VÍCTOR CAMPOS. Ingeniero superior de telecomunicaciones, experto en estrategia y transformación digital y partner en Microsoft.
DAVID ALONSO. Ingeniero superior en informática y experto en ciberseguridad en Telefónica Tech, CSIM y CISSP.
El 3 de diciembre de 1992, el programador Neil Papworth envió el primer mensaje SMS desde su ordenador al móvil de un amigo para felicitarle la Navidad: Merry_Christmas (“Feliz Navidad”). Nacía un sistema útil y rápido para comunicarse. Diez años después el uso de los SMS se masificó y se convirtió en la principal vía de comunicación, especialmente entre gente joven. Más de treinta años después, aunque el uso principal del SMS ha sido sustituido por las aplicaciones de mensajería instantánea, sigue teniendo su nicho como vía de comunicación comercial, como vector de notificaciones de servicio y en el área de la ciberseguridad, tomando dos formas muy diferentes: el doble factor de autenticación, donde el SMS se ha convertido en el segundo factor más usado para el acceso controlado a aplicaciones y sistemas, y el temido smishing.
Llega un mensaje de texto a un cliente de banca, le indica que tiene un cargo sospechoso y le urge que por favor acceda a su cuenta para comprobarlo. Para “facilitarle” la vida, en el mismo mensaje aparece el enlace a la web de la banca online. El cliente –mitad asustado, mitad incrédulo– accede inmediatamente para evitar que se produzca el fraude, pero lo que no sabe es que el fraude se va a producir precisamente en ese momento… Esos 160 caracteres bastan para poner en jaque a un gran número de clientes de la banca. Es barato, efectivo, difícil de parar y tremendamente sencillo de ejecutar para los atacantes.
¿QUÉ PODEMOS HACER?
Las entidades financieras tienen principalmente dos vías de actuación al respecto:
• Concienciar a sus clientes mediante campañas informativas. Nuestro “amigo” el SMS vuelve a aparecer como vía de comunicación para campañas de concienciación.
• Utilizar servicios antifraude que persigan el cierre o takeover del contenido fraudulento con carácter inmediato.
Pero hay que tener muy presente que la primera vía requiere de años de trabajo y la segunda siempre llega tarde por definición.
Más de treinta años después, aunque el uso principal del SMS ha sido sustituido por las aplicaciones de mensajería instantánea, sigue teniendo su nicho como vía de comunicación comercial, como vector de notificaciones de servicio y en el área de la ciberseguridad
Una contramedida muy potente es la capacidad de las operadoras de telecomunicaciones para actuar bloqueando el acceso a los sitios fraudulentos mientras se efectúa el cierre del sitio. También los equipos de antifraude de ciberseguridad pueden notificar a los principales navegadores el hallazgo de un sitio fraudulento y estos pueden lanzar un anuncio o banner que avise al usuario que el sitio al que accede puede no ser seguro.
Los servicios de inteligencia de amenazas pueden adelantarse a la creación del sitio y detectar el registro de dominios sospechosos, buscar indicios de creación de contenido fraudulento en la web (tanto abierta como deep) e intentar ser los primeros en detectar alertas cuando se lanzan estos SMS con una monitorización activa.
No hay vías de protección total, pero con estas medidas funcionando el volumen de clientes con información comprometida bajará drásticamente. Las entidades que consigan que los clientes las perciban más seguras podrán utilizar esta capacidad como un valor diferencial respecto a la competencia.
Una contramedida muy potente es la capacidad de las operadoras de telecomunicaciones para actuar bloqueando el acceso a los sitios fraudulentos mientras se efectúa el cierre del sitio
EL REGLAMENTO DORA
Si damos un salto temporal del 1992 al 2025, llegaremos al punto de entrada en vigor del Reglamento DORA. Si estas siglas todavía no le suenan, es porque no trabaja en el sector financiero, y si lo hace, le aviso que le van a sonar muy pronto. El Reglamento de Resiliencia Operativa Digital (DORA por sus siglas en inglés, Digital Operational Resilience Act) ha introducido un marco normativo global a nivel de la UE que incluye normas sobre resiliencia operativa digital para todas las entidades financieras. Y aunque en este caso el nombre aporta bastantes pistas, conviene aclarar en qué consiste.
El pasado 16 de enero de 2023 se publicó el Reglamento DORA para regular la forma en que las entidades financieras gestionan el riesgo digital en las finanzas. Con este Reglamento, la UE persigue homogeneizar el ámbito normativo sobre resiliencia operativa digital en el sector financiero europeo y reforzar algunas medidas ya existentes. Supone además un empuje a todas las directivas que la UE está lanzando en materia de transformación digital y nuevas tecnologías.
¿EN QUÉ PRETENDE CAMBIAR DORA A LAS ENTIDADES FINANCIERAS?Principalmente quiere que tengan la resiliencia operativa interiorizada en el modus operandi habitual de sus sistemas TI. Esta resiliencia supone que las organizaciones tienen que seguir funcionando en la medida de lo posible ante cualquier ataque o evento que les afecte y además implica una gran capacidad de recuperación de aquellos sistemas que sí se hayan visto comprometidos y que estén parando alguna operativa de negocio. El principal cambio radica en que hasta ahora las entidades estaban acostumbradas a gestionar sus riesgos operativos mediante la asignación de un capital proporcional a la operativa correspondiente; a partir de ahora no bastará con eso.
Aunque la resiliencia operativa y el listado de pruebas a realizar para demostrarla son la principal razón de ser de la norma, también se incluye una propuesta de reglamento relativo a los mercados de criptoactivos, una propuesta de reglamento sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y una propuesta de directiva para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros.
A efectos prácticos, DORA va a obligar a las entidades financieras a una serie de tareas que en algunos casos ya se venían realizando, pero que en otros implicará cambios bastante radicales en la manera de trabajar. Estos son los principales puntos de trabajo que intuimos que habrá que abordar:
• Realización de un banco de pruebas muy exigente sobre los entornos TI y digitales.
• Gestión del riesgo TIC no solo propio, sino también de terceros.
• Compartición de información entre entidades, notificación de los incidentes e comunicación al respecto del mismo modo que ya hacen las empresas de la Administración Pública entre sí o algunos actores relevantes del mundo de la ciberseguridad que forman alianzas, como la Cyber Threat Alliance (CTA).
• Uso de herramientas y buenas prácticas en la operativa habitual y la monitorización continua del funcionamiento de los sistemas de negocio.
Con este Reglamento, la UE persigue homogeneizar el ámbito normativo sobre resiliencia operativa digital en el sector financiero europeo y reforzar algunas medidas ya existentes
Como consecuencia de todo lo anterior, los diferentes entornos que se presenten al usuario pueden sufrir ciertas modificaciones que impliquen una usabilidad algo más pesada. Ese equilibrio entre la aplicación estricta del reglamento y el disponer de aplicativos y operativas ágiles para los clientes supone uno de los grandes retos para las entidades. Una vez más, aquellas que encuentren el balance entre normativa y usabilidad generarán una ventaja competitiva muy a tener en cuenta.
Ya sea para proteger a sus clientes del smishing o para adaptarse al nuevo marco regulatorio impuesto por la UE, el desafío para la banca en materia de ciberseguridad continúa siendo enorme, viéndose obligada a mantenerse a la vanguardia del sector y a seguir teniendo un enfoque no solo totalmente digitalizado, sino también ciberseguro.
