¿Es el hackeo de Tesco Bank la llamada de atención necesaria para hacer de la seguridad móvil una prioridad?

El reciente hackeo del Tesco Bank ha dejado al mundo de la banca minorista tambaleándose, buscando respuestas y formas más eficaces de asegurar las redes contra futuros ataques. Se ha revelado que los puntos débiles de las aplicaciones móviles del banco han dejado la puerta abierta para que los ciberdelincuentes entren por la fuerza bruta y se lleven más de 2,5 millones de libras del dinero de los clientes. Peor aún, el banco había sido advertido por varios expertos en seguridad de esta debilidad antes del ataque.

Cómo se equivocó Tesco

Ha sido el mayor ciberataque que ha sufrido un banco británico. Una de las cosas más significativas del hackeo a Tesco fue que las cuentas de los clientes fueron penetradas a la fuerza sin ninguna credencial, algo que no había ocurrido antes. Los ciberdelincuentes entraron en el sistema informático de Tesco Bank y robaron 2,5 millones de libras de las cuentas corrientes de 9.000 clientes.
El resultado de este ataque fue el escenario que más teme mucha gente: despertarse una mañana y descubrir que su cuenta bancaria está completamente vacía. Tesco tenía la responsabilidad de proteger a sus clientes y, al no hacerlo, ha provocado una erosión de la confianza.
Lo que ha empañado la confianza de los consumidores es la revelación de las vulnerabilidades de las que los expertos en pruebas de penetración habían advertido a Tesco varias veces antes del hackeo. Aunque ahora sabemos que Tesco era consciente de las grietas en su perímetro de seguridad, está claro que, o bien no era consciente de la escala potencial del ataque, o simplemente no estaba equipada para hacer frente a un ciberataque de este nivel. En un momento de compromiso malicioso, Tesco debería haber contado con los protocolos de detección y remediación adecuados para detener a los hackers antes de que pudieran retirar dinero real de las cuentas de los clientes.

Seguir el ritmo de los múltiples vectores de amenaza

Con el creciente número de dispositivos conectados que los ciberdelincuentes pueden explotar, hay más vectores de amenaza que nunca que las empresas deben proteger. Nunca ha sido tan fácil para los ciberdelincuentes obtener información confidencial. Con la proliferación de los dispositivos móviles, las redes sociales y la ingeniería social, ahora hay un millón de maneras de llegar a un individuo y obtener las llaves del reino.
Los cortafuegos de las plataformas pueden ser fácilmente mal configurados, creando puertas traseras para que los hackers encuentren vulnerabilidades y las exploten. Cuanto más compleja sea la red, mayor será la probabilidad de que logren entrar sin ser detectados.

El perímetro sin bordes

Los riesgos se extienden cada vez más más allá del perímetro hasta el usuario individual a través de la ingeniería social. Ya hemos visto conjuntos de chips comprometidos, puertas traseras en los sistemas operativos y aplicaciones falsas que colocan malware en el dispositivo. El mayor elemento de preocupación en 2017 es la expansión de los vectores de ataque que permiten el movimiento lateral, con los malos buscando utilizar las plataformas móviles como medio para obtener acceso al núcleo de la red.
Mientras que la brecha del Banco Tesco hará que la seguridad se considere aún más como un elemento de alto valor, muchos se preguntan cómo actuará la industria en conjunto para resolver el problema. Al igual que en el caso de la brecha de Heartland en Estados Unidos en 2015, la empresa pensó que cumplía con todos los requisitos y aun así se vio comprometida, lo que dio lugar a una campaña de rehabilitación de un año de duración. En cambio, deberíamos preguntarnos qué está haciendo mal el sector. El sector en general no ha adoptado la noción de hiperconectividad, lo que significa que tanto los usuarios como los clientes son vectores individuales de amenaza.
Las plataformas móviles deben tratarse como una extensión de la red.
La seguridad de los dispositivos y del tráfico que generan debe tratarse de la misma manera que se trataría a los dispositivos dentro del perímetro de la red tradicional. Al igual que se cierran las puertas cada vez que se sale de casa, nunca se instalaría una red sin un cortafuegos, pero los cortafuegos ya no son suficientes para proteger el «perímetro sin bordes».
Lo que le ocurrió a Tesco podría pasarle a cualquier empresa, de cualquier tamaño, en cualquier sector.
Los servicios financieros están acostumbrados a estar en su propia burbuja aparentemente segura. Ahora, sin embargo, esa burbuja ha estallado de verdad. Los dispositivos conectados entre sí, no sólo a través de las redes móviles, sino también de la Internet de las cosas, han ampliado el riesgo de que todos los dispositivos de los clientes se vean comprometidos o atacados. El sector de los servicios financieros tiene la gran responsabilidad de salvaguardar el dinero de los ciudadanos y está fuertemente regulado por ello. Por lo tanto, es imperativo ir más allá del bloqueo y la lucha básica contra las amenazas dentro del cortafuegos para abarcar los nuevos vectores de ataque asociados a la miríada de dispositivos conectados.

Por Kirsten Bay, Presidenta y Directora General, Cyber adAPT