En la banca mundial, las apps y la seguridad no se mezclan
Desde febrero pasado, docenas de bancos en todo el mundo dieron a conocer una serie de robos relacionados con Swift, el sistema internacional de mensajería financiera.
Por: Redacción Gestion.pe
(Bloomberg) Los más grandes robos a bancos ocurren desde adentro, al mejor estilo de la película “The Manchurian Candidate”, en la que un agente, tras ser sometido a un lavado de cerebro, se infiltra en una organización y recaba información confidencial hasta el momento de actuar. Tal fue el caso del atraco al banco de Bangladesh.
En febrero pasado, el banco central de Bangladesh reveló que había sido víctima de un robo de US$ 81 millones. (A decir verdad, fue el Philippine Daily Inquiry quien dio la noticia; el banco bangladesí hubiese preferido mantener la información en secreto mientras durase la investigación).
Desde entonces, docenas de bancos en todo el mundo dieron a conocer una serie de robos relacionados con Swift, el sistema internacional de mensajería financiera. La semana pasada, Swift reveló nuevos ciberataques que involucraron a su sistema. En cada caso, las computadoras de los bancos fueron manipuladas para dar curso a solicitudes de transferencias no autorizadas.
Los observadores rápidamente denominaron a estos incidentes hackeos Swift, ¡pero Swift es una red de comunicaciones! Culpar a Swift por los robos a los bancos es como responsabilizar a los correos electrónicos por los mensajes basura.
Swift sostiene que su red y sus servicios centrales de mensajería no fueron afectados. Quizás sea verdad. Los bancos comprometidos operaban con un paquete de software llamado Alliance Access, que provee una interfaz a la red Swift.
La guía de usuario de Swift Alliance Access describe a la interfaz del siguiente modo: Los paquetes que utilizan el servidor integrado de la plataforma web de Alliance son aplicaciones GUI de cliente liviano que solo requieren de Internet Explorer o Firefox en las computadoras de escritorio.
¡Qué bien! Los únicos requisitos del sistema son los dos navegadores disponibles más utilizados. ¿Le gustaría recomendar a sus clientes que utilicen Windows 95 en estas situaciones?
Además del hecho de que los activos de un banco central pueden ser controlados convenientemente desde un navegador de Internet, la naturaleza liviana del software Swift significa que su máquina anfitriona puede servir como cliente de correo electrónico, centralizador de sitios de pornografía o consola para el juego World of Warcraft. ¿Acaso sorprende que se haya encontrado malware (código dañino) en las computadoras manipuladas de los bancos?
Desde el punto de vista de un cliente de banco, Swift sería algo como esto:El dispositivo USB es un Módulo de Seguridad de Hardware –un dispositivo extraíble que almacena información de autenticación para mensajes de pagos-. Los mensajes a través de Swift no pueden crearse sin este dispositivo. Frente a los controles están los usuarios humanos y… ¡las aplicaciones!
Me encantan las apps. Tengo muchas en mi teléfono. Al igual que Apple, Swift tiene una tienda de aplicaciones con una serie de complementos diseñados para automatizar y enriquecer la experiencia Swift.
Lo maravilloso de las apps es la democratización en la creación de software. Para ello, Swift ofrece un conjunto de herramientas de desarrollo de software, una serie de bibliotecas y ejemplos de códigos para que cualquier desarrollador de aplicaciones cree programas destinados a interactuar con la red Swift. Para quienes necesiten asistencia adicional, Swift ofrece incluso cursos de capacitación que ofrecen tutoriales paso a paso sobre cómo escribir códigos intrusivos. Las normas de mensajería y las reglas de validación están disponibles online.
La combinación de una máquina de uso general y la disponibilidad de aplicaciones Swift de tipo “hágalo usted mismo” hacen que a Swift le resulte imposible garantizar la integridad de su red de comunicaciones. Aunque Swift convirtiese su sistema de mensajes en un Fort Knox virtual, la solución es inútil cuando los clientes no pueden cerrar la puerta de entrada.
A los investigadores les falta identificar si las instrucciones de pago fraudulentas fueron emitidas por un malware o una aplicación nociva o por empleados bribones: todo lo que saben es que una computadora controlada por el banco suministró a la red de pagos instrucciones y credenciales válidas. Un malware borraba las entradas de transacciones en la computadora local, lo que evitaba la detección inmediata.
Los expertos en seguridad se apresuran en señalar que los bancos deberían tener una mejor supervisión y monitoreo, una gestión de acceso más estricta y una autenticación multifactorial que abarque a numerosas personas en diferentes máquinas.
Pero eso es lo opuesto de Swift. La única razón de ser de Swift es mejorar la eficiencia en las transacciones, ¡de ahí su nombre Swift (rápido, en inglés)! Su modelo de negocio consiste en proporcionar soluciones preconfiguradas para mensajes de transacciones financieras. Cada cliente está a cargo de su propio manejo del riesgo.
Swift es dominada desde hace mucho tiempo por grandes bancos de Occidente con fuertes medidas de seguridad. Cuando los bancos más pequeños de mercados emergentes comenzaron a incorporarse a la red en la década de 1990, los operadores de Swift dieron por sentadas las prácticas de seguridad de los grandes bancos y no advirtieron que los nuevos miembros carecían de la experiencia en gestión interna de amenazas.
Y como los bancos más grandes básicamente operan entre sí, no esperan recibir mensajes potencialmente fraudulentos. El Banco de la Reserva Federal de Nueva York procesa diariamente cientos de miles de mensajes de pagos de Swift, en su mayoría ejecutados en forma automática.
El problema con las soluciones de seguridad es que suelen implicar trabajo adicional. Las entidades financieras gastan miles de millones en conciliaciones administrativas, buena parte de las cuales están relacionadas con la detección de fraudes. Vivimos en una época en que queremos automatizar las cosas, darles nuestros trabajos a los robots y poner todo en tecnología blockchain (o de cadena de bloques). Este objetivo no concuerda con el hecho de que la interconectividad mundial ha aumentado la necesidad de un mayor nivel de ciberseguridad. Pero cuando se trata de trasladar la riqueza de una nación por todo el mundo, la comodidad no es una virtud.
Esta columna no necesariamente refleja la opinión de la junta editorial o de Bloomberg LP y sus dueños.