Juan David Moreno: “La clave está en mantenerse un paso delante de los cibercriminales”

Las instituciones financieras han sido siempre uno de los objetivos más atractivos para los hackers y la atención no disminuyó a partir de la llegada de la tecnología mobile y cloud, sino más bien todo lo contrario. Las fintech manejan el dinero y los datos personales de las personas a través de servicios como la banca digital, los medios de pagos digitales, los servicios de seguros, el ecommerce y las criptomonedas, una combinación única que atrae a los ciberdelincuentes. 

Los riesgos de ciberseguridad en las fintech se ven agravados por los entornos normativos en los que operan, que otorgan un gran valor a la protección de datos y a la seguridad de la información. Así, la ciberseguridad en el sector de las tecnologías financieras es cada vez más importante.

Juan David Moreno, Country Manager de Dreamlab Technologies Colombia, cuenta sus opiniones y recomendaciones para la protección proactiva del sector.

¿Se convirtieron las fintech en un blanco buscado especialmente por los ciberdelincuentes en los últimos años? ¿Por qué?

Como sucede con la mayoría de las tecnologías, la tecnología financiera introdujo beneficios a través de la eficiencia, pero también ha creado riesgos operativos y de seguridad. Teniendo en cuenta que la naturaleza de este sector se basa en manejar transacciones financieras, en donde se concentra información altamente sensible como lo son los datos personales e información bancaria, entre otros, hace que vulnerar a alguna de estas empresas signifique obtener acceso a activos valiosos. 

Igualmente, al ser las fintech parte del ecosistema financiero, son una parte fundamental de la cadena de valor de instituciones tradicionales, por lo cual, lograr vulnerar a una fintech puede llevar a un ciberatacante a robar información de una organización aún más grande. 

Cabe destacar también que la naturaleza dinámica de estas empresas, y su enfoque en el continuo desarrollo de sus aplicaciones y servicios, adoptando metodologías ágiles, hace que en muchos casos deja rezagada la seguridad por priorizar la velocidad de desarrollo.

¿Cómo funciona en concreto un programa de bug bounty? 

Un programa de bug bounty es un esquema de “desafíos” para que hackers éticos de todo el mundo se infiltren en un sistema y reporten vulnerabilidades, a cambio de recompensas, sean monetarias o de cualquier otro tipo. Esos programas o desafíos están en un ecosistema más controlado, bajo la supervisión de una plataforma que de antemano ha verificado que todos los participantes sean de confianza, cuenten con conocimientos sólidos y sigan los protocolos requeridos. 

En ese contexto, CyScope es una plataforma que permite a empresas y organizaciones poner a prueba la seguridad de sus activos y las medidas de seguridad de sus sistemas, mediante el apoyo de una comunidad o un grupo de hackers éticos que testean, acceden y tratan de infiltrarse en los sistema para comprobar que todo esté funcionando como se debe, y para identificar vulnerabilidades (bugs) en aplicaciones, infraestructuras, IoT; reportarlas a las empresas para la mejora y el refuerzo de sus protocolos de seguridad, a cambio de una recompensa (bounty).

Poniéndolo en términos más sencillos, podríamos describir la plataforma de CyScope como un puente que facilita la comunicación entre empresas y hackers profesionales. Al mismo tiempo, el equipo de CyScope garantiza que las reglas específicas del cliente indicadas en el programa sean respetadas con el fin de mantener la confidencialidad.

¿Qué tan fácil es lanzar un programa con CyScope? 

Es un proceso bastante sencillo. El usuario debe definir el alcance, es decir, el activo que quiere testear, los objetivos y reglas, el nivel de privacidad –si es público o abierto a toda nuestra comunidad de hackers; o privado, solo accesible por un grupo restringido de expertos- y, por último, el presupuesto por cada vulnerabilidad encontrada. El monto del bounty dependerá del nivel de criticidad (crítico, alto, medio, bajo) de la vulnerabilidad, o que tan “peligrosa” sea. 

Luego, el equipo de CyScope invita a sus hackers, los cuales compiten entre ellos para encontrar rápidamente las vulnerabilidades – ya que de eso depende el pago – y ahí empiezan a enviar los reportes detallados de que encontraron, cómo la empresa puede reproducirlos (para validarlos) y al mismo tiempo envían recomendaciones de cómo mitigar el fallo encontrado. Como verán, es una práctica que da bastante flexibilidad y permite a las organizaciones mantener una protección constante de sus activos tecnológicos.

¿Cómo funciona exactamente el modelo de pago por recompensa?

Es un modelo que se basa en pagar recompensas solo por las vulnerabilidades encontradas. El pago está reservado exclusivamente para el primer hacker que lo encuentre, y solamente después de haber validado el reporte. Esto, además de incentivar la competencia entre la comunidad de hackers, también le ofrece al cliente la posibilidad de contar con personas, cada una con habilidades y conocimientos técnicos específicos, descubriendo distintos fallos de seguridad. 

Al fin y al cabo, distintas perspectivas convergen dando lugar a un resultado cualitativamente mejor. No solo van a encontrar muchas más vulnerabilidades, sino que estas pueden ser todas distintas, y en un tiempo menor (¡ya que solo el primero gana!), lo que se traduce a una mayor seguridad a las empresas.

Lo más interesante de esta característica es que no solo se paga la vulnerabilidad validada, sino que el pago también depende del nivel de criticidad de la vulnerabilidad encontrada, lo que le permite al cliente aumentar su eficiencia presupuestaria. 

Por ejemplo, las vulnerabilidades encontradas bajo el programa CyScope tienen un ROI (return on investment) mucho más alto que el que podría tener un servicio de pentest, ya que en este segundo caso se define un proyecto con un tiempo definido y una cantidad de recursos limitados, por lo cual la cantidad de vulnerabilidades encontradas depende del tiempo del proyecto y de la habilidad de los expertos que se asignen. Es menos flexible, por así decirlo.

En tu opinión, ¿cuál es el beneficio particular para las empresas fintech?

Enfocándonos en el sector fintech, la seguridad puede quedar rezagada por priorizar la velocidad de desarrollo que hace parte de este ecosistema, y ya de por sí que la misma naturaleza de la industria hace que este sector sea bastante atractivo para ciberatacantes. Las fintech necesitan una solución que pueda ser tan flexible, dinámica y que además se logre acomodar a los recursos limitados que tienen, en donde puedan obtener el mismo beneficio que contratar a una empresa experta consultora en ciberseguridad. 

Los programas de bug bounty como CyScope le ayudan a que puedan entender rápidamente los niveles de seguridad de sus activos tecnológicos, precisamente al tener acceso a un ejército de hackers éticos, y al contar con una herramienta adaptable a sus estructuras agile. Además, su modelo de pago por recompensa hace que sea mucho más eficiente. Esto se traduce en obtener una gran cantidad de resultados en tiempo récord, utilizando un medio seguro y a bajo costo.

La ciberseguridad se ha convertido en un generador de valor para las fintech, por lo cual debo recalcar la necesidad de desarrollar una actitud de seguridad proactiva para recopilar la inteligencia sobre amenazas y reducir vulnerabilidades. Es mejor entender de antemano la postura de ciberseguridad, a tener que enterarse de las brechas al momento de recibir un ciberataque. Las empresas deben adaptarse de manera segura a los avances tecnológicos y para lograrlo, la clave siempre está en mantenerse un paso delante de los cibercriminales. En todo momento.