Gestión de incidentes de ciberseguridad en FinTech: protocolos y buenas prácticas

Gestión de incidentes de ciberseguridad en FinTech: protocolos y buenas prácticas

19 de junio 2024

En un entorno donde la confianza y la seguridad son primordiales, las empresas FinTech deben estar preparadas para manejar cualquier incidente de seguridad de manera eficaz y rápida.

El sector FinTech en México ha experimentado un crecimiento sin precedentes en los últimos años, posicionándose como un motor clave para la inclusión financiera y la innovación tecnológica. Sin embargo, este auge también ha atraído la atención de cibercriminales, aumentando significativamente la necesidad de una gestión eficaz de incidentes de seguridad. En un entorno donde la confianza y la seguridad son primordiales, las empresas FinTech deben estar preparadas para manejar cualquier incidente de seguridad de manera eficaz y rápida. 

En este artículo examinaremos los protocolos esenciales y las mejores prácticas para la gestión de incidentes de seguridad en el sector FinTech. Comenzaremos explorando los incidentes de ciberseguridad más comunes que enfrentan las compañías de tecnología financiera, incluyendo ataques de ransomware, malware, phishing, ataques DDoS y amenazas internas. Luego, profundizaremos en la importancia y los componentes clave de un Plan de Respuesta a Incidentes (IR), abarcando desde la detección y análisis hasta la revisión post-incidente. Finalmente, abordaremos las estrategias para la recuperación post-ataque, ofreciendo una guía integral para que las FinTech no solo sobrevivan a los incidentes de seguridad, sino que también emerjan más fuertes y resilientes.

Incidentes de seguridad

Debido a una mayor comprensión de los peligros que enfrentan los datos digitales, la industria mundial de ciberseguridad ha crecido significativamente en años recientes. De acuerdo con Statista, el mercado global de ciberseguridad pasó de USD $83,32 mil millones en 2016 a cerca de USD $166 mil millones en 2023. La misma fuente proyecta que, en promedio, cada empresa gastará USD $44.40 en servicios y productos de ciberseguridad por cada uno de sus empleados y empleadas durante el año 2024. Por lo tanto, en un mundo cada vez más interconectado, la ciberseguridad se está transformando en un pilar fundamental para las FinTech, elevándose de una preocupación técnica a una cuestión de planificación estratégica.

  • Incidentes de ciberseguridad más frecuentes en el ecosistema FinTech

De acuerdo con la última edición del Finnovista Fintech Radar México, una de cada cinco FinTech en México sufre un ciberataque cada año. A pesar de esto, solo el 62,1% del ecosistema afirma contar con un sistema robusto y actualizado para enfrentar estas amenazas. Además, las FinTech también tienen que enfrentar nuevas formas de fraude que representan un peligro para su operación y la seguridad de las y los clientes. 

En este sentido, el ecosistema FinTech debido a su naturaleza digital y su manejo de datos sensibles, es un objetivo atractivo para las y los cibercriminales. A continuación, se describen los incidentes de ciberseguridad más comunes que enfrentan las compañías de tecnología financiera:

  1. Ataques de ransomware: estos ataques implican la encriptación de datos críticos de la empresa, seguida de una demanda de rescate para liberar la información. Los ataques de ransomware pueden paralizar operaciones y causar pérdidas financieras significativas. En el sector FinTech, donde la disponibilidad y la integridad de los datos son cruciales, un ataque de ransomware puede tener consecuencias muy serias, no sólo en términos económicos sino también en la confianza del cliente y la reputación de la empresa.

Un dato que nos permite dimensionar la potencia de estos ataques nos remonta al año 2021, cuando Kaseya, una empresa de software especializada en servicios IT remotos, sufrió un ciberataque de ransomware que afectó directamente a alrededor de 60 empresas. Este incidente, considerado uno de los mayores ataques de ransomware registrados, impactó a empresas en varios países. Aunque la compañía nunca aclaró si pagó o no el rescate, las y los hackers solicitaron en su momento un rescate de $70 millones de dólares en Bitcoin.

  1. Malware: es un software malicioso diseñado para infiltrarse y dañar sistemas informáticos.  Las y los cibercriminales utilizan malware sofisticado para robar información financiera valiosa, como números de tarjetas de crédito, detalles de cuentas bancarias y datos personales de las y los clientes.

La complejidad y diversidad del malware lo hacen especialmente peligroso. Puede presentarse como troyanos bancarios que capturan credenciales de inicio de sesión, keyloggers que registran cada pulsación de tecla para obtener información confidencial, o botnets, que son programas maliciosos que remotamente toman el control de múltiples dispositivos para lanzar ataques distribuidos de manera simultánea. 

De acuerdo con el “Informe Coste de la vulneración de datos 2023” elaborado por IBM, en el año 2023 el coste promedio a nivel mundial de una violación de datos fue de UDS $4,45 millones. Esto representa un aumento del 15% en comparación con el coste promedio de una violación de datos hace tres años. En otras palabras, en los últimos tres años, el gasto promedio que una organización incurre debido a una violación de datos ha aumentado un 15%.

  1. Phishing: representan una de las amenazas más persistentes y adaptables en el panorama de la ciberseguridad, y las empresas FinTech son un objetivo primordial debido a la naturaleza transaccional de sus servicios. El phishing implica el uso de técnicas de ingeniería social para engañar a las víctimas, haciéndolas creer que están interactuando con una entidad legítima, cuando en realidad están entregando información confidencial a cibercriminales.

En el contexto FinTech, los ataques de phishing pueden tomar varias formas sofisticadas:

  1. Spear Phishing: a diferencia del phishing masivo, estos ataques son altamente personalizados. Las y los atacantes investigan a sus objetivos (a menudo empleados clave o clientes de alto valor) en redes sociales y fuentes públicas para crear correos que parezcan genuinos. 
  2. Sitios web clonados: las y los cibercriminales crean réplicas casi perfectas de portales de servicios financieros con el objetivo de engañar a las y los usuarios para que ingresen información sensible y confidencial.
  3. SMiShing (phishing por SMS): es una forma de fraude en la que las y los ciberdelincuentes utilizan mensajes de texto (SMS) para engañar a las víctimas y hacer que revelen información personal, como contraseñas, números de tarjetas de crédito o datos bancarios. El término "SMiShing" es una combinación de "SMS" y "phishing".
  4. Vishing (phishing por voz): llamadas telefónicas donde las y los estafadores se hacen pasar por personal de soporte técnico o de servicio al cliente, creando escenarios de crisis, como "actividad sospechosa en su cuenta" o "transacción no autorizada", para presionar a las víctimas a actuar rápidamente sin pensar.

  1. Ataques DDoS (Denegación de Servicio Distribuido):  estos ataques funcionan inundando los servidores, aplicaciones o redes de una empresa con un volumen abrumador de tráfico, a menudo proveniente de miles o incluso millones de fuentes comprometidas (una red de bots o "botnet"). El objetivo es simple pero devastador: sobrecargar los sistemas hasta el punto del colapso, dejando los servicios inaccesibles para las y los usuarios legítimos.

  2. Amenazas Internas: a diferencia de los ataques externos que intentan romper defensas, las amenazas internas provienen de individuos que ya han traspasado el perímetro de seguridad: empleados, contratistas, socios comerciales y otros usuarios y usuarias con acceso autorizado a los sistemas y datos de la empresa.

Estas acciones maliciosas pueden ser deliberadas u ocasionadas de forma accidental por descuidos u omisiones. 

La identificación y comprensión de estos incidentes de seguridad es el primer paso para estar preparados y poder responder de manera efectiva cuando ocurran. Cada tipo de incidente requiere un enfoque específico para su gestión, lo cual resalta la importancia de tener un plan de respuesta a incidentes bien estructurado y detallado.

Planes de respuesta a incidentes

  • Importancia de un Plan de Respuesta a Incidentes (Plan IR)

Un Plan de Respuesta a Incidentes (Plan IR, por sus siglas en inglés – Incident Response) es un componente crítico de la estrategia de seguridad de cualquier empresa FinTech. Este plan debe detallar los procedimientos a seguir cuando se detecta un incidente de seguridad, asegurando una respuesta rápida y coordinada para minimizar el impacto. La existencia de un Plan IR sólido es crucial para mitigar los efectos de los incidentes de ciberseguridad comunes descritos anteriormente y garantizar la continuidad del negocio.

  • Componentes clave de un Plan IR
  1. Detección y análisis: en el ecosistema FinTech, donde una transacción fraudulenta o una filtración de datos puede desencadenar un efecto dominó de consecuencias serias, la detección y el análisis no son solo el primer paso del Plan IR, son la primera línea de defensa de la confianza del cliente. La velocidad y precisión en esta etapa pueden significar la diferencia entre un incidente contenido y una crisis que acabe en los titulares de prensa. En un sector donde la reputación es tan frágil como valiosa, invertir en capacidades avanzadas de detección y análisis no es un lujo, es una necesidad estratégica.

  2. Clasificación del incidente: en el dinámico mundo de las finanzas digitales, donde los ciberataques pueden variar desde intentos de phishing de bajo nivel hasta sofisticados ataques de ransomware, no todos los incidentes de seguridad son iguales. La clasificación precisa y rápida de incidentes es análoga al triage en medicina de emergencia: determina qué "pacientes" (incidentes) necesitan atención inmediata y cuáles pueden esperar, optimizando recursos y minimizando daños.

Para esto es necesario llevar a cabo matrices de impacto y urgencia que cruzan el impacto potencial (financiero, reputacional, regulatorio) con la urgencia (propagación, datos en riesgo). Por ejemplo:

  1. Crítico (Nivel 1)
  2. Alto (Nivel 2)
  3. Medio (Nivel 3)
  4. Bajo (Nivel 4)

  1. Respuesta inicial: estos primeros momentos son cruciales para contener el daño, prevenir la propagación, y preservar la evidencia digital volátil. Una respuesta inicial eficaz puede ser la diferencia entre un incidente contenido y un desastre que erosione la confianza del mercado. Algunas herramientas para llevar a cabo la respuesta inicial incluyen:

  1. Playbooks dinámicos: se refiere a playbooks digitales que se adaptan en tiempo real a las situaciones. Por ejemplo, una FinTech tras detectar un intento de intrusión en su API de pagos, procede a activar un playbook que no sólo aísle el servicio afectado, sino que también redirige automáticamente el tráfico a una API secundaria, manteniendo la continuidad del servicio mientras se contiene la brecha.

  2. Aislamiento quirúrgico: requiere mecanismos de seguridad basados en microsegmentación para aislar exclusivamente el sistema o proceso afectado, permitiendo que otras operaciones continúen sin interrupción. Esta técnica asegura que las funciones críticas de la empresa permanezcan operativas mientras se gestiona el incidente.

  3. Honeypots activos: más allá de simplemente detectar intrusos, los honeypots avanzados en el sector FinTech pueden interactuar con las y los atacantes, recopilando información valiosa sobre sus técnicas y tácticas. Esta interacción no solo permite una mejor comprensión de las amenazas, sino que también puede retrasar y desviar a los atacantes, ganando tiempo crucial para implementar medidas de contención y respuesta.

  4. Forense en vivo: en el volátil mundo digital, la evidencia puede desaparecer en cuestión de segundos. Por ello, las FinTech están adoptando herramientas de forense en vivo que capturan y preservan datos efímeros, tales como el contenido de la memoria RAM y el tráfico de red en tiempo real. Esta práctica permite a las empresas realizar análisis detallados de los incidentes, identificar la causa raíz y tomar medidas correctivas necesarias para fortalecer su postura de seguridad.

  5. War Rooms virtuales: la respuesta inicial a un incidente de seguridad es un esfuerzo multidisciplinario. Las FinTechs suelen utilizar "war rooms" virtuales que reúnen instantáneamente a equipos de TI, legal, finanzas y comunicaciones en videollamadas con dashboards en tiempo real. Estas salas de guerra digitales permiten una coordinación eficiente, el intercambio de información crítica y la toma de decisiones colaborativa para abordar rápidamente la situación y minimizar el impacto del incidente.

  6. Orquestación y automatización de la respuesta a incidentes (SOAR): las herramientas SOAR están cambiando el juego en la gestión de incidentes de seguridad. Estas plataformas permiten la integración y coordinación de actividades de respuesta, la automatización de tareas repetitivas y la aplicación de políticas predefinidas para acelerar la detección, contención y mitigación de amenazas. Al aprovechar la inteligencia artificial y el aprendizaje automático, las soluciones SOAR permiten a las FinTech mejorar la eficiencia operativa y fortalecer su postura de seguridad cibernética de manera proactiva.

  1. Notificación: informar a todas las partes interesadas internas y externas pertinentes es un paso crítico en la gestión de incidentes de seguridad. Esto incluye a los equipos de TI, gerencia, clientes y reguladores, si es necesario. La transparencia y la prontitud en la comunicación son fundamentales para mantener la confianza del cliente y cumplir con los requisitos regulatorios. Además, una notificación oportuna puede ayudar a coordinar esfuerzos de respuesta más efectivos y minimizar el impacto del incidente.

  2. Erradicación y recuperación: una vez contenido el incidente, es crucial erradicar completamente la amenaza y llevar a cabo la recuperación de los sistemas afectados. Esto implica la limpieza exhaustiva de los sistemas comprometidos, la restauración de datos desde backups seguros y la implementación de parches de seguridad necesarios para prevenir futuros ataques. Es importante realizar un seguimiento meticuloso de estas acciones para garantizar que los sistemas vuelvan a su estado operativo normal de manera segura y eficiente.

  3. Revisión post-Incidente: después de que el incidente ha sido gestionado, es estratégico llevar a cabo una revisión exhaustiva para comprender su causa raíz y fortalecer las defensas futuras. Esto implica la documentación detallada del incidente, incluyendo los eventos que lo desencadenaron, las acciones tomadas durante la respuesta y sus resultados. Además, se debe evaluar la efectividad de la respuesta, identificando áreas de mejora en los procesos, las herramientas y las políticas de seguridad. Esta revisión post-incidente no solo ayuda a fortalecer la postura de seguridad de la empresa, sino que también proporciona lecciones valiosas para enfrentar futuros desafíos de seguridad con mayor preparación y eficacia.

Recuperación post-ataque

  • Estrategias para la recuperación

Después de un incidente de seguridad, la prioridad es restaurar la normalidad operativa lo antes posible, minimizando el impacto a largo plazo.

  • Pasos clave en la recuperación
  1. Restauración de sistemas y datos: utilizar backups seguros y restaurar los sistemas afectados a su estado previo al incidente. Verificar la integridad de los datos y sistemas antes de reanudar las operaciones normales.
  2. Evaluación de daños: realizar una evaluación completa del impacto del incidente, incluyendo la pérdida de datos, daños a la infraestructura y efectos en la reputación.
  3. Actualización de protocolos: revisar y actualizar los protocolos de seguridad y los planes de respuesta a incidentes basándose en las lecciones aprendidas durante el incidente.
  4. Soporte a clientes: proporcionar apoyo a las y los clientes afectados, que puede incluir servicios de monitoreo de crédito, asistencia técnica y comunicación continua para mantener la confianza.
  5. Entrenamiento y capacitación: realizar sesiones de capacitación para el personal sobre los nuevos protocolos y lecciones aprendidas, asegurando que todos y todas estén preparados para futuras amenazas.

Conclusión

Un aspecto fundamental para la seguridad del ecosistema FinTech en México y América Latina es el trabajo realizado por la Asociación FinTech México a través de su Comité de Ciberseguridad, encabezado por Santiago Fuentes. Este comité adopta un enfoque integral para mejorar las defensas contra las amenazas cibernéticas, asegurar el cumplimiento normativo y fomentar un entorno colaborativo para el intercambio de conocimientos y acciones colectivas.

Dicha iniciativa juega un papel vital en apoyar el crecimiento y la resiliencia del sector FinTech, asegurando que las empresas no solo se recuperen de incidentes de seguridad, sino que también fortalezcan continuamente su postura de seguridad para enfrentar futuros desafíos.

Finalmente, al implementar planes robustos de respuesta a incidentes y métodos sólidos de recuperación post-ataque, las FinTech pueden minimizar el impacto de los incidentes de seguridad y fortalecer su posición en el mercado. La clave es estar siempre preparados y adaptarse rápidamente a un entorno de amenazas en constante evolución.