#ElPerúQueQueremos

Caso: Banco del Crédito del Perú y USB Malicioso

Publicado: 2017-06-29

Hace unos días se dio la noticia que una cajera del Banco de Crédito del Perú (BCP) ha podido mediante un USB acceder y transferir hasta 5 Millones de Soles (Según las diversas fuentes periodísticas). Obviamente es algo muy grave, y surge una pregunta ¿Los sistemas informáticos de los Bancos están asegurados adecuadamente? 

Algo que la mayoría de personas siempre dicen es que las entidades financieras son las empresas que más invierten en seguridad informática, que son las más seguras, que es muy difícil que un Hacker pueda ingresar, etc. En las investigaciones preliminares hemos visto como mediante un USB han podido burlar la seguridad de una entidad financiera y han podido llegar a transferir una importante suma de dinero. Pero hay algo más atemorizante, imagínense entonces como estarán el resto de empresas que invierte menos en seguridad informática. La verdad es que en los últimos años ha quedado demostrado que existe un gran vacío con respecto a la seguridad informática en las estaciones de trabajo. Por lo general las empresas invierten la mayoría de su presupuesto de seguridad informática en todo lo relacionado a los Servidores, la red interna y el perímetro de la red; pero lo que respecta a las estaciones de trabajo solo piensan en el Antivirus y por desconocimiento no aplican Hardening al sistema operativo en esas computadoras. En el caso particular del BCP (en el cual aparentemente se utilizó un USB) si era factible evitar el ataque, para eso se debió haber asegurado en forma adecuada la computadora, aplicando “Hardening” al sistema operativo. El Hardening es el proceso de asegurar y blindar un sistema, reduciendo sus vulnerabilidades y previniendo futuras amenazas, como ataques de software malicioso y/o ciberdelincuentes. Para esto se debe aplicar políticas de seguridad a nivel del sistema operativo, implementar herramientas de seguridad, configurar adecuadamente un firewall, verificar el funcionamiento del antivirus, bloquear ejecución de software no autorizado, bloquear el acceso de comandos que puedan poner en riesgo la computadora, etc.

El Hardening para estaciones de trabajo se puede aplicar de dos formas. Tenemos en primer lugar al Hardening orientado al Hacking, que usualmente los administradores de red tratan de aplicar en sus servidores para prevenir ataques de Hackers, pero la realidad nos dice que son muy pocas las empresas que realizan ese proceso; un detalle importante a enfatizar es que casi nunca este proceso de Hardening es aplicado a estaciones de trabajo. Por otro lado tenemos el Hardening orientado al Malware, el cual es un tema que no es muy conocido; y muchos equivocadamente piensan que basta con tener instalado un software antivirus. La idea es realizar todo un proceso manual de blindaje del sistema operativo, y para esto es de vital importancia entender el funcionamiento de los Malware. Obviamente el giro del negocio de las empresas no es “Seguridad Informática” o ser “Especialistas en Malware” es por eso que deben ser asesoradas en estos temas por especialistas en el rubro, y no solo por vendedores de Antivirus. Además existen muchos encargados de la Seguridad informática en las empresas que piensan que están aplicando Hardening, pero la realidad nos demuestra que no lo hacen en forma adecuada, y casi nunca lo orientan a la protección contra Malware.

En el caso BCP se pudo haber evitado el ataque, es inconcebible que un usuario del banco (En este caso una cajera) tengan permisos para poder ingresar un USB y que mediante ese USB se ejecute “aplicaciones” o “comandos” que puedan poner en riesgo la información de esa entidad financiera (Según lo que hasta el momento se ha informado y la declaración de la cajera). Se debe aplicar en forma inmediata un proceso de Hardening a todas las estaciones de trabajo del Banco, y lo mismo debe realizarse en las demás instituciones financieras; también se debe aplicar Hardening a todas las empresas y compañías que quieran protegerse realmente. Obvio que esto va a requerir un entrenamiento y toda la implementación va a tomar un tiempo, pero se debe aplicar lo más pronto posible para asegurar en forma adecuada la información de la empresa.

Ing. Mario Chilo
www.laboratoriovirus.com


Escrito por

Laboratorio Virus

Laboratorio Virus se dedica a la Investigación de Software Malicioso (Virus, Gusanos, Troyanos), Computación Forense y Seguridad Informática


Publicado en

Laboratorio Virus

Laboratorio Virus se dedica a la Investigación de Software Malicioso (Virus, Gusanos, Troyanos), Computación Forense y Seguridad Informática