F5 SIRT: Análisis de Ciberataques a bancos y organizaciones de servicios financieros 

Agosto de 2021 – El equipo de Respuesta a Incidentes de Seguridad SIRT de F5 (F5 Security Incident Response Team – SIRT) ayuda a los clientes a abordar los incidentes de seguridad en tiempo real.  

Como parte del Informe de Protección de Aplicaciones de 2021 de la compañía, a principios de este año, analizó los principales incidentes de seguridad reportados al F5 SIRT para los años 2018 a 2020.  

Las organizaciones de servicios financieros incluidos bancos de diferentes tamaños, uniones de crédito, compañías de seguros, bolsa de valores, fondos de inversión, procesadores de pagos, prestamistas de financiamiento al consumo, corredoras y empresas que prestan servicios al sector financiero, experimentaron la proporción más alta de incidentes atribuidos a ataques de inicio de sesión de contraseña (46,2%) en comparación con todos los demás sectores. Fueron terceros en el porcentaje de incidentes de denegación de servicio (DoS) (36,1%). La última categoría más grande fue la de los ataques relacionados con la web, con un 6,3%.  

Incidentes de ciberataques en bancos 

Los bancos son el segmento más grande en los datos de incidentes de servicios financieros 2018-2020, representando el 40% de los registros. Fuera de las organizaciones de servicios financieros, los bancos vieron más ataques DoS (41%), muy arriba del promedio del 36%. Sin embargo, disminuyeron los ataques de inicio de sesión de contraseña (41%), cinco puntos por debajo del promedio del 46%. Una posible razón de esto es que los bancos tienen mejores controles antibot que mitigan los ataques de inicio de sesión con contraseña y, por lo tanto, ven menos ataques que la organización financiera promedio. Los ataques web representan el 6% de los incidentes de seguridad bancarios reportados. 

De los ataques de inicio de sesión con contraseña, la mayoría de los incidentes se informaron como fuerza bruta (77%), y el resto (23%) se informó como ataques de botnet de relleno de credenciales. Los ataques DoS fueron principalmente ataques de aplicaciones web (36%), seguidos de ataques volumétricos de red (24%) y ataques DoS de DNS (14%), y el resto sin categorizar. 

Incidentes de ciberataques en bancos grandes y pequeños 

Usando un tamaño de activo bancario de USD $ 100 mil millones para diferenciar entre bancos grandes y pequeños, encontramos que los grandes reportaron más ataques DoS. De todos los incidentes informados por los bancos más grandes, el 44% fueron DoS, mientras que solo el 37% de los incidentes en los bancos más pequeños se señalaron como DoS. Esto se invierte para los ataques de inicio de sesión con contraseña, con los bancos más pequeños encontramos una proporción más alta (48%), mientras que los bancos más grandes vieron solo el 36%. Los incidentes de ataques web informados fueron casi los mismos: grandes bancos 6% y pequeños bancos 7%. 

Incidentes de ciberataques en uniones de crédito 

Las uniones de crédito son propiedad de sus clientes, por lo que están mucho más enfocadas en los consumidores individuales que el banco promedio. El 88% de los incidentes informados fueron ataques de inicio de sesión por contraseña. Esto es casi el doble del promedio y mucho más alto de lo que ven los bancos. En estas instituciones, los ataques DoS están muy por debajo del promedio y representan solo el 8% de los incidentes reportados. Podría ser porque se percibe que tienen menos dinero para pagar el rescate. Las cooperativas de ahorro y crédito también vieron aproximadamente la mitad del promedio de ataques web, con un 3%. 

Incidentes de ciberataques en compañías de seguros 

Las compañías de seguros manejan grandes cantidades de dinero y datos financieros confidenciales, por lo que han experimentado grandes ataques cibernéticos. Las compañías de seguros informaron ataques DoS superiores al promedio (60%), pero sus ataques de inicio de sesión de contraseña estaban por debajo del promedio, en un 27%, y un poco más que el promedio de ataques web, con un 7%. 

Incidentes de ciberataques para bolsas de valores 

Los incidentes de ataques DoS reportados en la bolsa de valores registraron un 80%, muy por encima del promedio y ataques web en un 20%. 

De acuerdo a Banxico, en México, durante 2019 se intensificó la cantidad de   incidentes de seguridad reportados por las instituciones financieras. De un promedio de 1 reporte por trimestre en 2018, la estadística aumentó a un promedio de 4 reportes por trimestre en 2019. Asimismo, además de registrarse un mayor número de ataques, se observó que los servicios afectados fueron más diversos, desde transferencias electrónicas hasta cajeros automáticos y, de igual forma, los medios de ataque informáticos fueron también variados, desde vulneración de software, operaciones fraudulentas ejecutadas por terceros laborando al interior de la institución, robo de contraseñas, abuso de deficiencias en la validación de saldos, vulneración de equipos de telecomunicaciones, entre otros. 

En el primer semestre de 2021, se ha observado un cambio en el objetivo de los ataques, dirigiéndose ahora hacia los cajeros automáticos de las instituciones, aprovechando vulnerabilidades de los programas que controlan la entrega de billetes. De los diez incidentes reportados por las instituciones financieras durante 2021, ocho corresponden a este tipo de ataques. Los ataques de ransomware continúan siendo un elemento de preocupación para las instituciones financieras de México ya que su impacto puede detener durante días la operación de las organizaciones representando un creciente riesgo para la estabilidad financiera. 

Podemos advertir a partir de estos datos, que los atacantes continúan alejándose de las vulnerabilidades de software tradicionales hacia objetivos más suaves como inicios de sesión con contraseña y API. Con la ayuda de nuestros colegas en F5 SIRT, F5 Labs continuará monitoreando estos eventos, buscando patrones que sugieran cambios y cambios en las tácticas de los atacantes cibernéticos”, señaló Carlos Ortiz Bortoni Country Manager de F5 México. 

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s