Un antiguo soldado de las fuerzas Delta con experiencia de combate en Irak y Afganistán daba vueltas por la habitación y supervisaba las alertas entrantes. Ahora se dedica a tratar de bloquear los avances de un nuevo enemigo: los asaltantes cibernéticos.
“No son muy distintos de los terroristas y los carteles de las drogas”, comentó Matt Nyman, el creador del centro de comando, mientras mantenía la vista en su escuadrón de empleados de Mastercard. “En esencia, las redes de amenazas operan de manera similar”.
El delito cibernético es una de las industrias más lucrativas y de crecimiento más rápido del mundo. El año pasado causó pérdidas de por lo menos 445 mil millones de dólares, un aumento de alrededor de 30% en sólo tres años, según un estudio económico global. El Departamento del Tesoro designó hace poco a los ataques cibernéticos como uno de los mayores riesgos que enfrenta el sector financiero de Estados Unidos. Los bancos y empresas de pagos viven esta lucha como una guerra real, así que han respondido a ella con un enfoque cada vez más militarizado.
Ahora, antiguos ciberespías del gobierno, soldados y expertos en contraespionaje ocupan los cargos más altos en los equipos de seguridad de los bancos. Han aportado a sus nuevos empleos las herramientas y técnicas utilizadas en el sector de la defensa nacional: ejercicios de combate, centros de inteligencia modelados a partir de los aplicados en el trabajo de contraterrorismo y analistas que monitorean las amenazas en los rincones más sombríos de internet.
En Mastercard, Nyman supervisa el nuevo centro de fusión de la empresa, un término tomado del Departamento de Seguridad Nacional. Tras los ataques del 11 de septiembre de 2001, la agencia estableció varios centros de fusión para coordinar la recopilación de información de inteligencia a nivel federal, estatal y local. Este enfoque se extendió por todas las dependencias gubernamentales, y comenzaron a utilizarse centros de fusión para enfrentar brotes epidémicos, incendios y el tráfico sexual.
Entonces, los bancos comenzaron a aplicar la misma estrategia. Por lo menos una decena de bancos, desde gigantes como Citigroup y Wells Fargo hasta bancos regionales como Bank of the West, han abierto centros de fusión desde hace algún tiempo, y ya tienen planes para abrir muchos más. Fifth Third Bank está construyendo uno de estos centros en sus oficinas generales de Cincinnati, y Visa, que creó su primer centro de este tipo hace dos años en Virginia, se encuentra en la fase de desarrollo de otros dos, en el Reino Unido y en Singapur. Los bancos esperan que tener sus propios equipos de inteligencia les ayude a detectar de manera más eficiente algunos patrones en los datos que recopilan.
“Hicimos conciencia de que necesitábamos agregar otra capa a nuestra seguridad”, John Carlson, jefe de personal del principal grupo de coordinación de ciberseguridad de la industria, Financial Services Information Sharing and Analysis Center.
Los centros también tienen un propósito simbólico. Contar literalmente con un cuarto de guerra refuerza la nueva realidad que estamos viviendo. Ahuyentar a los ladrones siempre ha sido una prioridad, por eso los bancos construyen bodegas seguras, pero la carrera armamentista ha escalado con gran rapidez.
Para muchos directores de empresas financieras, la seguridad cibernética se ha convertido en la mayor preocupación, e incluso ha eclipsado otros problemas como la regulación y la economía.
Alfred F. Kelly Jr., director ejecutivo de Visa, está “completamente paranoico” con respecto a este tema, según comentó con algunos inversionistas durante una conferencia en marzo. Brian T. Moynihan, de Bank of America, afirmó que su equipo de Ciberseguridad es “la única área de la empresa que no tiene límites de presupuesto” (el director de Operaciones del banco indicó que gastarán alrededor de 600 millones de dólares este año).
Los militares agudizan las capacidades de los soldados mediante prácticas de combate a gran escala como Jade Helm y Foal Eagle, que consisten en enviar a los soldados a campo para probar su habilidad táctica y de manejo de armamento. El sector financiero creó su propia versión: Quantum Dawn, un simulacro bienal de un ataque cibernético catastrófico.
En su edición más reciente, en noviembre, 900 participantes de 50 bancos, reguladores y agencias policiacas representaron sus papeles en respuesta a un ataque a toda la industria con un programa informático nocivo que empezaba por corromper todos los pagos enviados por los bancos y después los bloqueaba. Durante la prueba de dos días, los organizadores agregaron nuevas amenazas en intervalos de algunas horas, como ataques en los que se suspendía el servicio y los sitios web de los bancos quedaban desconectados.
TAMBIÉN PUEDES LEER: 50% de empresas en México, expuestas al robo de información
El primero de estos simulacros, el Quantum Dawn de 2011, fue una reunión más reducida. Los participantes se reunieron en un salón de conferencias donde se expuso un caso de ataque simulado que ocasionó el cierre de las cotizaciones en bolsa. Ahora es un simulacro en vivo. Cada banco dedica varios meses antes del evento a recrear su tecnología interna en una red aislada de prueba, una plataforma llamada cyber range, para que sus empleados puedan utilizar sus herramientas y software reales. La empresa encargada del campo de batalla virtual, SimSpace, es contratista del Departamento de Defensa.
En algunas ocasiones, las pruebas dejan al descubierto brechas importantes.
Una serie de simulacros de menor escala coordinados por el Departamento del Tesoro, llamados Hamilton Series, hicieron notar un problema hace tres años. Un ataque a Sony, atribuido a Corea del Norte, había filtrado correos electrónicos y datos de naturaleza delicada de la empresa poco tiempo antes, lo cual ocasionó la pérdida de enormes secciones de la red de Internet de Sony.
Los reguladores se preguntaron si un banco, en especial uno no muy grande, podría recuperarse si sucediera algo similar. Quienes participaron en el simulacro salieron muy preocupados.
“Hicimos conciencia de que necesitábamos agregar otra capa a nuestra seguridad”, afirmó John Carlson, jefe de personal del principal grupo de coordinación de ciberseguridad de la industria, Financial Services Information Sharing and Analysis Center.
Poco tiempo después, el grupo comenzó a construir un nuevo sistema de seguridad con el nombre Sheltered Harbor, que comenzó a operar el año pasado. Si un miembro de la red sufre la afectación o destrucción de sus datos, otros pueden actuar para recuperar sus registros guardados y restaurar el acceso básico de los clientes a sus cuentas en un plazo de uno a dos días. Todavía no ha sido necesario utilizarlo, pero ya cubre casi el 70% de las cuentas de depósitos de Estados Unidos.
También en México
Los bancos más grandes organizan sus propios simulacros de ataque internos, varios al año, para identificar sus puntos vulnerables y mantener a tono sus acciones de intervención inmediata.
“Es la idea de la memoria corporal”, señaló Thomas J. Harrington, director de Seguridad de la Información en Citigroup, quien trabajó 28 años para el FBI.
En la industria financiera, el temor generalizado es que se repita la violación de datos que afectó a Equifax el año pasado, a mayor escala.
Algunos hackers robaron información personal, incluso números de Seguridad Social, de más de 146 millones de personas. Como consecuencia del ataque, el director general y otros tres altos directivos de la empresa perdieron su trabajo. No se ha dado a conocer al público en general quién robó esos datos ni qué hicieron con ellos. El buró de crédito ya ha gastado 243 millones de dólares para resolver el problema.
Nyman tiene la responsabilidad de garantizar que nada parecido suceda en Mastercard. Mientras recorre el centro de fusión de la empresa, describe el trabajo del equipo con lenguaje coloquial militar. Describe su enfoque de acción ofensiva con un término que hace referencia a los momentos previos a la explosión de una bomba. Mediante la detección de puntos vulnerables y ataques cibernéticos frustrados, los analistas pretenden evadir una explosión similar a la que sufrió Equifax.
El problema es que los ataques son constantes. Durante nuestra conversación, el contador suspendido sobre su hombro registró unos ataques más a los sistemas de Mastercard. El total en lo que va del año supera los veinte millones.
TAMBIÉN TE PUEDE INTERESAR:
