Tácticas militares contra los hackers
El sector financiero construye su propio sistema de seguridad, con elementos de índole marcial, y hasta realiza sus propios simulacros.
En un búnker sin ventanas, una pared de monitores desplegaba datos sobre ataques sufridos (267.322 en las últimas 24 horas, según un contador suspendido en lo alto, es decir, unos tres cada segundo) y más de diez analistas observaban pantallas llenas de líneas de código informático.
Un antiguo soldado de las fuerzas Delta con experiencia de combate en Irak y Afganistán daba vueltas por la habitación y supervisaba las alertas que entraban. Ahora se dedica a tratar de bloquear los avances de un nuevo enemigo: los asaltantes cibernéticos. “no son muy distintos de los terroristas y los carteles de las drogas”, comentó Matt nyman, el creador del centro de comando.
El delito cibernético es una de las industrias más lucrativas y de crecimiento más rápido del mundo. En 2017 causó pérdidas de por lo menos US$445.000 millones, un aumento de alrededor del 30% en solo tres años, según un estudio económico global. El Departamento del Tesoro de Estados Unidos designó hace poco a los ataques cibernéticos como uno de los mayores riesgos que enfrenta el sector financiero del país. Los bancos y las empresas de pagos viven esta lucha como una guerra real, y respondieron a ella con un enfoque cada vez más militarizado.
Ahora, antiguos ciberespías, soldados y expertos en contraespionaje ocupan los cargos más altos en los equipos de seguridad de los bancos. Aportaron a sus nuevos empleos las herramientas y técnicas usadas en el sector de la defensa nacional: ejercicios de combate, centros de inteligencia modelados a partir de los aplicados en el trabajo de contraterrorismo y analistas que monitorean amenazas en los rincones más sombríos de internet.
En Mastercard, nyman supervisa el nuevo centro de fusión, un término tomado del Departamento de Seguridad nacional. Tras los ataques del 11 de septiembre de 2001, la agencia estableció varios centros de fusión para coordinar la recopilación de información de inteligencia a nivel federal, estatal y local. Este enfoque se extendió por todas las dependencias gubernamentales y comenzaron a usarse centros de fusión para enfrentar brotes epidémicos, incendios y el tráfico sexual.
Los bancos empezaron a aplicar la misma estrategia. Por lo menos una decena de bancos, desde gigantes como Citigroup y Wells Fargo, hasta entidades regionales como Bank of the West, abrieron centros de fusión hace algún tiempo y ya tienen planes para abrir muchos más. Fifth Third Bank está construyendo uno de estos centros en sus oficinas generales de Cincinnati, y Visa, que creó su primer centro hace dos años en Virginia, está en la fase de desarrollo de otros dos, en el Reino Unido y en Singapur. Los bancos esperan que tener sus propios equipos de inteligencia los ayude a detectar de manera más eficiente patrones en los datos que recopilan.
Los centros también tienen un propósito simbólico. Contar literalmente con un cuarto de guerra refuerza la nueva realidad que estamos viviendo.
Para muchos directores de empresas financieras la seguridad cibernética se convirtió en la mayor preocupación e incluso eclipsó otros problemas, como la regulación y la economía.
Alfred F. kelly Jr., director ejecutivo de Visa, está “completamente paranoico” con respecto a este tema. Brian T. Moynihan, de Bank of America, afirmó que su equipo de Ciberseguridad es “la única área de la empresa que no tiene límites de presupuesto”.
Los militares agudizan las capacidades de los soldados mediante prácticas de combate a gran escala, como Jade Helm y Foal Eagle, que consisten en enviar a los soldados al campo para probar su habilidad táctica y de manejo de armamento. El sector financiero creó su propia versión: Quantum Dawn, un simulacro bienal de un ataque cibernético catastrófico.
En su edición más reciente, en noviembre, 900 participantes de 50 bancos, reguladores y agencias policíacas representaron sus papeles en respuesta a un ataque a toda la industria con un programa informático nocivo que empezaba por corromper todos los pagos enviados por los bancos y después los bloqueaba. Durante la prueba de dos días, los organizadores agregaron nuevas amenazas en intervalos de algunas horas, como ataques en los que se suspendía el servicio y los sitios web de los bancos quedaban desconectados.
El primero de estos simulacros, el Quantum Dawn de 2011, fue una reunión más reducida. Los participantes se reunieron en un salón de conferencias donde se expuso un caso de ataque simulado que ocasionó el cierre de las cotizaciones en bolsa. Ahora es un simulacro en vivo.
En algunas ocasiones, las pruebas dejan al descubierto brechas importantes. Una serie de simulacros de menor es- cala coordinados por el Departamento del Tesoro, llamados Hamilton Series, hicieron notar un problema hace tres años. Un ataque a Sony, atribuido a Corea del norte, había filtrado correos electrónicos y datos de naturaleza delicada de la empresa poco tiempo antes, lo que ocasionó la pérdida de enormes secciones de la red de Internet de Sony.
Los reguladores se preguntaron si un banco, en especial uno no muy grande, podría recuperarse si sucediera algo similar. “Tomamos conciencia de que necesitábamos agregar otra capa a nuestra seguridad”, afirmó John Carlson, jefe de personal del principal grupo de coordinación de ciberseguridad de la industria, Financial Services Information Sharing and Analysis Center.
Poco después, el grupo empezó a construir un nuevo sistema de seguridad llamado Sheltered Harbor, que comenzó a operar el año pasado. Si un miembro de la red sufre la afectación o destrucción de sus datos, otros pueden actuar para recuperar sus registros guardados y restaurar el acceso básico de los clientes a sus cuentas en un plazo de uno a dos días.
Los bancos más grandes organizan sus propios simulacros de ataque internos, varios al año, para identificar sus puntos vulnerables y mantener a tono sus acciones de intervención inmediata. “Es la idea de la memoria corporal”, señaló Thomas J. Harrington, director de Seguridad de la Información en Citigroup.
En la industria financiera, el temor generalizado es que se repita la violación de datos que afectó a Equifax en 2017, a mayor escala.
Algunos hackers robaron información personal de más de 146 millones de personas. Como consecuencia del ataque, el director general y otros tres altos directivos de la empresa perdieron su trabajo. no se dio a conocer al público en general quién robó esos datos ni qué hicieron con ellos. El buró de crédito ya gastó US$243 millones para resolver el problema.
nyman tiene la responsabilidad de garantizar que nada parecido suceda en Mastercard. Mientras recorre el centro de fusión, describe el trabajo del equipo con lenguaje militar. Describe su acción ofensiva con un término que hace referencia a los momentos previos a la explosión de una bomba. Mediante la detección de puntos vulnerables y ataques cibernéticos frustrados, los analistas pretenden evadir una explosión similar a la que sufrió Equifax.
El problema es que los ataques son constantes. Durante nuestra conversación, el contador suspendido sobre su hombro registró unos ataques más a los sistemas de Mastercard. El total en lo que va del año supera los veinte millones.