A lo largo de los últimos dos años no solo ha aumentado el número de cárteles de ciberdelincuentes en Europa, sino que también ha crecido significativamente la sofisticación de sus operaciones.

Según una investigación del Gobierno británico, el Reino Unido es, seguido de Francia, el país de Europa que mayor número de ciberdelitos padece. Existen poderosos grupos de cibercriminales que operan ahora como corporaciones multinacionales y se apoyan en las organizaciones de la delincuencia tradicional para llevar a cabo actividades ilegales tales como la extorsión y el blanqueo de dinero. Estos cárteles están más organizados que nunca y, en ocasiones, gozan de la protección de Estados, de los que incluso reciben recursos porque los consideran activos nacionales.

Los ciberdelincuentes que tienen como objetivo el sector financiero suelen intensificar sus ataques destructivos para quemar pruebas

Con esta realidad como ejemplo de las amenazas a las que se enfrentan las instituciones financieras, VMware ha entrevistado a 130 líderes del campo de la seguridad financiera y CISO de todo el mundo para la quinta edición de su informe Modern Bank Heists.

Las conclusiones de este año deberían servir de advertencia al sector financiero acerca de una tendencia clara: los atacantes están pasando de la invasión del software a su destrucción.

La tensión geopolítica se extiende al ciberespacio

Los ciberdelincuentes que tienen como objetivo el sector financiero suelen intensificar sus ataques destructivos para quemar pruebas. Nuestro informe reveló que el 63 % de las instituciones financieras experimentaron un aumento de los ataques destructivos, un 17 % más que el año pasado.

Este tipo de ataques se lanzan para destruir, interrumpir o degradar los sistemas de las víctimas mediante acciones como la encriptación de archivos, el borrado de datos, la destrucción de los discos duros, la terminación de las conexiones o la ejecución de código malicioso.

Las conclusiones son claras: los atacantes están pasando de la invasión del software a su destrucción

Recientemente —tras la invasión rusa de Ucrania— hemos sido testigos del lanzamiento del malware destructivo HermeticWiper. De hecho, la mayoría de los directivos financieros con los que hablé para este informe afirmaron que Rusia era la mayor preocupación para sus instituciones.

El año de las herramientas de acceso remoto

Las instituciones financieras no fueron inmunes al reciente resurgimiento del ransomware. El 74 % de los responsables de seguridad financiera sufrieron uno o más ataques de este tipo en el último año, y el 63 % de esas víctimas pagaron el rescate. Se trata de una estadística asombrosa.

Una de las razones por las que los grupos delictivos tradiciones se han convertido en clientes fieles de la dark web es por su ecosistema bien financiado, con el que pueden disponer de kits de ransomware listos para usar.

Los distintos cárteles de la ciberdelincuencia, como, por ejemplo, la banda responsable del famoso ransomware Conti, han facilitado al máximo a sus asociados el lanzamiento de ataques a industrias tan esenciales como el sector financiero.

Un análisis técnico incluido en el último informe sobre amenazas de la Unidad de Análisis de Amenazas de VMware ofrece una visión de la proliferación del ransomware y de cómo las herramientas de acceso remoto ayudan a los criminales a hacerse con el control de los sistemas.

Las herramientas de acceso remoto ayudan a los criminales a hacerse con el control de los sistemas

El ransomware tiene una relación siniestra con estas herramientas, dado que permiten a los atacantes persistir dentro del entorno y establecer un servidor de prueba que se puede utilizar para atacar otros sistemas. Una vez que el ciberdelincuente ha obtenido este acceso limitado, normalmente trabajará para rentabilizarlo empleando los datos de la víctima para extorsionarla (incluyendo la doble y triple extorsión) o robarle recursos de los servicios en la nube mediante ataques de criptojacking.

Manipulación de los mercados en el sector financiero

Los cárteles de la ciberdelincuencia se han dado cuenta de que el activo más importante de una institución financiera es la información de mercado no pública. De hecho, dos de cada tres (66%) de los líderes que entrevisté experimentaron ataques dirigidos a estrategias de mercado, y uno de cada cuatro (25%) declaró que los datos de mercado eran el principal objetivo de los ciberataques dirigidos contra su institución financiera.

La cuestión estriba en saber qué es lo que buscan exactamente los delincuentes. Estamos asistiendo a una evolución: del atraco bancario al espionaje económico. En este último, los ciberdelincuentes tienen como objetivo la información, especialmente la relacionada con estrategias corporativas que, al hacerse públicas, puedan afectar a la cotización de las acciones de la empresa. Esta información se puede emplear para digitalizar el uso de información privilegiada y adelantarse al mercado.

Los ciberdelincuentes tienen como objetivo la información, especialmente la relacionada con estrategias corporativas

Nuestro informe también descubrió que el 44% de los ataques de tipo chronos tenían como objetivo el posicionamiento de marca. Los ataques chronos implican la manipulación de las marcas de tiempo, algo preocupante si se tiene en cuenta el papel fundamental que desempeñan estos parámetros en los mercados.

Una buena defensa es el mejor ataque

Situados en este escenario, la seguridad se ha convertido en una cuestión de primer orden para los líderes del sector financiero. Según las conclusiones de nuestro informe, la mayoría de las instituciones financieras tienen previsto aumentar su presupuesto de seguridad entre un 20% y un 30% este año, y han señalado la detección y respuesta ampliada (XDR) como su principal prioridad de inversión en seguridad.

Como líderes de seguridad, sabemos que una defensa fuerte es el mejor ataque. El rastreo de amenazas con periodicidad semanal debería adoptarse como práctica recomendada para ayudar a los equipos de seguridad a detectar anomalías de comportamiento, ya que los criminales pueden operar clandestinamente en el sistema de una organización. Nuestro informe reveló que, en la actualidad, solo el 51% de las instituciones financieras buscan amenazas cada semana.

Espero que esta cifra aumente en el informe del próximo año, ya que los programas que se dedican al rastreo de amenazas ofrecen múltiples ventajas que no se limitan a encontrar a un ciberdelincuente concreto: de hecho, uno de sus principales objetivos es precisamente aumentar de forma significativa la información sobre las amenazas.