades de ataque». Esto resalta la importancia de comprender el comportamiento de los ciberdelincuentes para fortalecer adecuadamente la seguridad financiera digital.
El equipo de expertos de la compañía explica que los ciberdelincuentes emplean las denominadas ‘Técnicas, Tácticas y Procedimientos’ (TTPs), que son patrones de comportamiento de ataque utilizados contra las organizaciones víctimas, como parte de sus estrategias de ciberataque.
«Los profesionales de ciberseguridad del sector financiero deben tener correctamente identificadas las TTPs que usan con mayor frecuencia los principales grupos hostiles que actúan contra las organizaciones del sector financiero porque es el único camino para poder implementar herramientas específicas que detecten estas amenazas e iniciar la mitigación del intento de intrusión o de respuesta de incidente», ha enfatizado José Rosell, socio director de S2 Grupo.
¿Quién amenaza la seguridad digital del sector financiero y cómo actúan?
Desde S2 Grupo se ha señalado que los principales actores hostiles del sector financiero son:
1. Grupos APT (amenazas persistentes avanzadas).
Estos tienen altos conocimientos técnicos, experiencia y gran cantidad de recursos que emplean para infiltrarse en las redes y sistemas de sus víctimas con el objetivo de acceder a información confidencial, sabotear las operaciones de sus contrincantes o establecer una persistencia para llevar a cabo estas acciones en el futuro. Las APT se caracterizan por la tenacidad en la búsqueda de sus objetivos a lo largo del tiempo, la capacidad de adaptarse a los esfuerzos defensivos de sus adversarios y la determinación para mantener un nivel continuo de interacción necesario para alcanzar sus metas .
A menudo, son agencias de inteligencia internas o externas que trabajan en favor de los intereses de un Estado, proporcionando inteligencia que ayude a sus dirigentes en la toma de decisiones estratégicas.
Sus objetivos son: atender a los intereses militares, políticos, económicos y de seguridad interna, la recopilación de información sobre inteligencia y seguridad nacional, además de inteligencia exterior, de objetivos militares, estratégicos, económicos, científicos y tecnológicos, de recopilación de información y robo financiero para financiar regímenes.
Algunas TTPs de estos grupos de ciberdelinciencia son:
- Explotación de vulnerabilidades poco tiempo después de ser publicadas por los fabricantes o, incluso, desconocidas por los propios fabricantes de un dispositivo.
- Empleo de ingeniería social para el acceso inicial o para la descarga de artefactos maliciosos.
- Empleo de servicios cloud legítimos como Yandex, Dropbox y Google Drive para diseminar malware y exfiltrar datos de las máquinas de sus víctimas.
- Uso de archivos con doble extensión para confundir al usuario.
- Crea servicios, tareas programadas y modificar claves de registro para establecer persistencia.
2. Cibercrimen
La mayoría de los delitos cibernéticos son cometidos por ciberdelincuentes o piratas informáticos que quieren ganar dinero. Sin embargo, en ocasiones el ciberdelito tiene como objetivo dañar ordenadores o redes por motivos distintos al lucro que podrían ser políticos o personales.
En este caso pueden desarrollarse diferentes tipos de actividades delictivas como ataques de ransomware, fraude por correo electrónico e Internet y fraude de identidad, así como intentos de robar información de cuentas financieras, tarjetas de crédito u otra información de tarjetas de pago. De hecho, el ransomware como servicio se ha convertido en una de la principales ciberamenazas a nivel global.
Algunas TTPs que se pueden destacar en este grupo son:
- Uso de exploits y vulnerabilidades de software sin parches para obtener acceso no autorizado a los sistemas.
- Phishing con archivos adjuntos o enlaces maliciosos.
- Uso de credenciales válidas.
- Firmas digitales para eludir medidas de seguridad específicas EDR (Endpoint Detection and Response).
- Robo de datos y doble extorsión (amenaza con publicación).
- Desactivar soluciones antimalware y de monitorización.
- Uso de WinRAR para comprimir los archivos.
3. Grupos hacktivistas
El hacktivismo consiste en la realización de ciberataques para promover unas ideas políticas, religiosas o sociales. El sector financiero es uno de los sectores más atacados por los grupos hacktivistas debido a que una de sus principales motivaciones es crear disrupción en los sistemas de la víctima y tener impacto mediático. De este modo le generan un enorme desprestigio a la empresa u organización.
Algunas de las TTPs más utlizadas por grupos hacktivistas contra el sector financiero son:
- Escaneo de vulnerabilidades basado en botnets con dispositivos IoT días antes de los ataques de denegación de servicio.
- Uso del software DDoSIA para realizar ataques DDoS.
- Servidores de comando y control distribuidos, que tienen la tarea de enviar objetivos para que sean atacados por los usuarios de la plataforma DDoSIA.
- Uso de GodzillaBotnet para llevar a cabo sus ciberataques, botnet también asociada al grupo SkyNet.
- Lanzamiento de ataques HTTP. Han enviado inundaciones de tráfico HTTP específicamente diseñadas para abrumar la infraestructura específica.
- Especializados en DDoS, Hacking, Doxing y Defacement.
- Ataques de diccionario de fuerza bruta.
- Ataques DDoS en el modelo OSI.
Ante este contexto, el equipo de expertos de S2 Grupo ha resaltado que algunas recomendaciones básicas para la ciberprotección del sector financiero son llevar a cabo tareas de revisión proactiva como un servicio de threathunting, disponer de un proveedor de inteligencia que mantenga al cliente actualizado respecto a las nuevas TTPs usadas por los actores hostiles e integrar las reglas proporcionadas por el proveedor de inteligencia dentro del sistema perimetral de defensa de la entidad.