Este reciente artículo de Maeson Mahery de la empresa Ascertia plantea la importancia de implementar un framework de seguridad que se basa en la "firma de transacciones bancarias" y su verificación en los end-point para garantizar autenticidad y no vulneración.
Hace algunos años, el vandalismo en el fútbol estaba desatado, y luego, un día, desapareció de los estadios. La reducción de la violencia relacionada con el fútbol se debió principalmente a la capacidad de identificar a los “hooligans” a partir de imágenes de CCTV después de que la Autoridad de Seguridad de Campos Deportivos instaló cámaras en los estadios.
De manera similar, hemos visto un aumento en el cibercrimen y fraude en la industria financiera. Tres cosas han contribuido a esto:
La facilidad de acceso global a casi cualquier sistema gracias a Internet
El anonimato relativo, junto con la capacidad de falsificar (suplantar) una identidad
La dificultad para identificar si lo digital es real o falso
Este aumento del cibercrimen ha focalizado en la responsabilidad que las instituciones financieras tienen por las cuentas que los delincuentes mantienen en ellas y el dinero que pueden lavar de manera inadvertida. No obstante, la creciente sofisticación de los atacantes ha hecho que esto sea cada vez más difícil para la industria financiera.
Una Amenaza Real
Un ejemplo de un ciberdelito particularmente elaborado, ocurrió recientemente cuando en uno de los grandes bancos, fue víctima al mismo tiempo de un ataque físico y cibernético. Una fuente de origen interno al Banco entregó información sobre los números de tarjeta de crédito del Banco.
Esta información permitió a los delincuentes producir grandes cantidades de tarjetas de crédito falsificadas e imprimirlas en impresoras comunes de escritorio, usando codificadores de banda magnética fáciles de obtener. Muchos cómplices fueron reclutados, para llevar estas tarjetas de crédito a cajeros automáticos en un país extranjero.
Los cómplices tenían definido un momento específico para utilizaron las tarjetas y comenzar a sacar efectivo de los cajeros automáticos. Cuando una de las entidades propietarias de las tarjetas notó que surgía un patrón de flujo de dinero sospechoso, notificó al banco emisor. Al principio, todo parecía normal para el banco y su departamento de fraude no dio la alarma.
Investigaciones posteriores descubrieron que los delincuentes habían obtenido acceso a la puerta de enlace del banco de sus servidores. Cada vez que un cajero automático solicitaba la autorización de un retiro, el servidor de la puerta de enlace respondía con un "SÍ", sin hacer la pregunta al sistema de back-end del banco.
Este método permitió a los intrusos eludir todas las medidas de prevención del fraude y control del riesgo.
Este evento es sólo un ejemplo, pero el core de lo que está sucediendo es lo que nos debe ocupar y es donde las mejoras en la infraestructura bancaria son vitales.
Una solución real: Know Your Transaction
El cibercrimen es una amenaza real para la industria regulada que requiere de altos niveles de confianza, pero también para otras industrias. La causa raíz aquí fue el no tener protección para la autenticación del end-point, ni contar con protocolos robustos para determinar si una transacción ha sido alterada o es una falsificación.
Los estándares y la tecnología y para remediar esto existen desde hace mucho tiempo. Sin embargo, las instituciones financieras no la han implementado aún en sus protocolos bancarios a nivel de transacción.
Se trata básicamente de que los bancos implementen un segundo principio de seguridad. El primer principio fue “Conocer a tu Cliente” (KYC), y este segundo es “Conocer tu Transacción” (KYT).
La industria financiera puede lograr este segundo principio “Know Your Transaction” (KYT) implementando firmas digitales a nivel de transacción y verificando las firmas al recibir una transacción. KYT es un enfoque efectivo del tipo zero-trust. Es altamente efectivo y seguro, lo que garantiza que la fuente de información esté bajo el control del end-point y que nadie ha alterado la información de la transacción que definió el remitente.
La popularidad de blockchain y al aumento del comercio de criptomonedas, ha relevado los principios de clave pública y privada y sus atributos de inmutabilidad y seguridad ya son gestionados a nivel de la industria financiera.
Las instituciones financieras pueden beneficiarse de aplicar firmas digitales, basadas en los mismos principios, en sistemas de transacciones bancarias de alto rendimiento. Cada transacción o instrucción entrante se puede verificar criptográficamente con la clave pública del end-point, implementando así la zero-trust basada en criptografía.
El uso de esta técnica, junto con el timestamping, garantiza la absoluta integridad y autenticidad de cada transacción.
Evitar el cibercrimen en la industria financiera es fundamental, especialmente firmas digitales ya brindan agilidad criptográfica para permitir el paso a algoritmos criptográficos resistentes a la cuántica.
Los bancos que están implementando este framework están agregando mayor seguridad a sus transacciones haciendo que sean verificadas como legítimas en cada etapa del flujo transaccional. Este modelo de seguridad garantiza mayor confianza y reduce significativamente los riesgos de seguridad.