'Hackers' contra 'hackers' en BBVA por la ciberseguridad
Adoptar todas las medidas de seguridad necesarias ante una realidad cibercriminal cada vez más polivalente es la principal misión del equipo de Operaciones de Seguridad de BBVA. Para ello, cuenta con equipos altamente especializados que se encargan de valorar las medidas y procesos de seguridad implantados en el Grupo, a la vez que vigilan, detectan y responden ante cualquier posible riesgo o amenaza de seguridad. Cientos de ‘hackers’ componen este equipo de manera global, organizados en equipos ofensivos, defensivos y transversales.
Cuando pensamos en profesiones relacionadas con el sector financiero, difícilmente se nos viene a la mente la de ‘hacker’. Las funciones y perfiles que se requieren en un banco han evolucionado mucho en los últimos años, debido entre otras razones, al proceso de digitalización del sector. ¿Qué hace un equipo de ‘hackers’ en BBVA? ¿Cómo se organiza? ¿Cuáles son sus principales funciones? ¿Qué perfiles tienen este tipo de profesionales?
Los ‘hackers’ o equipos altamente especializados de operaciones de seguridad constituyen un elemento crucial para mantener las defensas ante posibles ciberataques. El equipo de BBVA se encarga de realizar las acciones necesarias, preventivas, proactivas y reactivas, para mantener la seguridad del banco. Estos equipos se componen de profesionales multidisciplinares que se organizan siguiendo las directrices de ciberseguridad del marco NIST, acrónimo de Instituto Nacional de Estándares y Tecnología de EE.UU (National Institute of Standards and Technology, en inglés), referencia que ayuda a administrar y reducir los riesgos de cualquier entidad, así como proteger sus redes y datos.
Los ‘hackers’ en BBVA se organizan por equipos ofensivos, defensivos y transversales que dan soporte a ambos:
Equipos ofensivos: Red Team y Hacking Ético
Son los equipos que emulan ciberataques del mismo modo en el que operan los ciberdelincuentes reales, utilizando sus mismas tácticas, técnicas y procedimientos. Al año ejecutan entre 10 y 12 misiones en diferentes países en los que tiene presencia BBVA.
El Global Red Team tiene como objetivo reconocer el perímetro del Grupo para identificar debilidades que podrían utilizar terceros en su beneficio. Aunque su labor a simple vista resulta sencilla, lleva un completo procedimiento de reconocimiento inicial de la situación para analizar amenazas de mayor riesgo, elaboración de una cuidada planificación que puede realizarse durante meses y que culmina con la ejecución del ataque.
Dentro de los equipos ofensivos también está el Global Ethical Hacking que realiza auditorías técnicas sobre los entornos e infraestructura del Grupo BBVA. Actualmente revisa más de 200 aplicaciones y miles de dominios y sistemas, tanto internos como externos. El objetivo es identificar debilidades de forma manual y apoyándose en automatizaciones. Es decir, se realizan análisis para determinar y explotar vulnerabilidades en todos los ámbitos aplicables de forma ofensiva para poder remediar las mismas y prevenir potenciales riesgos.
Blue Team, equipos defensivos de detección y respuesta
El Blue Team es el responsable de defender todos los sistemas de información del banco a posibles ataques mediante la rapidez en la detección y respuesta para reducir al mínimo el impacto.
Para la monitorización y detección existen equipos como el Global CERT, responsable de la identificación, análisis y respuesta, inicialmente, a cualquier evento de seguridad que pueda afectar al Grupo y que pueda tener relación con empleados, clientes e infraestructura del banco. En 2022, los incidentes gestionados aumentaron un 40% frente al año anterior, siendo el 32% incidentes de ‘phishing’ que fueron cerrados por el Global CERT.
Este equipo actúa como frontal único con una respuesta rápida y ágil en 24x7, facilitando la llegada a todo el personal que requiera reportar o consultar cualquier evento relacionado con la ciberseguridad.
Adicionalmente, el banco cuenta con un equipo de Threat Hunting, que añade la capa activa de búsqueda de amenazas que hayan podido pasar desapercibidas en los sistemas de monitorización y alerta. Con toda esta información, este equipo genera e implementa controles de seguridad que permitan detectar futuros ataques desde Global CERT.
En cuanto a los equipos de respuesta, son los encargados de la contención y mitigación de eventos detectados, de las investigaciones forenses para identificar la causa raíz de los incidentes relevantes producidos y de la adecuada atención y presentación de evidencias digitales ante posibles requerimientos legales. En 2022 se ejecutaron más de 5.000 acciones de prevención sobre activos del Grupo BBVA, más de 2.000 peticiones de retirada de contenido en redes sociales y 7.500 requerimientos de evidencias.
Este equipo, una especie de CSI del cibercrimen, diseña también los procesos de gestión, registro y comunicación de incidentes, desarrolla y prueba los protocolos de actuación y respuesta con los diferentes ‘stakeholders’ e identifica las lecciones aprendidas como parte de los incidentes gestionados. Además, realiza los análisis de trazabilidad y procesos de mejora continua que ayudan a eficientar la fase de respuesta a los incidentes.
Inteligencia y Plataforma de Ciber, equipos transversales
Para completar esta brigada frente a los cibercriminales, el banco cuenta con un par de equipos de ‘hackers' transversales: Inteligencia y Plataforma de Ciber. El primero, se encarga de poner foco en las tendencias y actuales amenazas, marcando una priorización de riesgos para que todos los equipos de Operaciones de Seguridad lo integren en sus procesos y dirijan los esfuerzos hacia una defensa común. Este equipo realiza una recopilación diaria de datos a partir de la monitorización de más de 200 fuentes de información, RRSS y foros/blogs gestionados y más de 1.000 canales distintos.
Con ello, se generan más de 300 informes de cobertura global que ayudan a dar seguimiento tanto al panorama actual, a nivel de inteligencia de amenazas, como a diversos conflictos o incidentes de interés.
Pero para ello es necesario que se cuente con las mejores herramientas y soluciones. El equipo de Plataforma de Ciber es el encargado de mejorar, eficientar y automatizar los procesos del resto de bloques mediante la configuración y operación del conjunto de herramientas que utilizan todos los equipos de Operaciones de Seguridad.
Las herramientas van desde la analítica avanzada de datos o inteligencia artificial. Existen alrededor de 300 reglas de detección propias implementadas hasta herramientas de automatización y orquestación de acciones de remediación de ataques para ayudar a los demás equipos a dar una respuesta más inmediata.
Los equipos de Security Operations están organizados por perfiles específicos, expertos en la identificación de riesgos y vulnerabilidades, en la protección de los sistemas e infraestructuras, en la detección y respuesta ante cualquier tipo de incidente, en la gestión de las plataformas de seguridad con el objetivo de mejorar la eficiencia del ecosistema y por último, expertos en la inteligencia que en definitiva permite entender a los atacantes y tomar decisiones al respecto.
Cada uno de estos perfiles tan específicos requiere de una formación experta, tanto para su desarrollo, cómo para mantenerse actualizados. BBVA dispone de varias palancas formativas en su campus entre las que se encuentra contenido experto obtenido internamente por los propios empleados del área, disponible en más de 90 cursos formativos; plataformas de entrenamiento ante ciberataques para cubrir y reforzar las habilidades técnicas en cualquier ámbito relacionado con la ciberseguridad (entre estas plataformas se encuentra la más potente basada en Sans (www.sans.org), el mayor certificador de referencia en materia de ciberseguridad).
Pero además de esta formación específica, existe otro tipo más de formación más genérica que tiene como fin fomentar comportamientos y hábitos seguros entre todos los empleados del Grupo y la sociedad en general, ya que BBVA fue la primera entidad financiera en el mundo en compartir su conocimiento en materia de ciberseguridad a través de Coursera, plataforma de aprendizaje que cuenta con 97 millones de alumnos registrados.
En los últimos años, el talento tecnológico se ha convertido en uno de los más demandados en el mercado laboral. Cada vez es más habitual asumir que entidades financieras o de cualquier otro sector reclaman perfiles STEM (Science, Technology, Engineering and Mathematics), relacionados con el desarrollo de software, análisis de datos o especialidades de ciberseguridad, cómo las expuestas.