Desde el empleado mileurista al directivo six figure: todos tienen pesadillas donde aparecen hackers y contraseñas que en principio eran secretas. La digitalización avanza imparable y configura un mundo cada día más conectado, más interdependiente y más expuesto; una sociedad global donde el cibercrimen se come ya un 0,8 del PIB mundial. Son 600.000 millones de euros cada año arrebatados a gobiernos, multinacionales y, sobre todo, a bancos, presas favoritas de los delincuentes tecnológicos. Según un informe del Fondo Monetario Internacional (FMI), alrededor de un 9% de las pérdidas anuales de una entidad financiera proceden de ciberataques. Es comprensible que la seguridad se haya convertido en una obsesión en todas las cities.

James Andrew Lewis, analista del think tank Center for Strategic and International Studies (CSIS), publicó en febrero el informe Economic Impact of Cybercrime – No Slowing Down, editado en colaboración con McAffee. En el documento deja claro que los buenos -o, al menos, los más legales- no van ganando esta guerra, especialmente en el sector del crédito y las finanzas.

Para explicarlo simplifica la enorme malla financiera del ciberespacio en grupos de interés hasta obtener prácticamente una fábula, donde hay unas ovejas que son sistemática y estratégicamente atacadas por partidas de lobos. El ganado son los más de 10.000 miembros de la asociación SWIFT, una red internacional de entidades bancarias creada hace 40 años que comparte sistemas de comunicación y de transferencias. Los depredadores, bandas de hackers que buscan a los bancos más vulnerables o bien orquestan asedios contra las entidades mejor preparadas. La estrecha relación que tienen los nodos dentro de SWIFT les facilita mucho las cosas.

Cuando los lobos causan pérdidas es difícil perseguirles, pero aún más hacerles pagar por ellas. Porque este cuento se cierra con tres profundas grutas donde se esconden los criminales más peligrosos, tres estados ajenos al concierto mundial: Rusia, Irán y Corea del Norte. Lewis asegura que es en estas potencias desde donde a la flor y nata de la delincuencia hacker explota las vulnerabilidades de la red. El pacto con sus gobernantes es simbiótico, ya que ellos reciben protección y los anfitriones parte del botín.

Fue precisamente un grupo de programadores ligado al espionaje norcoreano quien perpetró en 2016 el peor ataque de los últimos tres años y el que ha puesto en guardia a toda la comunidad SWIFT. Los hackers pudieron robar 81 millones del Banco de Bangladesh accediendo a sus cuentas a través de la aplicación de mensajería que usa la red bancaria. Los mismos hackers estuvieron relacionados con el intento de robo posterior de un millón de dólares del Tien Phong Bank de Vietnam y de 12 millones del ecuatoriano Banco del Austro. Desde 2015 se han registrado ataques también contra bancos de México, Australia, Uruguay y Polonia. En algunos casos las brechas en la seguridad se tradujeron en cuantiosas pérdidas.

Los ataques masivos utilizados por los criminales han sido desde los famosas denegaciones de servicio (DDoS) hasta diferentes modalidades de ransomware. Estas estrategias, con mayor o menor sofisticación, funcionan a la postre como fuego de mortero, una lluvia fina que puede estragar estructuras poco sólidas. La creciente inversión en ciberseguridad hace que las infecciones masivas tiendan a ser cada vez menos eficaces.

Por ello, la pesadilla real de los bancos es vivir una situación parecida a la que vivió el gobierno iraní en 2010 cuando descubrió que el enemigo había logrado desarticular todo su programa nuclear al introducir un virus en casa de uno de sus ingenieros que contagió posteriormente a todas las instalaciones. La inteligencia estadounidense había sentado cátedra con la famosa operación Stuxnet y, desde entonces, ahora quien se esmera en construir ataques tan personalizados como dañinos son quienes están más cerca del eje del mal que de los aliados de la OTAN. Phising de empleados VIP de bancos es la mutación de la estrategia Stuxnet que tan cara están pagando las entidades fiancieras del globo. Robar credenciales y falsificar identidades para penetrar en operativas de máximo acceso en un gran banco es con lo que sueñan todos los programadores de las grutas.

Este es el contexto en el que MUFG-Bank of Tokio, quinto banco más grande del mundo en volumen de activos -casi dos veces el tamaño del español Banco Santander-, aprueba a principios de este año su estrategia de ciberseguridad. El documento surge de la necesidad de garantizar la inviolabilidad exigida tanto por los clientes como, a nivel institucional, por la poderosa patronal de empresarios japonesa, Nippon Keidanren.

Además, MUFG se propuso reforzar las medidas de lucha contra el lavado de capitales (Anti Money-Laundering o AML) mediante sistemas KYC (Know Your Customer). La comodidad de abrir cuentas y operar vía internet implementada en los últimos quince años ha mostrado un reverso tenebroso que hoy es prioritario atajar: las mafias y organizaciones criminales han encontrado un sencillo método de pitufeo dividiendo las ganancias de sus golpes en múltiples cuentas creadas de forma fraudulenta.

MUFG ha elegido a NeoCheck como partner para su programa de enrolamiento remoto que empezará a aplicar en cuentas de clientes en las próximas semanas. El portfolio para el sector bancario de NeoCheck es multidimensional, ya que está compuesto por soluciones de verificación de documentos de identidad, datos biométricos (huellas dactilares y reconocimiento facial) y por aplicaciones de machine learning que analizan la operativa de los usuarios en busca de movimientos irregulares. Toda la información es supervisada por personal de la entidad que toma las decisiones finales sobre la legitimidad de la cuenta, los movimientos o el propietario de la misma.

El objetivo es asegurar que nadie más que el titular mueva sus fondos y que nadie más que el propietario de una identidad personal la use ante un banco. En definitiva, que los ejecutivos, pero sobre todo los clientes de MUFG duerman bien. Ya sean empleados mileuristas o directivos six figure.