Dos brechas, un banco: lecciones de la crisis cibernética del ICBC

A finales de 2023, se produjo una gran disrupción en el mercado del Tesoro de EE. UU. de 26 billones de dólares. Las operaciones bancarias se detuvieron. Los sistemas de comunicación colapsaron. Miles de millones de dólares estaban en riesgo.  

¿La fuente? Un ataque de ransomware tuvo como objetivo uno de los bancos más grandes del mundo: el Banco Industrial y Comercial de China (ICBC).  

Menos de un año después, el banco se enfrentó a otra infracción, esta vez en su sucursal de Londres.  

"ICBC se enfrentó a lo peor de ambos mundos", explica Raghu Nandakumara, director senior de marketing de soluciones industriales en Illumio. "Las interrupciones del servicio se produjeron en 2023, seguidas de una violación de datos en 2024".

Ambos incidentes expusieron vulnerabilidades sistémicas en las operaciones bancarias globales y plantearon preguntas sobre la resiliencia del sector financiero a amenazas cibernéticas sofisticadas.

Una mirada más cercana: Anatomía de dos brechas  

Noviembre de 2023: Ataque de ransomware ICBC en EE. UU.

En noviembre de 2023, el grupo LockBit lanzó su ataque de ransomware calculado contra la unidad de corretaje estadounidense de ICBC.  

Esta huelga interrumpió sistemas clave que son cruciales para gestionar las operaciones del Tesoro de EE. UU. y el financiamiento de repos.  

Como resultado, las autorizaciones comerciales se detuvieron y los retrasos en los pagos se extendieron por todo el mercado.

Detalles clave sobre los impactos operativos y financieros

• Cierres del sistema: Las plataformas centrales para liquidar pagos y compensar operaciones estuvieron inaccesibles durante días.
• Acciones de emergencia: ICBC inyectó capital en su división estadounidense para estabilizar las operaciones luego de asumir una deuda de $ 9 mil millones con BNY Mellon, que era más que el capital neto de la división.
• Soluciones alternativas: Los empleados del banco confiaban en las unidades USB para procesar las operaciones manualmente. Durante la crisis, usaron Gmail en lugar de sus emails corporativos, lo que generó preocupaciones de seguridad.​

La respuesta de la SEC

La Comisión de Bolsa y Valores de EE. UU. (SEC) investigó la violación de ICBC de 2023 y encontró problemas con el mantenimiento de registros y la comunicación.  

No emitieron ninguna multa. Pero el incidente dejó en claro: la resiliencia operativa no es negociable.

"La respuesta de la SEC fue interesante, un poco como una palmada en la muñeca, diciendo 'No dejes que esto vuelva a suceder'. Sin embargo, también reconociendo la transparencia y la rápida respuesta de ICBC". – Raghu Nandakumara

Septiembre de 2024: Violación de datos de la sucursal de ICBC en Londres

Menos de un año después, el grupo de ransomware Hunters International violó la sucursal de ICBC en Londres.  

Los atacantes robaron 6,6 terabytes de datos, incluida información confidencial de clientes y archivos operativos internos.

"El desafío con la exfiltración de datos es lo desconocido: ¿cómo usarán los atacantes esos datos en el futuro?" – Raghu Nandakumara

Detalles clave del incidente del ICBC de 2024

• Ransom exige: Los atacantes amenazaron con publicar los datos si no se cumplían sus demandas financieras.
• Reputación global: La violación destacó las vulnerabilidades sistémicas de ICBC y planteó preguntas sobre su seguridad operativa transfronteriza.

"Tanto las infracciones de ICBC de 2023 como las de 2024 expusieron brechas críticas en sus defensas de seguridad, lo que demuestra que, a pesar de los compromisos de mejora, el cambio no ocurre de la noche a la mañana". – Raghu Nandakumara

¿Está en riesgo la banca global?

¿Cómo podría la debilidad en una sucursal poner en riesgo a toda una institución y sus operaciones globales?

Las violaciones de ICBC, primero en los EE. UU. y luego en Londres, mostraron exactamente cómo: los ataques interrumpieron las operaciones, dañaron la reputación del banco y expusieron brechas críticas en sus defensas de ciberseguridad.  

Raghu explica: "Las violaciones de ICBC mostraron una dura verdad: un solo punto débil, en una sucursal o sistema, puede poner en riesgo toda la red".  

Ambas infracciones de ICBC revelaron importantes debilidades en el funcionamiento de sus operaciones financieras:

• Dependencias del sistema: El ataque de Estados Unidos mostró cuán frágiles son los sistemas comerciales interconectados, donde un solo punto de falla puede perturbar los mercados en todo el mundo.
• Inconsistencias transfronterizas: La violación de Londres mostró brechas en los protocolos de ciberseguridad armonizados.
• Vulnerabilidades de crisis: Ambos incidentes mostraron los riesgos operativos del uso de soluciones temporales e inseguras, como el comercio manual o las plataformas de email no seguras.

"Asume que la violación es la realidad. Los ataques son inevitables. Las infracciones de ICBC son un ejemplo de eso". – Raghu Nandakumara

Seguimiento de infracciones financieras importantes

Las infracciones de ICBC son parte de una tendencia creciente de ataques cibernéticos dirigidos a instituciones financieras.  

Los incidentes clave incluyen:

• 2015 Carbanak Gang: Este grupo de ciberdelincuencia robó más de $ 1 mil millones mediante el uso de malware para piratear bancos y cambiar los saldos de las cuentas.
• Atraco al banco de Bangladesh de 2016: los piratas informáticos robaron $ 81 millones de la cuenta del Banco de Bangladesh en el Banco de la Reservación Federal explotando vulnerabilidades en el sistema de pago SWIFT.
• Violación de datos de Equifax de 2017: Esta fue una de las violaciones de datos más grandes de la historia, que afectó a 147 millones de personas. Los piratas informáticos encontraron una debilidad en la aplicación sitio web de Equifax y la usaron para obtener acceso a información personal confidencial.
• Ataque a Cosmos Bank de 2018: los ciberdelincuentes robaron 13,5 millones de dólares, pirateando el servidor del cajero automático del banco para activar transacciones falsas.
• Violación de datos de Capital One de 2019: Un ex empleado explotó un firewall mal configurado para acceder a los datos personales de más de 100 millones de clientes.
• Ataque de ransomware Finastra de 2020: El gigante fintech fue golpeado por un ataque de ransomware que interrumpió sus servicios y operaciones.
• Ataque de ransomware financiero CNA 2021: Una de las compañías de seguros más grandes de EE. UU. pagó $ 40 millones después de que un ciberataque cifrara sus datos.
• Hackeo de la red Ronin 2022: Los piratas informáticos robaron 625 millones de dólares de la red de juegos basada en blockchain, lo que afectó las transacciones financieras en el ecosistema.
• Ataque de ransomware ICBC 2023: El grupo LockBit atacó la división de servicios financieros de ICBC en EE. UU. con ransomware, interrumpiendo las operaciones del Tesoro de EE. UU.  
• Violación de datos de MOVEit Transfer 2023: Una falla en el software MOVEit Transfer expuso datos confidenciales de varias instituciones financieras.
• Ataque de ransomware ICBC London de 2024: El grupo de ransomware Hunters International robó 6,6 terabytes de datos de la sucursal londinense de ICBC y amenazó con publicarlos si no se cumplían sus demandas.
• Ataque a un proveedor de servicios de TI en la nube de 2024: Un ataque de ransomware a un proveedor de TI en la nube causó interrupciones en 60 cooperativas de ahorro y crédito de EE. UU., lo que destaca los riesgos de depender de terceros. ‍

El atraco a un banco en Bangladesh en 2016: un punto de inflexión

• ¿Qué pasó: En febrero de 2016, los ciberdelincuentes explotaron las debilidades del sistema de pago SWIFT para robar 81 millones de dólares de la cuenta del Banco de Bangladesh en el Banco de la Reservación Federal de Nueva York.
• Cómo lo hicieron: Los piratas informáticos instalaron malware para espiar los sistemas del banco. Observaron las transacciones SWIFT, las manipularon y enviaron solicitudes de transferencia fraudulentas. Apuntaban a casi $ 1 mil millones, pero un error tipográfico en una solicitud provocó sospechas y detuvo el ataque antes de tiempo.
• Impacto: El atraco resultó en pérdidas financieras significativas y daños a la reputación, exponiendo las debilidades en los protocolos de transferencia interbancaria y la necesidad de medidas de seguridad más estables.
• Conclusiones clave:
  • Los sistemas de pago seguros son fundamentales: Los sistemas interbancarios como SWIFT requieren protocolos de seguridad estables para evitar la manipulación.
  • El monitoreo constante es esencial: La detección temprana a través del monitoreo y las alertas de anomalías podría reducir el impacto.

Cómo DORA está dando forma a la resiliencia cibernética para el sector financiero

La Ley de Resiliencia Operativa Digital (DORA) de la UE proporciona un marco para abordar muchas vulnerabilidades reveladas en estas infracciones.  

DORA enfatiza:

• Pruebas de resiliencia: Garantizar que los sistemas puedan resistir ciberataques sofisticados​  
• Notificación de incidentes: Establecer transparencia y rendición de cuentas por infracciones​  
• Gestión proactiva de riesgos: Identificar y mitigar los riesgos operativos antes de que ocurran incidentes​  

"El objetivo de regulaciones como DORA es simple: evitar que los ataques cibernéticos causen daños importantes, ya sea a una sola compañía o a todo el sistema financiero". – Raghu Nandakumara  

A medida que los ciberdelincuentes evolucionan, el serial de ciberataques al sector financiero de 2015 a 2024 pone de manifiesto dos necesidades urgentes: marcos regulatorios estables y una mayor resiliencia cibernética dentro de los servicios financieros y sus proveedores de servicios clave.

¿Está interesado en obtener más información sobre el cumplimiento de DORA? Descargue nuestro libro electrónico gratis, Estrategias para el cumplimiento de DORA: el papel clave de la microsegmentación.

Fuentes:

• Reuters
• El Registro