¡Ratones arriba! Cómo los bancos se protegen de las nuevas amenazas de los ciberdelincuentes
La banca es un negocio basado en la confianza. Los clientes depositan sus ahorros en los bancos con la tranquilidad de que dejan su dinero en el lugar más seguro. Así lo reflejan informes como el del Banco de Pagos Internacionales o Capgemini que aseguran que la mayoría de los usuarios cree que las entidades financieras son 100% seguras. Para hacer frente a esa responsabilidad, el concepto de seguridad bancaria ha evolucionado y la ciberseguridad ha tomado un papel protagonista pasando de ser un problema puramente tecnológico a formar parte de la agenda de los consejos de administración.
Las prioridades que tiene la ciberseguridad en los bancos son amplias y de diversa índole: desde aspectos más tecnológicos, como proteger los sistemas, la información y los datos de la organización frente a ataques digitales hasta otros aspectos personales, como proteger a los empleados, clientes y a la sociedad en general de posibles vulnerabilidades digitales. Una cuestión fundamental que rodea a esta práctica, es la protección de las finanzas de los clientes, ya que depositan su confianza, en el caso en BBVA, para que salvaguarde la integridad de sus activos económicos. Además, la reputación de la organización es otro de los elementos a tener en cuenta, debido a que está muy vinculado a la tranquilidad, credibilidad y el prestigio que los empleados, clientes y la sociedad otorgan a la entidad bancaria.
Desde hace unos años, hemos visto cómo la ingeniería social, que es una de las principales técnicas de engaño y manipulación (unida a diferentes habilidades sociales) que utilizan los ciberdelincuentes para robar información confidencial o dinero de los clientes, ha experimentado un gran crecimiento, sobre todo a partir de 2019. Hoy en día se ha convertido en uno de los riesgos más destacados en todo tipo de organizaciones. Este incremento viene de la mano con el desarrollo masivo del comercio electrónico, que manifestó un crecimiento exponencial durante y después de la pandemia, y que facilitó la proliferación de este tipo de fraudes; y de los procesos de digitalización en los que están inmersos las diferentes industrias.
En un actual entorno donde los delitos financieros van desde el robo muy básico, hasta una operación a gran escala dirigida por una delincuencia organizada que puede llegar a tener un carácter transnacional, se pone de manifiesto la necesidad de integrar una serie de funciones que van más allá de las que tradicionalmente se han definido como prevención del fraude. Tal es el compromiso de BBVA, que además del equipo de seguridad, ha sido la primera entidad financiera en crear una Unidad de Prevención del Crimen Financiero para brindar un servicio más proactivo, que centre todos los esfuerzos en la protección de los clientes, a la vez que se evite el uso de las entidades financieras para fines ilícitos.
Todo ello, unido a una tecnología de vanguardia, permite transformar la manera en la que se gestiona la seguridad, entre la que cabe destacar la reciente alianza con otros bancos como Santander y La Caixa para luchar contra el crimen financiero, o el talento especializado y los equipos de alto rendimiento con los que cuenta BBVA.
Otras medidas fundamentales para combatir el fraude y al cibercrimen son principalmente tres: en primer lugar la formación, que tiene como principal objetivo ofrecer un conocimiento teórico-práctico para detectar posibles engaños y conocer las técnicas y métodos empleados por los ciberdelincuentes; por otro lado la concienciación, que busca incrementar las buenas prácticas y habilidades aplicadas por lo usuarios para aumentar la seguridad del entorno; y en tercer lugar el entrenamiento, que plantea a los usuarios situaciones que podrían ser reales (aunque simuladas) para poner en práctica sus conocimientos en la detección de ataques de la ingeniería social (phishing, vishing, entre otras).
En este sentido, BBVA ha establecido un programa de entrenamiento para los propios empleados, en el que de manera periódica reciben ‘ataques simulados de phishing’, lo que permite a los empleados estar al día de los ataques que suceden poniendo en práctica los conocimientos y habilidades adquiridas. Asimismo, el banco puede medir la evolución del nivel de riesgo al que una entidad bancaria está expuesta en cada momento. Hay que ser conscientes de que las medidas puramente técnicas no son capaces de mitigar absolutamente todo el riesgo, ya que en la mayor parte de los ciberataques (entre el 85 y el 95% según diferentes estudios) incluye la participación de un factor humano. A día de hoy, el 95,44% de los empleados de BBVA cuenta con conocimientos básicos de ciberseguridad, lo que corresponde a 102.000 empleados aproximadamente.
Desde hace más de diez años, el banco lleva implementando una serie de programas de concienciación y formación que abarcan, no solo a los empleados y a sus familias, sino también a los clientes en general. BBVA lo que pretende es compartir de una forma masiva ese ‘know how’ y toda su experiencia para poner a disposición de la sociedad el conocimiento acumulado y, a través de una serie de itinerarios formativos en la plataforma internacional Coursera, evitar que las personas se vean involucradas en un problema digital. Con este lanzamiento abierto y gratuito para cualquier persona, se ofrecen contenidos específicos y pioneros de ciberseguridad al alcance de todo el mundo; uno de los pilares fundamentales de esta organización es compartir el conocimiento para aprender juntos y así poder crear oportunidades para todos. Solo un ejemplo, desde hace dos años, más de 22.000 personas, clientes y sociedad en general están formándose en ciberseguridad a través de estos cursos.
BBVA se ha convertido en una de las primeras entidades financieras en el mundo en compartir con la sociedad su conocimiento en materia de ciberseguridad a través de esta plataforma. En esta línea, el banco trata de ofrecer a los clientes una concienciación centrada en acciones concretas, basada en la aplicación móvil de BBVA, como un entorno seguro y contextualizado en el momento de interacción del usuario y los medios digitales.
A parte de la formación es importante que los clientes conozcan las medidas de seguridad que BBVA pone a su disposición a través de los canales digitales, entre las que destacan:
- El uso de biometría para asegurar que sólo el usuario legítimo va a ser capaz de acceder a la información y operar.
- Las funcionalidades de encendido y apagado de tarjetas, que permiten reducir el riesgo de utilización fraudulenta si se produce algún fallo de seguridad en un comercio.
- Las alertas de operaciones, que permiten detectar cualquier anomalía y, en caso de tratarse de un fraude, impedir que se produzca o impedir su reiteración.
- Los códigos CVV dinámicos de las tarjetas Aqua proporcionan un nivel de seguridad adicional en compras online.
La ciberseguridad en los bancos se ha convertido en una capacidad básica y muy requerida en el mercado laboral, pero también en el ámbito personal. La aceleración de la transformación digital ha supuesto un incremento de la superficie de exposición al riesgo de personas y empresas, con la aparición de nuevas amenazas, que cada vez son más sofisticadas.
También hay que tener en cuenta la escasez de talento especializado en ciberseguridad, por eso los bancos tienen que disponer de las mejores medidas para la captación y retención de estos especialistas. BBVA tiene unos ambiciosos planes de formación, que incluyen tanto cursos y certificaciones externas de máximo prestigio SysAdmin Audit, Networking and Security (SANS) como la formación interna impartida por los propios profesionales. Este tipo de formación puntera es la principal palanca para retener y desarrollar a los expertos en ciberseguridad, así como para captar y atraer al mejor talento.