Las tecnologías innovadoras están ayudando a incentivar un aumento sin precedentes en las expectativas del consumidor. Para los negocios hoy, aprovechar las tecnologías emergentes en orden a re-definir productos, servicios, y experiencias del consumidos es a menudo el nuevo costo de hacer negocios. La inversión en tecnología, sin embargo, puede orientar más que el solo potencial de utilidades. Las iniciativas amplias alrededor de analíticas del cliente, integración en la nube, dispositivos conectados, y tecnología digital para el pago es probable que dejen a los negocios creciente mente expuestos ante las amenazas cibernéticas.
Algunas amenazas, tal como el fraude de tarjeta de crédito y robo de identidad, se están volviendo muy familiares en el mercado del presente y pueden ser significativamente perjudiciales para la confianza del cliente y la reputación de la marca. Otros riesgos, tales como los relacionados con seguridad alimentaria y robo de propiedad intelectual, parece que se están escalando, llevando a muchos negocios (y a sus clientes) a territorio no familiar.
Los negocios que tienen contacto directo con los clientes, tales como minoristas, restaurantes, y compañías de productos de consumo, deben considerar tomar las precauciones adecuadas para mitigar al riesgo cibernético durante este período de transformación digital. Su creciente huella de tecnología, junto con la aceleración del ritmo del cambio en los negocios, puede tener un impacto dramático en la profundidad y complejidad de los riesgos cibernéticos que los negocios de consumo probablemente necesitarán abordar en la próxima década.
Las instituciones financieras mexicanas vivieron recientemente el impacto del riesgo cibernético, con ataques a cinco grandes bancos del país. Este tipo de ataques ya se habían presentado con anterioridad, cuando hackers robaron seis millones de dólares a través del sistema SWIFT a un banco ruso, dos millones de dólares a un banco de la India y 81 millones de dólares al banco central de Bangladesh.
En México, existe un procedimiento llamado SPEI (Sistema de Pagos Electrónicos Interbancarios), el cual permite realizar transferencias electrónicas entre cuentas de diferentes bancos. De acuerdo con el Banco de México (Banxico), los ataques consistieron en la fabricación o inyección de órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago.
El proceso de ataque identificado en mayo de 2018 por Banxico fue el siguiente:
Los atacantes vulneran la infraestructura tecnológica de los participantes y generan en sus sistemas órdenes de transferencias ilegítimas, con cargo a las cuentas de los participantes, en alguna etapa del proceso previa a su conexión al SPEI.
Las órdenes de transferencias siempre incluyen el número de la cuenta emisora y de la receptora. En el caso de las generadas ilegítimamente, los números de las cuentas emisoras son inventados y no corresponden a cuentas de clientes, mientras que las cuentas receptoras son reales. La inserción de estas órdenes de transferencia se realizó en una etapa del proceso ejecutado en los sistemas de los participantes que no contaban con controles para asegurar que dichas órdenes fuesen legítimas.
Los sistemas de los participantes que fueron atacados firmaron y enviaron al SPEI las órdenes de transferencias ilegítimas validadas como si fueran legítimas.
El SPEI, al recibir las órdenes de transferencias, revisa que estén firmadas por los participantes, las procesa y abona el monto respectivo en la cuenta que le lleva al participante receptor.
El participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor (en este caso, la cuenta especificada en la orden de transferencia de pago ilegítima).
Finalmente, los recursos ilegítimos son retirados mediante disposiciones de efectivo.
https://www2.deloitte.com/content/dam/Deloitte/pe/Documents/risk/Riesgo%20cibernético%20negocios%20consumo%20(Junio%202017)%2078060.pdf
No hay comentarios.:
Publicar un comentario