Gobierno alerta a bancos sobre nuevas técnicas de robo de datos al actualizar sus aplicativos

Con la llegada de nuevas tecnologías, también el riesgo es mayor para los bancos y entidades financieras que tienen plataformas digitales.

Recientemente la Central Nacional de Seguridad Digital (CNSD) en una de sus últimas alertas ha advertido de un nuevo riesgo para la información de datos almacenados por bancos. Se trata de amenazas para aplicaciones bancarias que usan la cadena de suministro

“Expertos en ciberseguridad advierten sobre nuevos ataques dirigidos al sector bancario y su cadena de suministro empleando software de código abierto”, alerta la entidad del Gobierno peruano.

Según el CNSD, “los riesgos de robos de información y datos bancarios no se producen únicamente por medio de técnicas como el phishing o ransomware donde el usuario accede a páginas falsas y da su información”, sino que también filtrarse en la etapa durante el proceso logístico de las aplicaciones de finanzas.

“Estos peligros suelen esconderse en las etapas de desarrollo, despliegue y mantenimiento de los sistemas. Desde la escritura del código fuente, la integración de librerías, hasta la automatización del despliegue, la cantidad de puntos susceptibles a intervención maliciosa aumenta de manera considerable”, alerta el Gobierno.

Así, este fenómeno adopta formas que resultan difíciles de detectar mediante los controles convencionales. Un caso típico es la contaminación del software durante la fase de construcción. El ‘producto final’ que parece funcional y seguro, puede incluir componentes o líneas de código introducidos maliciosamente en etapas previas. Esta manipulación puede ocurrir en elementos tan fundamentales como el código fuente o en las herramientas de automatización empleadas para compilar y desplegar el software.

Más aún se presentan estos riesgos cuando los aplicativos se actualizan constantemente. “La demanda de lanzar nuevas funcionalidades en lapsos muy cortos ha impulsado que la industria bancaria recurra a soluciones automatizadas”, aclaran.

Así, los desarrolladores implementan scripts y robots software que aceleran tareas clave como la construcción, testeo y entrega de las aplicaciones. Pero “un script automatizado malicioso es capaz de añadir código peligroso justo antes del lanzamiento de la versión definitiva, sin que los controles tradicionales lo detecten”.

 El gobierno resalta que la cadena de suministros digitales abarca todo el ciclo de vida del producto: desde los cimientos tecnológicos hasta los módulos externos y librerías integradas, especialmente aquellas provenientes de comunidades de código abierto. “Igualmente sucede con las actualizaciones de la aplicación. Un error aparentemente menor, como la inclusión de un módulo defectuoso o malicioso, puede poner en peligro a toda la estructura”.

Asimismo, el Gobierno ha dado una serie de recomendaciones para prevenir casos de filtrado de datos por estos medios.

• Fortalecer las medidas de seguridad y adoptar prácticas más rigurosas para proteger tanto la cadena de suministro de software como los sistemas financieros
• Implementar sistemas de validación que permitan verificar que el producto final coincide exactamente con el que se sometió originalmente a revisión y verificación. Por ejemplo, a través de la firma digital de objetos de software, práctica destinada a asegurar que las aplicaciones no han sido alteradas ni contaminadas en el proceso de construcción o distribución
• Promover una colaboración estrecha entre las instituciones bancarias y las empresas de ciberseguridad.