Cambios regulatorios en la ciberseguridad de la banca: las entidades se preparan para el fin de los 'ataques a la carta' para probar sus defensas

La guerra en Ucrania ha hecho que las infraestructuras críticas sean más conscientes que nunca del papel que juegan en las sociedades, así como de las graves amenazas a las que se enfrentan. La Unión Europea viene trabajando desde hace años en el desarrollo del Reglamento de Resiliencia Operativa Digital, o DORA, especialmente pensado para las entidades financieras.

Precisamente se alcanzó un acuerdo político por parte de los colegisladores (Parlamento Europeo y Consejo de la Unión Europea) sobre esta nueva norma, DORA, hace apenas unos días. De la misma manera, el Banco Central Europeo y el Banco de España han presentado nuevos marcos de trabajo, TIBER-EU o TIBER-ES, que harán que estas entidades mejoren su capacidad de defensa y respuesta.

El nuevo entorno regulatorio, además de responder a esos crecientes desafíos, resulta muy complejo. De ahí que proveedores de ciberseguridad como Tarlogic hayan organizado ya encuentros con los principales actores del mercado, obteniendo una gran respuesta. La semana pasada decenas de responsables de entidades financieras se reunieron en Madrid para discutir esos desafíos.

Algunos de esos desafíos suponen la preparación de las entidades a la futura DORA (tras el acuerdo político sobre su texto definitivo tocará esperar meses hasta que se apruebe de forma definitiva) y el despliegue de las nuevas "pruebas avanzadas de ciberseguridad" del marco TIBER-ES.

El Banco de España alerta de que la inteligencia artificial mermará la ‘ciberresiliencia’ de las entidades financieras

Este marco lo presentó el Banco de España (BdE) a finales del año pasado y adaptan simplemente la propuesta del Banco Central Europeo (BCE), TIBER-EU. Pero, ¿en qué se diferencian estas nuevas pruebas de ciberseguridad de las que hasta ahora se venían realizando?

Las entidades financieras son las empresas que, en el tejido productivo, cuentan con una mayor madurez en seguridad informática. No es para menos. Gestionan caudal económico, el ahorro, las inversiones, el dinero de millones de clientes.

Para mejorar la ciberseguridad de una empresa, firmas proveedoras ofrecen servicios de Blue Team y Red Team. Para entenderlo bien, el Blue Team funciona como el equipo defensivo y de respuesta ante ciberataques, mientras que el Red Team es en realidad un equipo que se encarga de atacar a la empresa para mejorar las capacidades 'entrenando' al Blue Team.

Muchas empresas contratan servicios de Red Team a empresas especializadas en ciberseguridad. Lo que ocurre en múltiples ocasiones es que estas empresas optan por servicios de Red Team "a la carta". "Vas a entrarme en mi red de esta forma y vas a probar esta cosa, pero esto otro no lo toques", resume Jessica Cohen.

Cohen es la directora de Ciberinteligencia y Riesgos Globales en Tarlogic, una de las principales proveedoras de ciberseguridad para empresas del Ibex 35. Confirma que el marco TIBER ya lo están adaptando varios países. "Portugal lo adoptó hace un par de semanas, Italia está en ello". "Es un marco muy interesante, porque le da un rol clave a la ciberinteligencia".

Santander busca más negocio con sus participadas: lanza Cyber Guardian, una solución de ciberseguridad para pymes de la mano de Factuum

La especialista define estas nuevas pruebas TIBER como "un cambio" de paradigma, ya que las operaciones clásicas de Red Team eran operaciones en realidad "muy medidas", con entornos muy controlados. Aunque este marco TIBER no va a ser obligatorio para las entidades financieras, la gran banca española ya ha manifestado su interés por probar estos nuevos tests.

Unos tests que requerirán que los proveedores de ciberinteligencia y de Red Team colaboren estrechamente. Algunas compañías de ciberseguridad ya cuentan con paquetes y ofertas integrales que combinan ambas disciplinas. Cohen explica cómo es la labor de un agente de ciberinteligencia en el nuevo marco TIBER-EU y TIBER-ES.

El nuevo rol de los agentes de ciberinteligencia

De forma muy resumida, la ciberinteligencia que se aplicará en estos marcos de trabajo requerirá dos pasos. Un primer ejercicio de ciberinteligencia algo generalizado que se detendrá en cómo se está atacando al sector —en este caso, al financiero—, quiénes son los agentes maliciosos, y qué motivaciones persiguen.

Un segundo paso será hacer un ejercicio de ciberinteligencia sobre la entidad financiera concreta que se someta a estas pruebas realizadas con el marco TIBER-ES. Será con ese ejercicio de ciberinteligencia cuando los expertos de los proveedores de ciberseguridad podrán crear "escenarios plausibles" de ciberataques.

Y sobre esos escenarios "más realistas" operarán los equipos de Red Team.

Eso supone que los agentes de ciberinteligencia deben hacer un intenso y singular ejercicio: ponerse en la piel de un ciberdelincuente. Pero Cohen detalla que estos marcos de trabajo no son muy distintos de las labores de inteligencia clásica.

Por ejemplo, en un país en guerra hay que trasladar de un punto a otro a una personalidad importante, y hacerlo de forma segura. La labor de la inteligencia será primero estudiar la zona y después elegir una ruta lo más segura posible.

Bruselas propone intervenir los mensajes cifrados de extremo a extremo en su futura regulación con la que combatir el abuso infantil

"Ahora en TIBER necesitamos una inteligencia genérica, de contexto, que nos diga qué tipo de amenazas está habiendo, qué actores hay detrás, quién actúa contra este sector en esta zona geográfica. Y luego veremos qué hacer con la organización", expone.

Con todo, estas pruebas TIBER-ES que todavía están presentándose y desplegándose en España no serán obligatorias a las entidades financieras. No de forma reglada, aunque Cohen sí que considera que los bancos "más maduros en ciberseguridad", "los más grandes y los más críticos" no deberían dejar de lado estas pruebas "porque son ellos los que más se podrán beneficiar de las mismas".

De hecho, fuentes del mercado apuntan en declaraciones a Business Insider España que estas pruebas son útiles, aunque debería ampliarse a terceros, y no ceñirse únicamente al sector. "La resistencia y fortaleza del sector debe ser cosa de todos sus participantes". Los proveedores también deben ser ciberseguros, consideran.

Ya hay grandes bancos españoles haciendo pruebas similares a TIBER fuera de España. Es el caso de Santander UK, que ha participado ya regularmente a las pruebas CBEST que ha propuesto el Banco de Inglaterra. Desde la marca abundan en la satisfacción que les da ver "la ampliación a TIBER-EU y TIBER-ES".

"Nos parece positivo que se desarrolle esta actividad, ya que es un movimiento positivo para continuar probando las capacidades de los bancos y animamos a que las pruebas incluyan a actores financieros más allá de los regulados", como por ejemplo son las fintech o los proveedores críticos.

Los desarrolladores de código abierto están librando su propia ciberguerra por el conflicto entre Ucrania y Rusia, y las consecuencias pueden ser devastadoras

El despliegue de estas pruebas va a ser crucial junto al reglamento DORA para garantizar la resiliencia de este sector crítico en un momento en el que organismos públicos españoles han elevado la alerta al máximo ante posibles ciberataques. Los ataques informáticos ya no son únicamente bandas de criminales tratando de sacar rédito y lucro de sus fechorías.

CaixaBank, en declaraciones a Business Insider España, enfatiza en que nuevas regulaciones como DORA introducirán "elementos de obligado cumplimiento en materia de resiliencia, ciberseguridad y Gobierno IT", asuntos que para entidades como ella, que son infraestructuras críticas, ya son parte de su "día a día" y se desarrollan y evolucionan "de forma continua".

"La ciberseguridad continúa siendo uno de los retos de las grandes compañías. La metodología TIBER-EU fue implantada en CaixaBank en 2019 realizando Red Teams independientes por parte del área de auditoría interna. Por este motivo, la adaptación de esta metodología a los supervisores nacionales (TIBER-ES) nos permitirá hacer partícipe al Banco de España en nuestros ciberejercicios".

"Si hablamos de motivación, el lucro es muy interesante", reconoce Jessica Cohen. "Pero no siempre. Cada vez hay más ciberataques de índole económica. Imagina a terceros interesados en ocasionar una merma económica a una entidad", apunta. "Cuando digo terceros interesados, me refiero a también a terceros interesados estatales".

"En contextos bélicos o de gran tensión geopolítica, son los sectores energético, el de la banca o el público los más afectados. El lucro puede ser una motivación, pero dejar sin servicio a una entidad crítica para que la ciudadanía no tenga acceso a, por ejemplo, los cajeros, impacta directamente sobre la soberanía de un país".

"Las entidades críticas no solo manejan información sensible como datos personales, sino que también manejan caudal económico. Los ciudadanos entendemos que este tipo de instituciones tendrán unas medidas de seguridad acodes a las amenazas a las que se enfrentan", continúa la experta de Tarlogic. Pero...

"Lo damos por hecho y es algo muy complicado. El desafío es cada vez mayor".