Según un nuevo estudio de la firma de ciberseguridad Tenable, existen más de 26.500 vulnerabilidades en las superficies de ataque externas de las 90 principales organizaciones bancarias y de servicios financieros del sudeste asiático. Alrededor de 11.000 de estos activos explotables que dan a Internet pertenecen a las instituciones de primer nivel de Singapur, incluidos prestamistas y aseguradoras. La evaluación encontró un cifrado SSL/TSL débil, activos internos mal configurados, cifrado de URL inconsistente y API antiguas en la industria bancaria y financiera de Tailandia, Indonesia, Malasia, Vietnam, Filipinas y Singapur. Los activos evaluados incluyeron nombres de dominio, subdominios, direcciones IP, servidores web, dispositivos IoT, impresoras de red y cualquier dispositivo conectado a Internet o red interna, entre otros. Singapur experimenta la mayor cantidad de exposiciones explotables Singapur tuvo el mayor número de vulnerabilidades entre los seis países evaluados, con más de 11.000 activos problemáticos que dan a Internet en sus 16 principales empresas bancarias, de servicios financieros y de seguros. Más de 6.000 de esos activos problemáticos estaban alojados en Estados Unidos. El número de vulnerabilidades en otros mercados incluía: Tailandia: 5.000. Indonesia: 4.600. Malasia: 4.200. Vietnam: 3.600. Filipinas: 2.600. Los riesgos residen en el software, el cifrado, las API y las configuraciones La evaluación de Tenable encontró una variedad de «puntos de entrada potenciales fácilmente explotables» dentro de las organizaciones bancarias, financieras y de seguros en el sudeste asiático. La empresa de ciberseguridad declaró que estas «brechas de higiene cibernética» estaban «representando un riesgo potencial para la integridad y seguridad de los datos financieros». Cifrado SSL/TLS débil y obsoleto Según el informe: El cifrado Secure Sockets Layer y Transport Layer Security está diseñado para proteger los datos enviados a través de Internet o una red informática, pero se encontró un cifrado SSL/TLS débil entre las entidades evaluadas. 2.500 activos entre los encuestados todavía usaban TLS 1.0, que Tenable dijo que es «un protocolo de seguridad de 25 años introducido en 1999 y deshabilitado por Microsoft en septiembre de 2022». “Esto pone de relieve el importante desafío que enfrentan las organizaciones con una amplia presencia en Internet para identificar y actualizar tecnologías obsoletas”, dijo Tenable en un comunicado de prensa. Configuración incorrecta de activos internos Una gran cantidad de activos originalmente destinados para uso interno han sido expuestos inadvertidamente. Tenable encontró 4.000 que habían sido configurados incorrectamente de manera que los actores externos pudieran acceder a ellos. “No proteger estos activos internos plantea un riesgo significativo para las organizaciones, ya que crea una oportunidad para que los actores maliciosos ataquen información sensible y sistemas críticos”, dijo la firma. Cifrado de URL final inconsistente Se encontró que más de 900 activos tenían URL finales sin cifrar. Cuando las URL no están cifradas, los datos transmitidos entre un navegador y un servidor no están protegidos por cifrado, lo que los hace vulnerables a la interceptación, el espionaje y la manipulación por parte de actores maliciosos. “Esta falta de cifrado puede llevar a la exposición de información sensible, como credenciales de inicio de sesión, datos personales o detalles de pago, y puede comprometer la integridad de la comunicación”, dijo Tenable. API v3 en uso por instituciones El informe identificó más de 2000 instancias de API v3 del número total de activos evaluados. Tenable dijo que la autenticación inadecuada, la validación de entrada insuficiente, los controles de acceso débiles y las vulnerabilidades en las dependencias dentro de las implementaciones de API v3 crean una superficie de ataque vulnerable. «Los actores maliciosos pueden explotar tales debilidades para obtener acceso no autorizado, comprometer la integridad de los datos y lanzar ciberataques devastadores», decía el comentario de Tenable. Cobertura de seguridad de lectura obligada Las debilidades residen en los principales bancos y aseguradoras del sudeste asiático La evaluación de Tenable se centró en las empresas más grandes por capitalización de mercado en los países del sudeste asiático. Esto hace que los hallazgos sean aún más preocupantes, ya que sugieren que incluso las instituciones más grandes del sector son propensas a vulnerabilidades de ciberseguridad, aunque puedan tener más recursos disponibles. Nigel Ng, vicepresidente sénior de Tenable para Asia Pacífico y Japón, dijo que las debilidades en estos activos revelaron que muchas instituciones financieras en Indonesia, Malasia, Filipinas, Singapur, Tailandia y Vietnam estaban «luchando por cerrar las brechas de seguridad prioritarias que las ponen en riesgo». El riesgo cibernético es importante para los sectores bancario y financiero en APAC La agencia de calificación global S&P Global, que proporciona calificaciones de inversión en APAC, ha indicado que los riesgos cibernéticos que enfrenta el sector bancario y financiero de la región son reales y podrían afectar sus resultados. En una actualización de julio de 2024, los analistas de S&P Global dijeron que los crecientes riesgos cibernéticos en los bancos de Asia-Pacífico afectan particularmente a terceros y bancos «con escasez de habilidades». S&P Global citó una investigación que mostraba: Con el riesgo más agudo para los prestamistas más pequeños de la región, S&P Global advirtió que, aunque las iniciativas de mitigación de riesgos por parte de los reguladores y los bancos han evitado las amenazas cibernéticas, estos problemas aún podrían ocurrir y afectar las calificaciones. Como se señaló en la actualización de S&P Global, «Una mitigación inadecuada del riesgo podría aumentar la probabilidad de una incursión exitosa y llevarnos a debilitar nuestra visión de cómo se gestionan los riesgos cibernéticos. Esto podría tener efectos en las calificaciones».