El sistema bancario estadounidense es vulnerable por dentro y por fuera

n un nuevo estudio que analiza la vulnerabilidad de los sistemas cruciales para la economía estadounidense, la agencia determinó que las instituciones financieras han gastado grandes sumas en crear todo tipo de protecciones contra los sofisticados ataques informáticos. Pero existe otro tipo de riesgo latente, igualmente alto, que se refiere a los fraudes internos.

El estudio reveló que los bancos, firmas de inversión, aseguradoras, burós de crédito, entre otros, no han logrado implementar las medidas de seguridad más básicas, como investigar los antecedentes de sus empleados para prevenir la malversación de fondos y los fraudes crediticios y contables, entre otras cuestiones.

El informe, elaborado por investigadores de la Universidad Carnegie Mellon en Pittsburgh, examina 23 incidentes efectuados entre 1996 y 2002 por 26 personas pertenecientes al sector financiero. Aunque sólo emite recomendaciones, el estudio ha sido divulgado ampliamente entre las entidades, las agencias reguladoras y las autoridades encargadas de formular nuevas normas para mejorar la seguridad en el sector.

"Más que reemplazar la llamada amenaza de baja tecnología", los avances tecnológicos solamente están generando nuevos tipos de delitos informáticos, dice Bruce Townsend, subdirector del área de investigación del Servicio Secreto, una rama del Departamento de Seguridad Nacional de EE.UU. "Tenemos que protegernos contra ambos" tipos de delitos, tanto los de baja tecnología como los de alta tecnología.

Los integrantes de la industria representan una amenaza substancial contra las compañías "por virtud de sus conocimientos y el acceso a los sistemas y/o bases de datos de sus empleadores, y su habilidad de eludir las medidas de seguridad físicas y electrónicas a través de medios legítimos", dice el reporte.

Entre las conclusiones se destaca que unos siete de cada 10 incidentes se llevaron a cabo durante las horas de trabajo y más de un 25% de los miembros de las firmas que incurrió en actividades ilícitas contaba con antecedentes criminales, generalmente en áreas similares a las citadas en el estudio. Todo ello evidencia "la importancia de revisar los antecedentes de los empleados antes de contratarlos", dice el documento.

Una segunda conclusión se refiere a que la gran mayoría de los incidentes se llevaron a cabo a través de comandos simples y legítimos que requieren de poca destreza tecnológica.

En algunos casos los empleados fueron demasiado displicentes con sus claves secretas. En el 85% de los casos, alguien aparte del empleado sabía del fraude pero optó por no reportarlo. Los empleados deberían recibir algún tipo de formación para reconocer actividades cuestionables, dice Townsend.

El incidente más costoso involucró a un corredor de divisas en un banco de inversión: utilizó varias tácticas en las bases de datos de varios sistemas, para que pareciera que generaba grandes cantidades de dinero cuando en realidad había perdido US$691 millones en cinco años, durante el cual recibió miles de dólares en bonos en recompensa por su supuesta productividad.

Juegos sucios

Veinte y tres violaciones de seguridad informática por personal autorizado en bancos y otras instituciones financieras de EE.UU. entre 1996 y 2002:

* La mayoría requirió poca sofisticación técnica.

* La mayoría requirió planeación y el conocimiento anticipado de un cómplice externo.

* Pocos involucraron más de un empleado.

* El motivo fue usualmente financiero.

* El personal de seguridad detectó menos de la mitad.

* Casi una tercera parte se realizó con acceso remoto desde casa.

* 27% de los autores tenía historial de arrestos; 1 de cada 5 estaba disgustado con la empresa.

Fuente: Servicio Secreto de EE.UU. y U. Carnegie Mellon