Dos brechas, un banco: lecciones de la crisis cibernética de ICBC

A finales de 2023, una importante disrupción se propagó en el mercado del Tesoro Estadounidense de 26 millones de dólares. Se detuyeron las operaciones de la empresa. Los sistemas de comunicación colapsaron. Miles de millones de dólares estaban en riesgo.

¿La fuente? Un ataque de ransomware se enruta a uno de los bancos más grandes del mundo: el Banco Industrial y Comercial de China (ICBC).

Menos de un año después, el banco se opuso otra brecha —esta vez en su sucursal londinense.

“ICBC encabeza lo peor de ambos mundos”, explica Raghu Nandakumara, director sénior de marketing de soluciones industriales en Illumio. “Las interrupciones del servicio golpearon en 2023, seguidos de una violación de datos en 2024”.

Ambos incidentes exponían las amenazas sistémicas en las operaciones Báricas Globales y plantearon preguntas sobre la resiliencia del sector financiero a las sofisticadas amenazas cibernéticas.

Una mirada más cercana: Anatomía de dos brechas

Noviembre de 2023: ataque de ransomware ICBC en EE. UU.

En noviembre de 2023, el LockBit Group se ha realizado un ataque de ransomware calculado contra la unidad de corrección estadounidense de ICBC.

Esta huelga interrumpió sistemas clave que son claves para administrar las operaciones del Tesoro de Estados Unidos y el financiamiento de repo.

Como resultado, las autorizaciones comerciales se detenían y los retrasos en los pagos se propagaron en todo el mercado.

Detalles clave sobre los peritos operativos y financieros

• ‍Aturamiento del sistema: Las plataformas principales para liquidar pagos y liquidar operaciones fueron indisponibles durante días.
• ‍Acciones de emergencia: ICBC inyectó capital en su división estadounidense para estabilizar las operaciones después de asumir una deuda de 9.000 millones de dólares con BNY Mellon, que era más que el capital neto de la división.
• ‍Solución: Los empleados del banco confiaban en unidades USB para procesar las operaciones manualmente. Durante la crisis, usé Gmail en lugar de sus correos electrónicos corporativos, lo que planteó las cuestiones de seguridad.

La respuesta de la SEC

La Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés) investigó la violación ICBC de 2023, encontrando problemas con el mantenimiento de registros y la comunicación.

No emitieron ninguna multa. Pero el incidente acabó claro: la resiliencia operativa no es negociable.

“La respuesta de la SEC fue interesante, un poco de bofetada en la muñeca, diciendo 'No dejes que esto vuelva a suceder'. Sin embargo, también reconociendo la transparencia y la rápida respuesta de ICBC”. — Raghu Nandakumara

Septiembre 2024: violación de datos de la sucursal de ICBC en Londres

Menos de un año después, el grupo ransomware Hunters International violó la sucursal de ICBC en Londres.

Los atacantes robaron 6,6 terabytes de datos, incluida información confidencial del cliente y archivos operativos internos.

“El desafío con la exfiltración de datos es lo desconocido: ¿cómo usarán los atacantes esos datos en el futuro?” — Raghu Nandakumara

Detalles clave del incidente ICBC de 2024

• Examación de rescate: Los atacantes amenazaron con dar a conocer los datos si no se satisfacían sus demandas financieras.
• ‍Reputación global: La brecha ponía de alivio de las de la seguridad sistémicas de ICBC y planteó dudas sobre su seguridad de las zonas de seguridad de las zonas de seguridad de ICBC.

“Tanto las brechas ICBC de 2023 como de 2024 expuso brechas críticas en sus defensas de seguridad, lo que denota que, a pesar de los pagos de mejora, el cambio no ocurre de la noche a la mañana”. — Raghu Nandakumara

¿Está en riesgo la banca global?

¿Cómo podría la debilidad de una sucursal poner en riesgo a toda una institución —y sus operaciones globales—?

Las brechas del ICBC, primero en Estados Unidos y luego en Londres, muestran exactamente cómo: Los ataques interrumpieron las operaciones, dañaron la reputación del banco y expinaron brechas críticas en sus defensas de ciberseguridad.

Raghu explica: “Las brechas de ICBC se mostró una dura verdad: un solo punto débil, en una sucursal o sistema, puede poner en riesgo a toda la red”.

Las brechas de ICBC revelaron importantes problemas en el funcionamiento de sus operaciones financieras:

• Dependencias del sistema: El ataque de Estados Unidos muestra lo débil que son los sistemas comerciales interconectados, donde un solo punto de falla puede perturbar los mercados en todo el mundo.
• ‍Inconsistencias de la información: La brecha de Londres se ha visto brechas en los protocolos armonizados de ciberseguridad.
• ‍Crisis de crisis: Ambos incidentes muestran los riesgos operativos de usar soluciones temporales e inseguras como el comercio manual o plataformas de correo electrónico no seguras.

“Supongamos que la violación es la realidad. Los ataques son inevitables. Las brechas del ICBC son un ejemplo de eso”. — Raghu Nandakumara

Seguimiento de las principales brechas financieras

Las brechas de ICBC son parte de una tendencia creciente de ciberataques a instituciones financieras.

Los incidentes clave:

• 2015 Pandilla Carbanak: Este grupo de cibercrimen robó más de mil millones de dólares mediante el uso de malware para hackear bancos y cambiar ventas de cuentas.
• 2016 Aaco en un banco en Bangladesh: Los hackers robaron 81 millones de dólares de la cuenta del Banco de Bangladesh en el Banco de la Reserva Federal para explotar las ciberataques en el sistema de pago SWIFT.
• 2017 Violación de datos de Equifax: Esta fue una de las mayores brechas de datos de la historia, que afín a 147 millones de personas. Los hackers encontraron una debilidad en la aplicación web de Equifax y la que se ha empleado para obtener acceso a información personal confidencial.
• 2018 Ataque a Cosmos Bank: Los ciberdelincuentes robaron 13,5 millones de dólares, hackeando el servidor de cajeros automáticos del banco para desbancar transacciones falsas.
• 2019 Violación de datos de Capital One: Un ex empleado explotó un firewall mal preparado para acceder a los datos personales de más de 100 millones de clientes.
• 2020 Ataque de ransomware Finastra: El gigante fintech fue golpeado por un ataque de ransomware que interrumpió sus servicios y operaciones.
• 2021 Ataque de ransomware financiero de CNA: Una de las compañías de seguros más grandes de Estados Unidos cobró 40 millones de dólares después de que un ciberataque cifrara sus datos.
• 2022 Hackeo de rojo Ronin: Los hackers robaron 625 millones de dólares de la red de juegos basados en blockchain, lo que se aplica a las transacciones financieras en el ecosistema.
• 2023 Ataque de ransomware ICBC: El grupo LockBit arrepió la división de servicios financieros de ICBC en Estados Unidos con ransomware, interrumpiendo el comercio del Tesoro de Estados Unidos.
• 2023 Violación de datos de transferencia de MoveIT: Una falla en el software MOVEit Transfer expone datos de datos de varias instituciones financieras.
• 2024 Ataque de ransomware ICBC Londres:: El grupo ransomware Hunters International robó 6.6 terabytes de datos de la sucursal de ICBC en Londres y amenazó con liberarlos si no se cumplían sus demandas.
• 2024 Ataque a proveedores de servicios de TI en la nube: Un ataque de ransomware contra un proveedor de TI en la nube causaba interrupciones en 60 cooperativas de ahorro y crédito de los padres, lo que pone de aliviar los riesgos de ser dependiendo de terceros. ‍

El atraco en un banco en Bangladesh en 2016: un punto de inflexión

• Lo que pasó: En febrero de 2016, los ciberdelincuentes aprovecharon las debilidades del sistema de pago SWIFT para robar 81 millones de dólares Cuenta de Bangladesh Bank en el Banco de la Reserva Federal de Nueva York.
• ‍Cómo lo hicieron: Los hackers instalaron malware para espiar los sistemas del banco. Observaron las transacciones SWIFT, las manipularon y enviaron solicitudes de transferencia fraudulentas. Apuntaban a casi mil millones de dólares, pero un error tipográfico en una solicitud provocó sospechas y detuvo el ataque antes de tiempo.
• ‍Impacto: El atraco ocasionó importantes pérdidas financieras y daños a la reputación, exponiendo debilidades en los protocolos de transferencia interbancaria y la necesidad de medidas de seguridad más sólidas.
• ‍Puntos clave:
  • ‍Los sistemas de pago seguros son críticos: Los sistemas interbancarios como SWIFT requieren protocolos de seguridad sólidos para evitar la manipulación.
  • ‍El monitoreo constante es esencial: La detección temprana mediante monitoreo y alertas de anomalías podría haber reducido el impacto.

Cómo DORA está dando forma a la resiliencia cibernética para el sector financiero

La UE Ley de Resiliencia Operacional Digital (DORA) proporciona un marco para abordar muchas vulnerabilidades reveladas en estas brechas.

DORA enfatiza:

• Pruebas de resiliencia: Asegurar que los sistemas puedan soportar ataques cibernéticos sofisticados
• ‍Reporte de incidentes: Establecimiento de transparencia y rendición de cuentas por infracciones
• ‍Administración proactiva de riesgos: Identificación y mitigación de riesgos operacionales antes de que ocurran incidentes

“El objetivo de regulaciones como DORA es simple: evitar que los ciberataques causen daños importantes, ya sea a una sola empresa o a todo el sistema financiero”. — Raghu Nandakumara

A medida que evolucionan los ciberdelincuentes, la serie de ciberataques al sector financiero de 2015 a 2024 destaca dos necesidades urgentes: marcos regulatorios sólidos y una mayor resiliencia cibernética dentro de los servicios financieros y sus principales proveedores de servicios.

‍¿Está interesado en conocer más sobre el cumplimiento de DORA? Descargue nuestro libro electrónico gratuito Estrategias para el cumplimiento de DORA: El papel clave de la microsegmentación.

Fuentes: ‍

• ‍Reuters ‍
• El Registro