Las actuales amenazas a las que se ve sometido el sector financiero son una realidad a la que las entidades, públicas y privadas, deben hacer frente. La irrupción de nuevas tecnologías y nuevos métodos de ataque contra esta organizaciones pone de manifiesto la necesidad de estar preparados para un nuevo escenario regulatorio y de prevención frente a ciberataques. En este contexto, tuvo lugar el 11º Congreso PICSE (Protección de Infraestructuras Críticas y Servicios Esenciales), organizado por la Fundación Borredá. Como ediciones anteriores, esta edición reunió a destacados profesionales vinculados con las infraestructuras críticas y los servicios esenciales.
La presentación del Congreso corrió a cargo de César Álvarez, coordinador de Proyectos de la Fundación Borredá, y Ana Borredá, presidenta de la Fundación Borredá, quienes dieron la bienvenida y fueron los encargados de dar paso a la primera intervención de la jornada.
En esta primera exposición, José Luis Pérez Pajuelo, director del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), abordó la evolución del Sistema de Protección de Infraestructuras Críticas. Durante su intervención, Pérez Pajuelo describió la situación jurídica que se ha ido desarrollando en los últimos tiempos desde la Directiva 2008/114/CE de la Unión Europea, que incluía una protección considerada más “tradicional”, pasando por la Ley 8/ 2011 de Protección de Infraestructuras Críticas, que España uso en marcha y cubría muchos más ámbitos. Más tarde, durante 2019-2020, un grupo de trabajo de la Unión Europea se puso manos a la obra para sacar adelante lo que ha sido la Directiva europea CER 2022, conocida como Directiva sobre Resiliencia. Esta directiva se centra en garantizar que se presten los servicios esenciales sin ningún tipo de obstrucción. “Entre las novedades de esta norma se pueden destacar aspectos como la identificación de entidades críticas, el intercambio de información o la comprobación de la idoneidad de las personas”, destacó Pérez Pajuelo. Tal y como explicó este experto, esta norma ya debe trasponerse al marco jurídico español.
Tras esta directiva llegará la aplicación de la ley o real decreto sobre protección y resiliencia de entidades críticas PREC (aún sin aprobar), que incorporará medidas que incrementen la resiliencia; es decir, que refuercen la capacidad de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante incidentes que afecten a servicios esenciales.
Pérez Pajuelo subrayó que cuando se apruebe esta última norma, una novedad significativa prevista es la incorporación de la seguridad privada como uno de los sectores que entrarán a formar parte del sistema, ya que es un importante pilar para la protección de muchas entidades.
El dinero en efectivo como servicio esencial
El segundo panel de la jornada contó con la participación de Javier Rupérez, diplomático español y presidente de Denaria, y Gonzalo Suárez, vicepresidente ejecutivo de European Security Transport Association (ESTA). A modo de diálogo, abordaron las implicaciones que tiene para el sector la pérdida de uso del dinero en efectivo. Para Rupérez, es un error perder el papel moneda y afirmó en ese sentido: “estamos en un mundo globalizado y todo tiene ventajas e inconvenientes; depender de sistemas de pago digitales que no están en Europa nos puede crear problemas”. Rupérez no dejó de recalcar que “hay que proteger el sistema de pagos en efectivo porque es legal y necesario en el sistema monetario”. Añadió que “este sistema tiene sus defectos, pero es el mejor de los que estamos viendo”.
Por su parte, Suárez destacó que el papel moneda supone solo un 2 por ciento de la totalidad de las transacciones mundiales en la actualidad, y cuestionó el papel que tendrá el dinero físico en el futuro. El presidente de Denaria, por su parte, aclaró: “no peleamos una batalla en contra de lo digital, sino por la libertad; queremos que cada uno escoja el sistema que le venga mejor”.
Amenazas al sector financiero
A continuación, el 11º Congreso PICSE acogió una panel sobre amenazas en el sector financiero. Dividido en cinco ponencias, diversos expertos en la materia aportaron su visión sobre los riesgos a los que se enfrenta el sector y cómo afrontarlos.
En este sentido, Jordi Sánchez, gerente en Seguridad Operativa y Fraude de Caixabank, abordó los diferentes tipos de estafa, tanto la cibernética como la tradicional. Haciendo un poco de humor, recordó que, a pesar de todos los dispositivos electrónicos, “el tocomocho sigue vigente”. En cuanto a las ciberestafas, recordó que nadie está libre de ser víctima, pero que sorprendentemente “son los más jóvenes los que más caen”. Sánchez hizo un recorrido por las posibles estafas, que van desde las técnicas de suplantación de empresas o entidades bancarias a los engaños de facturas falsas, pasando por el fraude al CEO, con sus gravísimas consecuencias. Para evitar estas trampas, este experto recalcó que “es importante leer todos los textos, no correr y practicar el sentido común y, por supuesto, proteger los dispositivos con doble autenticación”.
Por su parte, Andrés Martínez, director de Seguridad del Banco Sabadell, planteó las amenazas del sector financiero en lo relativo a la cadena de suministros. En su exposición refirió que, en los últimos tiempos, ha cambiado el concepto de protección por el de resiliencia “y este se debe extender a toda la cadena de suministro”. Esto significa que hay que controlar muchos factores externos y, tal y como explica Martínez, “es un reto identificar quiénes pueden ser las amenazas, ya que la valoración no es sencilla”. Para ello, “hay que tener el sistema monitorizado permanentemente para que la cadena esté siempre controlada. Así se detectarán los problemas antes de que ocurran”.
La siguiente intervención corrió a cargo de Rafael Sánchez-Puerta Ortiz, director de Inteligencia y Amenaza Interna del Grupo Santander, el cual abordó las amenazas internas a las que se enfrentan las entidades financieras. Muchas veces, apuntó, el daño a una compañía viene de dentro y las empresas tienen que estar preparadas para evitar daños mayores. Sánchez-Puerta explicó que son muchos los factores que pueden hacer que un empleado perjudique a la entidad y que por ello el Grupo Santander tiene un programa que vela por los empleados desde que entran a trabajar en la empresa hasta el día que la abandonan. Aún con ello, recalcó que los trabajadores son “también la primera línea de defensa de la empresa porque pueden ver venir el peligro de cerca”.
En una línea similar intervino Damián Ruiz Soriano, CISO en Singular Bank, en este caso para hablar de amenazas persistentes avanzadas. El experto explicó que, en este caso, lo que habitualmente persiste son “amenazas muy sofisticadas”. Explicó que son ataques dirigidos, “prolongados en el tiempo, donde el intruso obtiene acceso a la red de la víctima y permanece sin ser detectado durante el periodo de la operación”. Sus objetivos pueden ser diversos, desde extraer datos, efectuar un fraude o desplegar un ransomware. Ruiz Soriano comentó cómo actualmente están trabajando en su entidad a través de un Atomic Red Team, una serie de pruebas sustantivas orientadas a revisar un catálogo de tácticas, técnicas y procedimientos de ataques referenciados a un framework.
A continuación, tomó la palabra Andrés Martín Ludeña, director de Seguridad de Euronet Worldwide, quien abordó el ataque a cajeros automáticos. Después de llevar a cabo un análisis de la situación y poner de manifiesto que “existe demanda de cajeros automáticos”, alertó de que “el problema es la temporalidad de determinadas zonas”. En relación con los diferentes tipos de fraudes que pueden sufrir estas máquinas, Martín Ludeña señaló que “el malware casi no existe, en 2023 solo hubo siete ataques”. Sin embargo, en lo referente al “fraude y los ataques, hay dos modalidades: explosivos y arrancamientos”. Y aportó un dato: “a fecha de hoy, este año ha habido 44 ataques a cajeros en España”. Además, consideró necesario establecer una estrategia compartida para sensibilizar a las autoridades y reguladores, unificar protocolos de actuación, trabajar como prescriptores para la generación de normativa y, por último, “avanzar en establecer comunicación con autoridades europeas”.
Transposición de la normativa europea
El último panel de la jornada abordó el horizonte normativo y estratégico al que tendrán que hacer las infraestructuras críticas de aquí a los próximos meses.
Marina Rodríguez, jefa de la Unidad de Ciberseguridad y Lucha contra la Desinformación del Departamento de Seguridad Nacional, planteó cómo España dispone de un nivel de ciberseguridad “bastante aceptable”, destacando cómo los mayores esfuerzos que ha hecho la Administración “no van dirigidos a definir el ordenamiento, sino a avanzar y mejorar el modelo de gobernanza”. Puso de manifiesto cómo “la hiperactividad europea es patente en materia de ciberseguridad” y cómo se está planteando un fondo de ciberemergencia. Además, Rodríguez también comentó que el Reglamento Europeo de Ciberresiliencia centra la atención en la vulnerabilidad que tienen todos los productos, tanto a nivel técnic, como de diseño. Desde el punto de vista de la ciudadanía, Rodríguez alertó de la necesidad de “trabajar en políticas de autoprotección”. Además, puso de manifiesto que “la falta de talento es un problema, así como la falta de unidad sobre los perfiles concretos que van a ser necesarios” en materia de ciberseguridad.
Álvaro de Losada Torres-Quevedo, jefe de la Oficina de Coordinación de Ciberseguridad, dependiente del Ministerio del Interior, habló del proceso de transposición de la Directiva NIS2 al ordenamiento español. Losada explicó que “esta directiva ha generado una enorme expectativa porque viene a cambiar el tablero de juego, tanto por la incorporación de nuevos sectores como por la propia definición de entidades esenciales, lo que va a aumentar mucho el número de sujetos obligados”, comentó. Adelantó, además, cuáles van a ser los pilares fundamentales sobre el acuerdo de gobernanza: “la creación de un organismo superior que sea la autoridad competente en materia de ciberseguridad con capacidad decisoria, pero no ejecutiva; un nivel intermedio de autoridad, que hará labores ejecutivas; las denominadas autoridades de control, cuya labor recaerá sobre quienes ya las tengan, y, además, se contará con la participación colaborativa de las autoridades sectoriales y de las comunidades autónomas”.
Por su parte, Ángel Flores, jefe del Servicio de Inteligencia y Coordinación de CNPIC, abordó el horizonte normativo de las entidades críticas y adelantó parte del argumentario que recoge el proyecto de ley que traspondrá la Directiva Europea sobre Resiliencia (Directiva CER). Flores señaló que, si bien el contenido es prácticamente el mismo, a diferencia de la anterior directiva, “ahora sí va a haber un régimen sancionador”. Indicó, además, que “llevará aparejado un desarrollo reglamentario que ponga luz en cada uno de los artículos que se centran en esta ley de resiliencia en entidades críticas”. La tarea asignada al CNPIC será “el desarrollo de una estrategia nacional de protección de resiliencia de las entidades críticas, la realización de una evaluación nacional de amenazas y riesgos para todos los sectores estratégicos, y la elaboración de un plan de protección y resiliencia de las entidades críticas”, comentó.
A continuación, tomó la palabra Javier Candau, adjunto al subdirector general del Centro Criptológico Nacional, quien explicó cómo estaba estructurada la Directiva NIS2 y cómo esta consta de entidades consideradas “esenciales” y entidades “importantes”. Candau también hizo referencia al Esquema Nacional de Seguridad, a la Red Nacional de SOC y a la plataforma nacional de notificación y seguimiento de ciberincidentes. Además, el experto comentó diversas medidas de ciberdefensa activa, herramientas fundamentales para conseguir que España se convierta “en un objetivo difícil de atacar”, concluyó.
En último lugar, tomó la palabra Juan D. Peláez, responsable de Sector Financiero y TIC de INCIBE, quien explicó las labores que realizan desde su organismo, entre las que se encuentra prestar apoyo a la ciudadanía a través de herramientas como la Oficina de Seguridad del Internauta, Internet Segura for Kids o Incibe-Cert. Comentó que este último cuenta con planes específicos para sectores estratégicos como el financiero, que buscan reducir la cifra de los 58.000 ciudadanos víctimas de incidentes en materia de ciberberseguridad. Peláez puso de manifiesto cómo el volumen de incidentes en esta materia aumenta año tras año. El experto finalizó su intervención hablando del Reglamento Europeo DORA, que tiene como objetivo “mejorar la resiliencia operativa y la ciberseguridad en el sector financiero”, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación.
Soluciones y tecnologías de seguridad para las entidades críticas
El 11º Conrgeso PICSE contó con un panel dedicado a soluciones y tecnologías de seguridad, por parte de tres de los patrocinadores del evento: Prosegur, Eulen Seguridad y Scati.
Prosegur: Soluciones de seguridad adaptadas
Begoña Villar Pérez, gerente de Consultoría de Seguridad de Prosegur Security, destacó que su empresa ofrece distintas soluciones para distintos clientes. Prosegur cuenta con un porfolio muy amplio de servicios, entre los que incluyen la protección de datos, los planes de seguridad de medicamentos, las auditorías de seguridad, las gestiones de emergencia y seguridad ciudadana… Tal y como destacó Begoña Vilar, los pilares de su trabajo son tres: personas, datos y tecnología.
Durante su intervención, enfatizó las labores realizadas bajo el paraguas del programa Hybrid Security, “que es una estrategia de seguridad adaptable, evolutiva y predictiva que se adapta a cada cliente y cada entorno”. Vilar refirió que, cuando abordan un nuevo proyecto, lo hacen «en tres fases”. En la primera, se reúnen con el cliente y organizan e identifican todas las necesidades de la empresa. La siguiente etapa consistiría en la programación, el trabajo de campo y el análisis de riesgos. Finalmente, se entregarían los planes de acción y se revisarían con el cliente para ver si están satisfechos todos los requerimientos. En este sentido, “Prosegur se precia de trabajar en distintas áreas en el sector financiero, tanto en seguridad en banca como en los data center”, destacó Vilar.
Scati: La importancia de la integración de tecnologías
Por su parte, Antonio Polo, sales director de EMEA & SEA de Scati, hizo hincapié en la necesidad de compartir conocimiento. Polo explicó que Scati desarrolla plataformas propias de integración de sistemas, videovigilancia y control de accesos con la última tecnología en inteligencia artificial y gestión del big data. De esta manera, los usuarios sacan el máximo provecho a sus sistemas, con los máximos estándares de IT y ciberseguridad. Este experto se refirió específicamente a infraestructuras críticas financieras, de las que dijo que poseen activos fundamentales y, por ello, son una víctima cada vez más vulnerable. “Las empresas no solo padecen amenazas físicas, sino también cibernéticas”, sentenció.
Los ataques del entorno ciber pueden ser desde ransonware dirigidas a bases de datos financieras hasta phishing o vulnerabilidades de sistemas conectados a la nube. En cuanto al entorno físico, las empresas se pueden encontrar con malas praxis de empleados, accesos no autorizados, destrucción de material, etc. Por ello aseguro: “es tan importante la interoperabilidad, ya que garantiza la interacción entre sistemas de seguridad y la compartición de datos, que unifica la gestión, permite establecer el flujo de trabajo y, sobre todo, facilita la colaboración entre diferentes áreas”.
Eulen Seguridad: La gestión de riesgos de la cadena de suministro
El último ponente de este panel fue Daniel Osihe Adams, responsable de Consultoría de Eulen Seguridad, el cual aportó datos de los peligros a los que se enfrentan las empresas y recalcó que la tecnología ha ampliado la superficie de ataque, por lo que hay que estar más preparados. Durante su intervención, el responsable de Eulen recalcó que “la ciberseguridad en la cadena de suministro, terceras partes o proveedores está adquiriendo una importancia cada vez más creciente como parte de la resiliencia del propio negocio”.
La intervención de Osihe tuvo como eje central el control de la cadena de suministro. Según los últimos estudios, casi todas las empresas (83%) están muy preocupadas por la seguridad de sus proveedores, y en tres de cada cinco organizaciones existen proveedores externos que impactan en su nivel de ciberseguridad.
Para minimizar los riesgos que pueden acarrear los problemas que atraen los servicios externos, desde Eulen Seguridad proponen una serie de medidas tales como la implicación de la alta dirección con la definición, la aprobación, la asignación de recursos o la supervisión de un programa de seguridad en línea con la criticidad de los servicios externos prestados. Como ejemplo, comentó la necesidad de poner en marcha una metodología de gestión de riesgos efectiva con terceros, de tal manera que las partes implicadas en el servicio no aumenten el riesgo.
Archivado en:
