VÍCTOR CAMPOS. Enginyer superior de telecomunicacions, expert en estratègia i transformació digital i partner a Microsoft.
DAVID ALONSO. Enginyer superior en informàtica i expert en ciberseguretat a Telefónica Tech, CSIM i CISSP.
El 3 de desembre de 1992, el programador Neil Papworth va enviar el primer missatge SMS des del seu ordinador al mòbil d’un amic per felicitar-li el Nadal: Merry_Christmas (“Bon Nadal”). Naixia un sistema útil i ràpid per comunicar-se. Deu anys després l’ús dels SMS es va massificar i es va convertir en la via de comunicació principal, especialment entre gent jove. Més de trenta anys després, encara que l’ús principal del SMS ha estat substituït per les aplicacions de missatgeria instantània, segueix tenint el seu nínxol com a via de comunicació comercial, com a vector de notificacions de servei i a l’àrea de la ciberseguretat, on pren dues formes molt diferents: el doble factor d’autenticació, on l’SMS s’ha convertit en el segon factor més utilitzat per accedir controlat a aplicacions i sistemes, i el temut smishing.
Arriba un missatge de text a un client de banca, li indica que té un càrrec sospitós i li l’urgeix a accedir al seu compte per comprovar-ho. Per “facilitar-li” la vida, al mateix missatge apareix l’enllaç a la web de la banca en línia. El client –mig espantat, mig incrèdul– accedeix immediatament per evitar que es produeixi el frau, però el que no sap és que el frau es produirà precisament en aquell moment… Aquests 160 caràcters són suficients per posar en perill un gran nombre de clients de la banca. És barat, efectiu, difícil de parar i tremendament senzill d’executar per als atacants..
QUÈ PODEM FER?
Les entitats financeres tenen principalment dues vies d’actuació:
• Conscienciar els clients mitjançant campanyes informatives. El nostre “amic” l’SMS torna a aparèixer com a via de comunicació per a campanyes de conscienciació.
• Utilitzar serveis antifrau que persegueixin el tancament o takeover del contingut fraudulent amb caràcter immediat.
Però cal tenir molt present que la primera via requereix anys de treball i la segona sempre arriba tard per definició.
Més de trenta anys després, encara que el l’ús principal de l’SMS ha estat substituït per les aplicacions de missatgeria instantània, segueix tenint el seu nínxol com a via de comunicació comercial, com a vector de notificacions de servei i a l’àrea de la ciberseguretat
Una contramesura molt potent és la capacitat de les operadores de telecomunicacions per actuar bloquejant l’accés als llocs fraudulents mentre s’efectua el tancament del lloc. També els equips d’antifrau de ciberseguretat poden notificar la troballa d’un lloc fraudulent als principals navegadors i aquests poden llançar un anunci o bàner que avisi l’usuari que el lloc on accedeix pot no ser segur.
Els serveis d’intel·ligència d’amenaces poden avançar-se a la creació del lloc i detectar el registre de dominis sospitosos, cercar indicis de creació de contingut fraudulent a la web (tant oberta com deep) i intentar ser els primers a detectar alertes quan es llancen aquests SMS amb una monitorització activa.
No hi ha vies de protecció total, però amb aquestes mesures funcionant el volum de clients amb informació compromesa baixarà dràsticament. Les entitats que aconsegueixin que els clients les percebin més segures podran utilitzar aquesta capacitat com a valor diferencial respecte a la competència.
Una contramesura molt potent és la capacitat de les operadores de telecomunicacions per actuar bloquejant l’accés als llocs fraudulents mentre s’efectua el tancament del lloc
EL REGLAMENT DORA
Si fem un salt temporal del 1992 al 2025, arribarem al punt d’entrada en vigor del Reglament DORA. Si aquestes sigles encara no li sonen, és perquè no treballa al sector financer, i si ho fa, l’aviso que li sonaran molt aviat. El Reglament de Resiliència Operativa Digital (DORA per les sigles en anglès, Digital Operational Resilience Act) ha introduït un marc normatiu global a nivell de la UE que inclou normes sobre resiliència operativa digital per a totes les entitats financeres. I encara que en aquest cas el nom aporta força pistes, convé aclarir en què consisteix.
El passat 16 de gener de 2023 es va publicar el Reglament DORA per regular la manera com les entitats financeres gestionen el risc digital a les finances. Amb aquest reglament, la UE persegueix homogeneïtzar l’àmbit normatiu sobre resiliència operativa digital al sector financer europeu i reforçar algunes mesures ja existents. Suposa a més una empenta a totes les directives que la UE està llançant en matèria de transformació digital i noves tecnologies.
En què vol canviar DORA les entitats financeres? Principalment vol que tinguin la resiliència operativa interioritzada al modus operandi habitual dels seus sistemes TI. Aquesta resiliència suposa que les organitzacions han de seguir funcionant en la mesura del possible davant de qualsevol atac o esdeveniment que els afecti i a més implica una gran capacitat de recuperació d’aquells sistemes que sí que s’hagin vist compromesos i que estiguin aturant alguna operativa de negoci. El canvi principal rau en el fet que fins ara les entitats estaven acostumades a gestionar els seus riscos operatius mitjançant l’assignació d’un capital proporcional a l’operativa corresponent; a partir d’ara no n’hi haurà prou amb això.
Tot i que la resiliència operativa i el llistat de proves a realitzar per demostrar-la són la principal raó de ser de la norma, també s’hi inclou una proposta de reglament relatiu als mercats de criptoactius, una proposta de reglament sobre un règim pilot de les infraestructures del mercat basades en la tecnologia de registre descentralitzat i una proposta de directiva per aclarir o modificar determinades normes connexes de la UE en matèria de serveis financers.
A efectes pràctics, DORA obligarà les entitats financeres a una sèrie de tasques que en alguns casos ja es realitzaven, però que en altres implicarà canvis força radicals en la manera de treballar. Aquests són els principals punts de treball que intuïm que caldrà abordar:
• Realització d’un banc de proves molt exigent sobre els entorns TI i digitals.
• Gestió del risc TIC no només propi, sinó també de tercers.
• Compartició d’informació entre entitats, notificació dels incidents i comunicació al respecte de la mateixa manera que ja fan les empreses de l’Administració Pública entre si o alguns actors rellevants del món de la ciberseguretat que formen aliances, com ara la Cyber Threat Alliance (CTA).
Ús d’eines i bones pràctiques a l’operativa habitual i la monitorització contínua del funcionament dels sistemes de negoci.
Amb aquest reglament, la UE persegueix homogeneïtzar l’àmbit normatiu sobre resiliència operativa digital al sector financer europeu i reforçar algunes mesures ja existents
Com a conseqüència de tot això, els diferents entorns que es presentin a l’usuari poden patir certes modificacions que impliquin una usabilitat una mica més pesada. Aquest equilibri entre l’aplicació estricta del reglament i el fet de disposar d’aplicatius i operatives àgils per als clients suposa un dels grans reptes per a les entitats. Un cop més, aquelles que trobin l’equilibri entre normativa i usabilitat generaran un avantatge competitiu molt a tenir en compte.
Ja sigui per protegir els seus clients de l’smishing o per adaptar-se al nou marc regulador imposat per la UE, el desafiament per a la banca en matèria de ciberseguretat continua sent enorme, obligada a mantenir-se a l’avantguarda del sector i a seguir tenint un enfocament no només totalment digitalitzat, sinó també cibersegur.
