Dando vueltas, supervisando la corriente de advertencias, había un antiguo soldado de la Delta Force que combatió en Irak y Afganistán antes de cambiar a un nuevo enemigo: ciber ladrones.
«Esto no es tan diferente de los terroristas y los cárteles de la droga», dijo Matt Nyman, el creador del centro de comando, mientras examinaba a su escuadrón de empleados de Mastercard. «Fundamentalmente, las redes de amenazas operan de manera similar».
El cibercrimen es una de las industrias de más rápido crecimiento y más lucrativas del mundo. Al menos $ 445 mil millones se perdieron el año pasado, alrededor de un 30 por ciento desde tan solo tres años antes, según un estudio económico global, y el Departamento del Tesoro recientemente designó ciberataques como uno de los mayores riesgos para el sector financiero estadounidense. Para los bancos y las compañías de pagos, la lucha se siente como una guerra, y responden con un enfoque cada vez más militarizado.
Antiguos ciberpiratas, soldados y oficiales de contrainteligencia del gobierno ahora dominan los rangos más altos de los equipos de seguridad de los bancos. Han traído a sus nuevos trabajos las herramientas y técnicas utilizadas para la defensa nacional: ejercicios de combate, centros de inteligencia basados en los que se usan en el trabajo antiterrorista y analistas de amenazas que monitorean los rincones oscuros de Internet.
En Mastercard, el Sr. Nyman supervisa el nuevo centro de fusión de la compañía, un término prestado del Departamento de Seguridad Nacional. Después de los ataques del 11 de septiembre, la agencia estableció decenas de centros de fusión para coordinar la recopilación de inteligencia federal, estatal y local. El enfoque se extendió por todo el gobierno, con los centros utilizados para combatir brotes de enfermedades, incendios forestales y tráfico sexual.
Luego los bancos aprendieron esta metodología. Al menos una docena de ellos, desde gigantes como Citigroup y Wells Fargo hasta jugadores regionales como Bank of the West, han abierto centros de fusión en los últimos años, y hay más en proceso. Fifth Third Bank está construyendo uno en su sede en Cincinnati, y Visa, que creó sus primeros dos años en Virginia, está desarrollando otros dos en Gran Bretaña y Singapur. Tener su propia colmena de inteligencia, esperan los bancos, les ayudará a detectar mejor los patrones en todos los datos que acumulan.
Los centros también tienen un propósito simbólico. Tener un cuarto de guerra literalmente que refuerza la nueva realidad. Evitar a los ladrones siempre ha sido una prioridad, es por eso que los bancos construyen las bóvedas, pero la carrera de armamentos se ha intensificado rápidamente.
Matt Nyman, un veterano que luchó en Irak y Afganistán, creó el centro en Mastercard. CreditWhitney Curtis para The New York Times
La ciberseguridad, para muchos jefes de compañías financieras, se ha convertido en su mayor temor, eclipsando problemas como la regulación y la economía.
Alfred F. Kelly Jr., director ejecutivo de Visa, es «completamente paranoico» sobre el tema, dijo a los inversores en una conferencia en marzo. Brian T. Moynihan de Bank of America dijo que su equipo de ciberseguridad es «el único lugar de la compañía que no tiene restricciones presupuestarias». (El director de operaciones y tecnología del banco dijo que está gastando alrededor de $ 600 millones este año).
El ejército agudiza las habilidades de los soldados con ejercicios de combate a gran escala como Jade Helm y Foal Eagle, que envían tropas al campo para probar sus tácticas y armamento. El sector financiero creó su propia versión: Quantum Dawn, una simulación bienal de un cyberstrike catastrófico.
En el último ejercicio en noviembre pasado, 900 participantes de 50 bancos, reguladores y agencias del orden público respondieron a una infestación en toda la industria de malware malicioso que primero corrompió, y luego bloqueó completamente, todos los pagos salientes de los bancos. A lo largo de la prueba de dos días, los organizadores lanzaron nuevas amenazas cada pocas horas, como ataques de denegación de servicio que golpearon los sitios web de los bancos fuera de línea.
El primer amanecer cuántico, en 2011, fue una reunión de bajo perfil. Los participantes se apiñaron en una sala de conferencias para hablar sobre un simulacro de ataque que cerró el comercio de acciones. Ahora, es un simulacro de fuego real. Cada banco invierte meses en volver a crear su tecnología interna en una red de prueba aislada, un llamado rango cibernético, para que sus empleados puedan luchar con sus herramientas y software reales. La compañía que maneja su campo de batalla virtual, SimSpace, es un contratista del Departamento de Defensa.
Algunas veces, las pruebas exponen brechas importantes.
Una serie de pequeños ejercicios cibernéticos coordinados por el Departamento del Tesoro, llamado Serie Hamilton, provocó una alarma hace tres años. Un ataque a Sony, atribuido a Corea del Norte, había expuesto recientemente correos electrónicos y datos sensibles de la compañía, y, a su paso, demolió grandes extensiones de la red de Internet de Sony.
Si algo similar sucediera en un banco, especialmente uno más pequeño ¿podrían recuperarse? Los que estaban en la habitación se sintieron incómodos.
«Hubo un reconocimiento de que necesitábamos agregar una capa adicional de capacidad de recuperación», dijo John Carlson, jefe de personal del Centro de Análisis e Intercambio de Información de Servicios Financieros, el principal grupo de coordinación de ciberseguridad de la industria.
Poco después, el grupo comenzó a construir un nuevo seguro contra fallas, llamado Sheltered Harbor, que entró en funcionamiento el año pasado. Si un miembro de la red tiene sus datos comprometidos o destruidos, otros pueden intervenir, recuperar sus registros archivados y restaurar el acceso básico a la cuenta del cliente dentro de uno o dos días. Todavía no se ha necesitado, pero casi el 70 por ciento de las cuentas de depósito de los Estados Unidos ahora están cubiertas.
Los bancos más grandes ejecutan docenas de sus propias simulaciones de ataques internos cada año, para eliminar sus vulnerabilidades y ser los primeros en responder.
«Es la idea de la memoria muscular», dijo Thomas J. Harrington, director de seguridad de la información de Citigroup, que pasó 28 años con la F.B.I.
El creciente interés entre sus clientes corporativos en los juegos de guerra de seguridad cibernética inspiró a IBM a construir un rango digital en Cambridge, Massachusetts, donde organiza infracciones de datos para que los clientes y prospectos puedan practicar.
En el ciberango de IBM, los clientes practican la respuesta a una violación de datos simulada. Creditos Tony Luong para The New York Times.
Recientemente, un banco ficticio llamado Bane & Ox fue atacado por el alcance de IBM, y dos docenas de ejecutivos de la vida real de una variedad de compañías financieras se reunieron para defenderlo. En el escenario de capacitación, un atacante no identificado había vertido seis millones de registros de clientes en Pastebin, un sitio que los piratas informáticos suelen utilizar para publicar cachés de datos robados.
A medida que pasaban las horas, el asalto empeoró. Los datos perdidos incluyeron registros financieros y detalles de identificación personal. Uno de los clientes era Colin Powell, el ex secretario de estado. Los teléfonos en la sala seguían sonando con llamadas de reporteros, ejecutivos iracundos y, eventualmente, reguladores, que querían detalles sobre lo que había ocurrido.
Cuando el grupo descubrió qué sistema informático se había utilizado en la filtración, estalló una acalorada discusión: ¿deberían cortar el acceso a su red de inmediato? ¿O configurar la vigilancia y controlar cualquier otra transmisión?
Según lo indicado por un veterano de la Marina que dirige el grupo de respuesta de ciberataque en un gran banco de Nueva York, el grupo dejó el sistema conectado.
U.S. Bank abrió su centro de fusión en Cincinnati en 2015. Creditos Nathan C. Ward para The New York Times
«Esas son las decisiones que no quiere que se tomen por primera vez durante un ataque real», dijo Bob Stasio, gerente de operaciones cibernéticas de IBM y ex jefe de operaciones del cibercentro de la Agencia de Seguridad Nacional. El equipo ejecutivo de una compañía financiera hizo tan mal trabajo al hablar con su equipo técnico durante un simulacro de capacitación anterior de IBM, dijo Stasio, que se fue a su casa y canceló su tarjeta de crédito con ellos.
Al igual que muchos búnkeres de seguridad cibernética, el agujero de IBM tiene toques deliberadamente teatrales. Pizarras blancas y monitores gigantes llenan casi todas las paredes, con gráficos que pueden manipularse mediante el tacto.
«No se puede tener un centro de fusión a menos que tengas televisores realmente geniales», bromeó Lawrence Zelvin, un ex funcionario de Seguridad Nacional que ahora es el jefe de ciberseguridad global de Citigroup, en una reciente conferencia sobre ciberdelincuencia. «Es incluso mejor si hacen algo cuando los tocas». No importa lo que hagan. Solo algo.»
Los profesionales de la seguridad se refieren burlonamente a esos dulces ojos como mapas de «pew pew», una onomatopeya para el ruido de las pistolas láser en las salas de cine y videojuegos de los años ochenta. Dos populares «pew pew» en mapas son de FireEye y el extinto vendedor de seguridad Norse, cuyos mapas de videojuegos muestran rayos láser en todo el mundo. Norse salió del negocio hace dos años, y nadie está seguro de en qué datos se basa el mapa, pero todos están de acuerdo en que se ve bien.
Un mapa "pew pew" de Norse.
Jason Witty, el principal oficial de seguridad de la información en el Banco de los Estados Unidos, admite que el mapa que parpadea interrumpe para las reuniones informativas con los clientes. Pero tiene un propósito serio, dijo: hacer que el trabajo de alto riesgo del centro de comando sea más tangible. «Si le muestra a los clientes los scripts que está ejecutando en realidad, son sólo dígitos en una pantalla», dijo el Sr. Witty. Un mapa grande y colorido es más fácil de entender.
Lo que le teme a todos en la industria financiera es la repetición, en una escala aún mayor, de la filtración de datos como la que golpeó a Equifax el año pasado. Los hackers robaron información personal, incluidos números de seguridad social, de más de 146 millones de personas. El ataque le costó el trabajo al jefe ejecutivo de la compañía y a otros cuatro altos directivos. Quién robó los datos, y qué hicieron con ellos, aún no se conocen públicamente. El buró de crédito ha gastado $ 243 millones hasta el momento para limpiar el desastre.
El trabajo del Sr. Nyman es asegurarse de que eso no ocurra en Mastercard. Al caminar por el centro de fusión de la compañía, describe el trabajo del equipo usando jerga militar. Su enfoque es «a la izquierda del auge», dijo, refiriéndose a los momentos previos a la explosión de una bomba. Al detectar vulnerabilidades e intentos de piratería, los analistas pretenden evitar una explosión similar a Equifax.
Pero los ataques siguen llegando. Mientras hablaba, el dial que se mostraba sobre su hombro registró otros pocos asaltos en los sistemas de Mastercard. El total en lo que va del año supera los 20 millones.
Una versión de este artículo aparece impresa el 20 de mayo de 2018, en la página B1 de la edición de Nueva York con el titular: War Rooms ayuda a los bancos en el delito cibernético.
Fuente: https://www.nytimes.com