TIBER-EU, la hora de que los bancos cierren la caja

El BCE se ha propuesto reforzar la ciberseguridad de los bancos a través del proyecto TIBER-EU a la vista del creciente número de ciberataques a entidades financieras

Las grandes instituciones mundiales llevan años con la mosca detrás de la oreja. El imparable crecimiento de los ciberataques a los bancos y entidades financieras se ha vuelto mucho más que una amenaza aislada. El temor a que el incidente adquiera una dimensión global y desestabilice el sistema ha tomado carta de naturaleza. Tanto, que en Europa, sin ir más lejos, el Banco Central Europeo ha lanzado el proyecto TIBER-EU.

El European Framework for Threat Intelligence-based Ethical Red Teaming (o TIBER-EU) es, seguramente, la iniciativa más ambiciosa en materia de ciberseguridad activada por el regulador en toda su historia.

HSBC, JPMorgan, Equifax el Banco Central ruso y el de Bangladesh, Tien Phon Bank, Banco del Austro, la Autoridad Financiera de Polonia, la Comisión Bancaria y de Valores de México… La lista de bancos e instituciones financieras atacadas por actores hostiles en los últimos años es interminable. El fenómeno, a la vista está, es coral. Y no para de crecer.

Tiene lógica. Allí donde hay dinero estarán siempre los malos.

Miedo a la crisis sistémica

La actual presidenta del BCE, Christine Lagarde, ya advirtió hace tiempo que un ciberataque podría desencadenar una grave crisis financiera. Una tesis suscrita por el Consejo de Estabilidad Financiera del FMI, cuyo diagnóstico deja poco lugar a dudas:

«Un incidente cibernético importante, si no se contiene adecuadamente, podría perturbar gravemente los sistemas financieros. Incluidas las infraestructuras financieras críticas, lo que tendría consecuencias más amplias para la estabilidad financiera».

Y como el miedo ha sido, desde tiempos inmemoriales, un detonante del cambio, Europa ha decidido dar un paso al frente. ¿Cómo? Invitando a todas las entidades de su sistema financiero a someterse a las pruebas TIBER-EU.

Básicamente, se trata de un enfoque armonizado que combina técnicas de ciberinteligencia con las de servicios de Red Team. ¿En síntesis? Plantea la necesidad de diseñar escenarios de ataque de manera independiente, sin ser estos dirigidos por la entidad sometida al ejercicio, que posteriormente son utilizados para simular ciberataques sofisticados a bancos, bolsas y entidades financieras aprovechando los conocimientos de proveedores externos independientes para desnudar las vulnerabilidades que puedan tener sus sistemas.

Hablamos de ciberataques avanzados. Pruebas muy sofisticadas impulsadas por equipos con amplios conocimientos en el campo de la ciberinteligencia y los servicios de Red Team. En definitiva, una herramienta eficiente y veraz para medir la ciberresiliencia de cualquier entidad.

Es por ello que el BCE ha publicado una guía de contratación de proveedores (TIBER-EU Services Procurement Guidelines) que establece un marco de requisitos para definir qué empresas podrán realizar estas pruebas. Experiencia, solvencia técnica…

Un marco que a priori suscribirán las autoridades monetarias de los respectivos estados miembros. Hace unos días sin ir más lejos, el Banco de España, aprobaba la Guía de Implementación de TIBER-ES, que suscribe uno por uno los fundamentos establecidos desde Bruselas.

Aval de Bruselas

En el caso concreto de los proveedores, las autoridades monetarias no van a prescribir nombres concretos de compañías, pero sí las van a avalar finalmente de forma oficiosa cuando certifiquen la calidad del TIBER-EU. Una empresa como Tarlogic Security, por ejemplo, con amplia experiencia tanto en materia de Red Team como de servicios de Ciberinteligencia, contará seguro con el aval para realizar estos test avanzados.

«Nosotros, de hecho, ya trabajamos con un esquema TIBER en proyectos que realizamos para entidades financieras», señala José Lancharro, el director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic.

Incluso será un valor añadido para las entidades financieras, habida cuenta de su expertise en las dos disciplinas que intervendrán en estos ensayos. «Es que en muchos casos –precisa Jessica Cohen, directora de la división de Ciberinteligencia de Tarlogic-, los bancos van a necesitar dos proveedores distintos: uno para Ciberinteligencia y otro para Red Team. Nosotros tenemos mucha experiencia en estos dos servicios y eso es un activo».

En esta primera fase, las pruebas TIBER-EU serán voluntarias, no obligatorias. Pero todo indica que, en el futuro, pueden acabar en una certificación irrenunciable para mantener el folio bancario.

La propia competencia oculta entre las entidades financieras podría acabar jugando un papel clave en ese camino. «Cuando una tenga un TIBER-EU homologado, el resto de entidades van a ir detrás», vaticina Lancharro.

Cohen apunta en esta misma línea que los propios estados miembros pueden acabar detonando el cambio. De la voluntariedad a la exigencia. Por el carácter transnacional de la banca, pero también por la seguridad de sus propios sistemas financieros. «En el momento que haya un país cuyos bancos cumplan, es muy probable que presionen para que el resto también lo hagan», puntualiza.

TIBER «like» antes que TIBER guay

En lo que sí coinciden ambos es en que la mayoría de bancos van a realizar varias pruebas antes de ir al TIBER-EU homologado. El temor a que el test no arroje resultados óptimos desde el primer momento va a llevarlos a realizar varios ensayos previos para certificar la fortaleza de sus sistemas.

En el fondo, exactamente lo que quiere el Banco Central Europeo.

Difícilmente una entidad va a arriesgarse a sufrir una crisis de reputación derivada de un TIBER-EU que ofrezca malos resultados de sus estructuras de ciberseguridad. De ahí que exista cierto consenso en la hoja de ruta que van a seguir los bancos ahora que el proyecto impulsado por Bruselas empieza a tomar velocidad de crucero.

¿Cómo serán estos test?

Al igual que en el 2009, cuando se creó el marco de los test de estrés para la banca, el punto de partida es técnicamente ambicioso. Bruselas quiere que las pruebas sean sofisticadas y simulen escenarios y amenazas reales. Y para ello aspira a que sean proveedores independientes solventes quienes certifiquen la resiliencia de sus sistemas.

TIBER-EU se dividirá en dos fases. En la primera, los servicios de Ciberinteligencia analizarán de forma muy exhaustiva toda la información y amenazas que orbitan alrededor de una entidad financiera concreta previo conocimiento exhaustivo de sus funciones críticas.

¿Con qué objeto? Entender y valorar cada una de estas amenazas e identificar los potenciales actores maliciosos tras ellas. Y todo con un objetivo claro:

• Identificar a estos actores: Quién.
• Desnudar sus intenciones: Por qué.
• Descubrir su modus operandi: Cómo.

Será a partir de la recapitulación de toda esta información cuando se diseñen los escenarios de riesgo crítico más plausibles que, posteriormente, habrán de atacar los servicios de Red Team.

Habrá llegado, así pues, la segunda fase de la prueba TIBER-EU. Los equipos de Red Team tendrán la misión de llevar a cabo esos ciberataques y medir su efectividad. Esto es, la capacidad que pueda tener el banco de contener esa amenaza. Lo harán simulando los procedimientos de atacantes reales. Siguiendo las fases que suelen sucederse en este tipo de incursiones: reconocimiento, intrusión, desplazamiento lateral, exfiltración… Para determinar, en síntesis, si es posible vulnerar los sistemas de la entidad.

Con toda esa información bajo el brazo, se realizará un informe muy preciso que extraerá conclusiones relevantes sobre las amenazas y la solvencia de los sistemas en materia de ciberseguridad.

Un diagnóstico detallado que será sometido a juicio por parte de los equipos técnicos de la autoridad monetaria. Quienes, en última instancia, serán los responsables de atestiguar la capacidad de la entidad para afrontar las múltiples e incontables amenazas de esta era.

A la banca le espera una ardua tarea por delante…

Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/