El phishing es una de las amenazas de ciberseguridad más habituales en el sector bancario

Netskope Threat Labs acaba de publicar su último estudio, centrado en el sector bancario, que revela que el phishing es una de las amenazas de ciberseguridad más habituales en este sector donde el fraude financiero es el principal motivo que impulsa a los delincuentes a atacarlo.

El estudio se centra en tres tipos de amenazas en el sector bancario (ingeniería social, distribución de contenidos maliciosos y seguridad de datos GenAI) y revela cuáles son los principales grupos de atacantes que actúan contra las entidades financieras y sus clientes.

Las principales conclusiones son las siguientes:

Ingeniería social

• El phishing es la principal táctica de ingeniería social, utilizada para robar datos de cuentas bancarias y credenciales de acceso al sistema bancario del personal de este ramo. Tres de cada 1.000 personas que trabajan en el sector bancario hacen clic en un enlace de phishing cada mes. Con más de 158.000 empleados de banca en España a finales de 2022, esto significa que más de 470 empleados de banca en España podrían hacer clic en un enlace de phishing cada mes en el trabajo.
• En lugar de dirigirse a aplicaciones en la nube, como es común en otros sectores, los delincuentes crean páginas de phishing a medida concebidas para imitar los sitios web de las instituciones bancarias en cuestión y robar información sobre cuentas y credenciales de inicio de sesión para cometer fraudes financieros.

Seguridad de los datos generados por genAI

• Al tratarse de una actividad muy regulada, el principal tipo de datos sensibles que el personal de la banca carga en las aplicaciones genAI son los datos confidenciales (46 %), seguidos de la propiedad intelectual (23 %), las contraseñas y claves (20 %) y el código fuente (11 %).
• Sin embargo, el uso de genAI en el sector es inferior al de otras industrias: el 87 % de los bancos utiliza genAI, frente al 97 % de media en el resto de las industrias.
• Los bancos bloquean a sus empleados el uso de aplicaciones genAI en mayor medida que otros sectores: el 93 % de los bancos bloquea al menos una aplicación genAI, frente al 77 % de otros sectores.
• Las entidades del sector bancario también cuentan con medidas de control más estrictas para el uso de aplicaciones genAI que otros sectores. La prevención de pérdida de datos (DLP) es la forma más popular de control de genAI, con más del 50 % de todas las instituciones del sector utilizándola para restringir el flujo de información sensible a las aplicaciones genAI.

Entrega de contenidos maliciosos

• Los grupos criminales rusos son los actores de amenazas más propensos a atacar al sector bancario, en particular los grupos TA577 e Indrik Spider.
• Las cinco familias de malware más utilizadas recientemente en el sector bancario son Downloader.SLoad (también conocido como Starslord), Infostealer.AgentTesla, Trojan.FakeUpdater, Trojan.Parrottds y Trojan.Valyria.

Ray Canzanese, director de Threat Labs de Netskope, ha comentado sobre los resultados del estudio: “La banca destaca por ser una de las industrias que mejor controla el riesgo de los datos asociados a las apps genAI. Bloquean de forma más agresiva las aplicaciones que carecen de un propósito comercial legítimo y utilizan DLP para controlar lo que se puede enviar a aplicaciones aprobadas. El resultado ha sido una adopción más estratégica y moderada de la tecnología genAI, lo que redunda en una mayor seguridad de los datos. Las organizaciones de otros sectores pueden mirar hacia la banca como ejemplo de cómo controlar con éxito la genAI».

«Los criminales que atacan al sector bancario son principalmente aquellos orientados al fraude financiero, que utilizan la ingeniería social y los infostealers para tratar de obtener los datos de las cuentas bancarias y las credenciales de acceso a los portales bancarios. Aún vemos que algunos delincuentes intentan sabotear operaciones, robar datos confidenciales y desplegar ransomware, pero en mucho menos número que el de los estafadores financieros».

Netskope Threat Labs recomienda a las entidades financieras que revisen su postura de seguridad para asegurarse de que están adecuadamente protegidas frente a estas amenazas:

• Inspeccionar todas las descargas HTTP y HTTPS, incluido todo el tráfico web y en la nube, para evitar que el malware se infiltre en la red. Los clientes de Netskope pueden configurar su Netskope NG-SWG con una política de protección frente a amenazas que se aplique a las descargas de todas las categorías y se aplique a todos los tipos de archivos.
• Asegurarse de que archivos de alto riesgo, como los ejecutables y los archivos comprimidos, se inspeccionan minuciosamente mediante una combinación de análisis estáticos y dinámicos antes de ser descargados. Los clientes de Netskope Advanced Threat Protection pueden aplicar una política de Patient Zero Prevention para retener las descargas hasta que se hayan inspeccionado por completo.
• Configurar políticas para bloquear descargas de aplicaciones e instancias que no se utilizan en su organización para reducir su superficie de riesgo a sólo aquellas aplicaciones e instancias que son necesarias para el negocio.
• Configurar políticas para bloquear las cargas a aplicaciones e instancias que no se utilizan en su organización para reducir el riesgo de exposición accidental o deliberada de datos por parte de personas de dentro o el abuso por parte de atacantes.
• Utilizar un sistema de prevención de intrusiones (IPS) que pueda identificar y bloquear patrones de tráfico malicioso, como el tráfico de comando y control asociado al malware más popular. El bloqueo de este tipo de comunicación puede evitar daños mayores al limitar la capacidad del atacante para realizar acciones adicionales.
• Utilizar la tecnología Remote Browser Isolation (RBI) para proporcionar protección adicional cuando sea necesario visitar sitios web que pertenezcan a categorías que puedan presentar un mayor riesgo, como dominios recién vistos y recién registrados.

La información presentada en este informe se basa en datos de uso anónimos recopilados por la plataforma Netskope One relativos a un subconjunto de clientes de Netskope con autorización previa.