Formación de Ciberseguridad
Analizaremos estrategias para potenciar la resiliencia organizacional y optimizar la toma de decisiones frente a incidentes y ataques, con el propósito de minimizar el impacto financiero y preservar la imagen y reputación institucional.
Agenda
Incidentes de Ciberseguridad en el Grupo
- Línea de tiempo (2019 - 2025) y lecciones aprendidas de ataques externos, internos que han causado incidentes de indisponibilidad de servicios y fuga de información en el Grupo.
Gobierno de Ciberseguridad
- Gobierno sobre la supervisión y ciber-consciencia del riesgo cibernético.
- Integración de la ciberseguridad en la estrategia organizacional y en una crisis cibernética.
Gestión de Riesgos del Programa de Ciberseguridad
- Evolución de los Ciberataques con el uso de la Inteligencia Artificial
Amenazas en el Ciberespacio.
- Dark WEB y Deep WEB (datos en el mercado).
Conclusiones y Recomendaciones
Entorno de Ciberseguridad - 2024-2025
La ciberseguridad ha dejado de ser un tema técnico o de TI: es ahora un asunto estratégico, transversal y geopolítico. Las organizaciones públicas y privadas deben adoptar un enfoque integral, basado en ciberresiliencia, gobernanza, colaboración internacional y cultura organizacional de seguridad.
4/5
62%
98%
Empresas que declaran haber recibido ciber ataques
Empresas que declaran que el presupuesto asignado a Ciberseguridad no es suficiente.
Directores de empresas no capacitados en el ámbito de la Ciberseguridad
Ignorar los problemas actuales de ciberseguridad equivale a aceptar la interrupción inevitable del negocio, el deterioro de la confianza y la exposición a riesgos exponenciales.
Fuentes: Informe anual Security Report 2024, elaborado por Eset.
En la última década, la transformación digital del sistema financiero ha traido consigo no solo nuevas oportunidades, sino tambien amenazas emergentes que han redefinido los perfiles de riesgo de las instituciones bancarias y regulatorias. Dos fenómenos destacan por su impacto económico y reputacional global: la ciberdelincuencia y el crimen financiero tradicional, como el lavado de activos y el narcotráfico. Las principales pérdidas provienen de:
- Ransomware y secuestro de sistemas criticos bancarios.
- Fraudes por suplantación de identidad (phishing, vishing)
- Robo de datos y filtración de información financiera.
- Ciberataques a proveedores tecnológicos tercerizados.
El lavado de activos sigue siendo una fuente primaria de fondos licitos, pero ha mutado hacia esquemas más sofisticados de financiamiento, incluyendo uso de criptomonedas y empresas fachada. El reto regutatorio y tecnológico es mayor en el ámbito cibernético, dado que los marcos legales aún son reactivos y descoordinados globalmente. Los bancos deben evolucionar de estrategias defensivas a modelos proactivos de ciberresiliencia, integrando ciberseguridad, inteligencia artificial y colaboración interinstitucional.
INCIDENTES DE CIBERSEGURIDAD EN EL GRUPO
2021
2019
2020
2024
2025
2022
Fuga información - Proveedor
Ingeniería Social
Ransomware
Suplantación de identidad
Ransomware
Suplantación de identidad
El spear phishing es una forma de phishing altamente personalizada, donde atacantes se hacen pasar por fuentes confiables (como colegas o proveedores) para engañar a las víctimas y obtener información sensible o acceso a sistemas
Afectación por Malware sobre infraestructura, servidores, sistemas.
Afectación por Malware sobre infraestructura, servidores, sistemas.
Ataque a un tercero que provee servicios a instituciones financieras del grupo.
Ataque Suplantación de identidad en Nube
Suplantación de identidad con Inteligencia Artificial
Ransomware
Exfiltración de información
Suplantación identidad
Afectación por Malware sobre infraestructura, servidores, sistemas.
Ataque Suplantación de identidad en Nube
Robo de información confidencial del Banco
Suplantación identidad
Suplantación identidad
Alguien finge ser otra persona para engañar o robar información.
Ataque Suplantación de identidad dirigido
Exfiltración de información
Actores de amenazas
Holanda
Canadá
Acciones
Los atacantes ingresaron desde la red tor para evitar ser rastreados, se identificaron al menos 4 ubicaciones diferentes durante la revisión
Ecuador
Rol de Órganos de Gobierno sobre la supervisión y consciencia del Riesgo Cibernético
Gobernanza de Ciberseguridad
Estrategia Empresarial
Consejo de Administración
Supervisión
Miembros del Consejo de Ciberseguridad
Riesgo Empresarial y Cumplimiento
Equipo de Ciberseguridad, compuesto por:
Operaciones de Seguridad
Seguridad en la Nube
Seguridad de Productos
Aseguramiento Cibernético
Transformación Digital en Ciberseguridad
Políticas y Marcos de Procedimientos
Cultura y concientización
Ciclo del Programa de Ciberseguridad
Riesgo de Ciberseguridad
Comisión de Riesgos
Comisión de Auditoría
Responder
Identificar
Detectar
Recuperar
Proteger
Evaluación de Riesgos.
Gestión de Alertas
Pruebas de Recuperación
Tecnología de Detección.
Tecnologías de Defensa
Investigaciones Cibernéticas
Comunicar y Consultar
Gestión de Excepcionanmiento
Monitorear y Revisar
Transformación
Restauración de Operaciones
Estándares y Certificaciones.
Gestión de Activos.
Retroalimentación
Inventario de Amenazas.
Controles de Acceso.
Monitoreo en Tiempo Real.
Lecciones Aprendidas
Planes de Respuesta
Métricas de Ciberseguridad y aseguramiento Autoevaluación/ KPIs/KRIs/Auditorías
Reporte
Actividades de órganos de Gobierno en una crisis cibernética
Solicitar reportes reales y exactos, considerando:
- Saber que sucedió?
- Cual es el impacto?
- Tiempo estimado de recuperación?
01
Informarse
Mantener un seguimiento de cerca para entender como avanzan las tareas y esfuerzos.
02
Seguimiento
04
Garantizar la comunicación oportuna y precisa con los stakeholders, incluidos los entes reguladores, en relación con los aspectos relevantes a su ámbito de responsabilidad
03
Comunicación
04
Establecer sinergias con equipos técnicos y actores clave para ejecutar planes de recuperación sólidos
04
Coordinación
05
Analizar el efecto sobre la reputación, los activos y los negocios post incidente
Evaluación
¿Cuánto tiempo tomaría recuperar las operaciones en un incidente?
¿Cuál es la cobertura del seguro de Ciberseguridad?
¿Como sabemos que nuestros proveedores tienen buenas seguridades?
¿Nuestra inversión en Ciberseguridad en rentable?
Preguntas Clave
¿Medimos periódicamente el nivel de madurez de la ciberseguridad y sabemos cuál es el GAP?
¿Cuántos incidentes evitamos en el año y que perdidas evitamos?
¿Cuánto podría perder si ocurre un incidente?
Impacto de la Inteligencia Artificial en Ciberataques
Mayor sofisticación:
- Diseño de ataques personalizados (phishing avanzado y spear-phishing).
- Uso de tecnología deepfake para engañar a las víctimas.
Automatización de ataques:
- Malware adaptable que evade herramientas de detección.
- Automatización de ataques masivos dirigidos.
Mayor efectividad:
- Ataques DDoS organizados y adaptables usando IA.
- Identificación de vulnerabilidades en sistemas mediante algoritmos.
Incremento de ataques de ingeniería social:
- Manipulación emocional y sofisticación en estrategias de engaño.
- Extracción de datos sensibles mediante suplantación inteligente.
Espectro de Internet
4% de sitios
Diferencias Web superficial: Contenido indexado por Google, Bing, yahoo, chatgpt, etc. Deep Web: Contenido no indexado como correos, sitios internos (intranets), bases de datos, portales transaccionales, etc. Dark Web: La Dark Web puede contener tanto contenido legítimo como actividades ilícitas, y requiere software especializado para obtener acceso.
90% de sitios
6% internet
Conclusiones y recomendaciones
Planificación
Ciberdelincuencia
La ciberdelincuencia no es un riesgo operativo aislado, sino una amenaza estructural y estratégica.
Planificar la estrategia de Ciberseguridad sostenible
Medición
Pruebas técnicas
Los indicadores clave deben permitir medir la postura de ciberseguridad
Velar porque las pruebas de penetración (pentesting) sean exhaustivas, y cambien en función a las nuevas tendencias de ataques.
Ciber-conciencia
Proveedores
Requerir controlar a proveedores TIC externos, con contratos que incluyan cláusulas específicas de auditorías.
Fomentar la conciencia cibernética
Talento
Talento especializado es clave para prevenir y proteger
Preguntas y Respuestas.
Gracias.
Mecanismo
Se identificaron en 2 servidores el malware RAT Coroxy (SystemBC), utilizado comúnmente para exfiltración de datos. Se recolectaron y agruparon los datos de diferentes equipos y se realizó exfiltración de información por tamaños fijos de paquetes.
Recomendación
Implementar controles acoplados con requisitos legales como DORA, que permitan fortalece la resiliencia operativa de tu organización. Comienza por revisar contratos actuales e involucra a equipos legales, de TI y de cumplimiento.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Para estar preparados ante una crisis, se debe:
- Involucrar desde el inicio al Consejo/Directorio, con reportes claros y transparentes sobre los riesgos expuestos e impacto.
- Establecer, mantener y probar regularmente los planes de respuesta y recuperación ante incidentes.
- Activar equipos forenses desde el inicio e involucrar especialistas independientes, auditoria o externos, en caso de que la organización no tenga estas capacidades.
- Contar con un plan de comunicación de crisis bien definido y ejecutarlo de forma transparente y oportuna.
- Establecer una estructura de gobierno de crisis con líderes técnicos, legales/compliance, de TI, de comunicación, riesgos y negocios. VI. Implementar análisis post-mortem y actualizaciones inmediatas a los controles de seguridad.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Sector No Financiero
Vector de ataque: Phishing. Tipo de ataque: Ransomware. Impacto: Indisponibilidad de sistemas, encriptación y perdida completa de bases de datos. Tiempo de indisponibilidad: 15 días. Tiempo de restauración de servicios: >120 días.
Debilidades: • Ausencia de un Programa de Ciberseguridad. • Desconocimiento de los riesgos en toda la organización.
NOTA: Reconstrucción de los sistemas e ingreso y registro manual de la información física. No se recuperaron los datos de créditos en su totalidad, ya que no existían respaldos. El regulador impositivo incrementó su escrutinio, ocasionando una multa.
Recomendación
La ciberseguridad no puede gestionarse de forma efectiva si no se mide y evalúa. Esto implica definir procesos de aseguramiento en 1era, 2da y 3era LDR. Los indicadores clave deben permitir medir el ciclo de identificación, protección, detección, respuesta y recuperación, y en su conjunto, monitorear el estado de defensa de la organización. Mantener un estado saludable de estos indicadores permite mantener una resiliencia operacional y la continuidad.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Recomendación
Define objetivos claros, prioriza riesgos, implementa controles adaptativos, capacita personal, audita regularmente, revisa estrategias anualmente.
Tecnología de Detección
Inversiones en herramientas para detección de amenazas (ejem: SIEM, IDS)
Lecciones Aprendidas
Manejo y gestión de base de datos de lecciones aprendidas que impacta en los procesos de recuperación para la mejora continua.
Sector Seguros
Vector de ataque: PhishingTipo de ataque: Ransomware. Impacto: Indisponibilidad de sistemas y servicios en la compañia. Tiempo de indisponibilidad: 15 días. Tiempo de recuperación: Al rededor de 30 días.
Debilidades:
- Ausencia de un Programa de Ciberseguridad.
- Desconocimiento de los riesgos de Ciberseguridad en toda la organización.
NOTA: - Reconstrucción de los sistemas e ingreso y registro manual de la información física.
Retroalimentación
Mejoras en casos de uso e ingesta de indicadores de compromiso e indicadores de ataque.
Tecnologías de Defensa
Inversiones en herramientas para la protección de amenazas (ejem: Firewall, DLP, XDR, NDR, EDR, IPS)
Recomendación
Las pruebas de penetración (pentesting) son esenciales para identificar vulnerabilidades en sistemas, redes y aplicaciones, simulando ataques reales. Para que sean exhaustivas, deben cubrir un amplio espectro de activos y escenarios, mientras que la adaptabilidad implica actualizarlas continuamente ante evoluciones como ataques impulsados por IA, amenazas en la nube y cadenas de suministro.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Sector Bancario
Vector de ataque: Explotación de vulnerabilidadTipo de ataque: Suplantación de Identidad en Nube Impacto: Costos por ejecución de servicios en la nube del Banco (amazon web services) para envío de correos maliciosos. Tiempo de indisponibilidad: N/A. Tiempo de recuperación: N/A.
Debilidades:
- Ausencia de controles de Ciberseguridad en aplicaciones web.
- Ausencia de controles en Nube.
- Desconocimiento de los riesgos de Ciberseguridad en toda la organización.
Controles de Acceso.
Procesos de buenas practicas de seguridad en manejo de contraseñas y gestión usuarios que incluye usuarios privilegiados
"No se trata de reemplazar prioridades, sino de redefinir el esquema de riesgos, reconociendo que el crimen financiero se ha digitalizado".
Sector Bancario
Vector de ataque: Insider. Tipo de ataque: Suplantación de Identidad en Nube. Impacto: Costos por ejecución de servicios que desplegaron los atacantes en la nube del Banco (azure) para retransmisión de tráfico streaming. Tiempo de indisponibilidad: N/A. Tiempo de recuperación: N/A. Nota: Costos de afectación 500k por facturación de servicios en nube.
Debilidades:
- Ausencia de controles de Ciberseguridad en Nube.
- Deficiencias en la gestión de usuarios privilegiados.
- Desconocimiento de los riesgos de Ciberseguridad en toda la organización.
Sector Bancario
Debilidades:
- Ausencia de controles de Ciberseguridad en aplicaciones web.
- Falta de evaluación de riesgos de Ciberseguridad en lanzamiento de nuevos productos.
Vector de ataque: Suplantación de identidad con IA. Tipo de ataque: Evasión de reconocimeinto facial con Inteligencia artificial.Impacto: Creación de cuentas de usuarios sin control.
Investigaciones Cibernéticas
Asegurar las capacidades internas para ejecutar investigaciones cibernétricas, forenses y de corelacción de logs en caso de ataques cibernérticos.
"No se trata de reemplazar prioridades, sino de redefinir el esquema de riesgos, reconociendo que el crimen financiero se ha digitalizado".
Exfiltración de información
El proceso de exfiltración inicia antes del ataque a los servidores (encriptación).
El malware particiona datos en paquetes pequeños para evadir controles de detección. (25 MB aprox).
El malware envía los datos a 2 servidores externos (192.53.123.202 y 5.2.78.113) maliciosos a través del puerto 4192.
Recomendación
Disponer de talento estratégico y técnico altamente capacitado para gestionar y superar eficazmente una crisis cibernética.
Sector Bancario
Debilidades - Deficiente gestión de incidentes. - Mal manejo de usuarios privilegiados. - Deficiente gestión de logs, capacidad y almacenamiento. - - Estándares de seguridad en manejo de claves y perfiles. - Gestión de Vulnerabilidades.
Vector de ataque: Compromiso de un usuario privilegiado de un tercero. Tipo de ataque: Ransomware Impacto: Indisponibilidad de sistemas y servicios, afectación de al rededor de +1k de servidores virtuales incluídos los de contingencia en el data center alterno. Tiempo de indisponibilidad: 15 días. Tiempo de restauración de servicios: >90 progresivamente.
Lecciones aprendidas - Oportunidad en el involucramiento del directorio en toma de decisiones. - Comunicación abierta con grupos de interés (directorio, reguladores, clientes y colaboradores). - Protección de marca y difusión de versión oficial en redes sociales. - Capacidades adecuadas con equipos de Ciberseguridad, para conducir análisis forenses. - Ejercicios regulares con escenarios de ciberataques.
NOTA: - El regulador sancionó con multas económicas al Banco y al proveedor. - Banco fue multado por 1,4MM. - Proveedor fue multado por 12MM.
Gestión de Alertas
Investigación y triaje, que incluye análisis, descarte, priorización y documentación que respalde las conclusiones.
Pruebas de Recuperación
Ejecución periódica de pruebas de recuperación ante ataques cibernérticos.
Exfiltración de información
El proceso de exfiltración inicia antes del ataque a los servidores (encriptación).
El malware particiona datos en paquetes pequeños para evadir controles de detección. (25 MB aprox).
El malware envía los datos a 2 servidores externos (192.53.123.202 y 5.2.78.113) maliciosos a través del puerto 4192.
Evaluación de Riesgos.
Metodologías robustas para valorar y cuantificar el impacto de las posibles amenazas.
Debilidades: Fallas en la concientización sobre riesgos de ciberseguridad a los colaboradores. Ausencia de herramientas que puedan detectar listas negras, dominios falsos o poco confiables.
Sector No Financiero
Vector de ataque: Ingeniería Social. Tipo de ataque: Sphear Phising.Impacto: Pérdida económica por transferencia internacional a una cuenta fraudulenta por un valor aproximado de 140K.
Inventario de Amenazas
Mapeo de las amenazas y brechas expuestas en los activos de información con los que se opera.
Planes de Respuesta
Playbooks de amenazas, comunicación, escalamiento y respuesta.
Gestión Excepcionanmiento
Procedimientos para monitorear excepcionamientos y comportamiento de usuarios quienes tengan atribuciones eventuales para la operación de la tecnología.
Sector Bancario
Vector de ataque: Insider. Tipo de ataque: Exfiltración de información por terceros.Impacto: Robo de bases de datos con tarjetas de crédito. Nota: Revisión en ejecución.
Monitoreo en Tiempo Real
Procesos y actividades con los recursos suficientes para monitorear en tiempo real la infraestructura tecnológica crítica (ejem SOC)
Restauración de Operaciones
Alineación de recuperación con los procesos críticos de la organización considerando escenarios que impacten procesos automáticos o manuales que requieran restaurar.
Recomendación
Debe existir un marco de gobierno con roles y responsabilidades en 1era, 2da y 3era LDR, con un comité que los supervise. El comité de Auditoría y Comité de riesgos deben tener un mandato sobre esta supervisión.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Sector Bancario (2 entidades)
Vector de ataque: Atacante interno (Insider). Tipo de ataque: Exfiltración de información. Impacto: Robo de información de clientes de los Bancos, datos de contactabilidad, millas, cuentas, ingresos.Tiempo de indisponibilidad: 1 día. Tiempo de restauración de servicios: 30 días.
Debilidades: Ausencia de un programa de Ciberseguridad en el tercero. Falta de supervisión de los Bancos hacia el proveedor. Debilidades en desarrollo de aplicaciones web.
Recomendación
Capacitar al personal constantemente, reforzar los riesgos y cultura orientada a buenas prácticas de Ciberseguridad
Gestión de Activos.
Procesos implementados para identificar, mantener y preservar los inventarios de activos de información, dispositivos, hardware, software, conexiones, y los procesos de clasificación de información sensible en dichos activos.
Sector Bancario
Vector de ataque: Ingeniería Social.Tipo de ataque: Spear Phishing. Impacto: Intento de fraude mediante generación de transferencias sin procedimientos formales al rededor de 400k, que se contuvo a tiempo. Tiempo de recuperación: N/A.
Debilidades:
- Desconocimiento de los riesgos de Ciberseguridad en toda la organización.
- Falta de cumplimiento en procedimientos para ejecución de transferencias fuera del flujo normal.
Estándares y Certificaciones.
Cumplimiento de certificaciones autoimpuestas mínimas para la operación (PCI).
Sector Bancario
Debilidades - Mal manejo de usuarios privilegiados. - Deficiente gestión de logs, capacidad y almacenamiento. - - Estándares de seguridad en manejo de claves y perfiles.
Vector de ataque: Atacante interno (Insider) Tipo de ataque: Suplantación de identidadImpacto: Robo de información crítica de clientes, información altamente confidencial del Banco como nómina, inversiones, informes de auditoría, entre otros.
Sector Bancario
Debilidades - Deficiente gestión de incidentes. - Mal manejo de usuarios privilegiados. - Deficiente gestión de logs, capacidad y almacenamiento. - - Estándares de seguridad en manejo de claves y perfiles. - Gestión de Vulnerabilidades.
Vector de ataque: Compromiso de un usuario privilegiado de un tercero. Tipo de ataque: Ransomware Impacto: Indisponibilidad de sistemas y servicios, afectación de al rededor de +1k de servidores virtuales incluídos los de contingencia en el data center alterno. Tiempo de indisponibilidad: 15 días. Tiempo de restauración de servicios: >90 progresivamente.
Lecciones aprendidas - Oportunidad en el involucramiento del directorio en toma de decisiones. - Comunicación abierta con grupos de interés (directorio, reguladores, clientes y colaboradores). - Protección de marca y difusión de versión oficial en redes sociales. - Capacidades adecuadas con equipos de Ciberseguridad, para conducir análisis forenses. - Ejercicios regulares con escenarios de ciberataques.
NOTA: - El regulador sancionó con multas económicas al Banco y al proveedor. - Banco fue multado por 1,4MM. - Proveedor fue multado por 12MM.
Formación de Ciberseguridad Colombia
Christian Gudiño
Created on October 24, 2025
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Word Search: Corporate Culture
View
Corporate Escape Room: Operation Christmas
View
Happy Holidays Mobile Card
View
Christmas Magic: Discover Your Character!
View
Christmas Spirit Test
View
Branching Scenario: Save Christmas
View
Correct Concepts
Explore all templates
Transcript
Formación de Ciberseguridad
Analizaremos estrategias para potenciar la resiliencia organizacional y optimizar la toma de decisiones frente a incidentes y ataques, con el propósito de minimizar el impacto financiero y preservar la imagen y reputación institucional.
Agenda
Incidentes de Ciberseguridad en el Grupo
Gobierno de Ciberseguridad
Gestión de Riesgos del Programa de Ciberseguridad
Amenazas en el Ciberespacio.
Conclusiones y Recomendaciones
Entorno de Ciberseguridad - 2024-2025
La ciberseguridad ha dejado de ser un tema técnico o de TI: es ahora un asunto estratégico, transversal y geopolítico. Las organizaciones públicas y privadas deben adoptar un enfoque integral, basado en ciberresiliencia, gobernanza, colaboración internacional y cultura organizacional de seguridad.
4/5
62%
98%
Empresas que declaran haber recibido ciber ataques
Empresas que declaran que el presupuesto asignado a Ciberseguridad no es suficiente.
Directores de empresas no capacitados en el ámbito de la Ciberseguridad
Ignorar los problemas actuales de ciberseguridad equivale a aceptar la interrupción inevitable del negocio, el deterioro de la confianza y la exposición a riesgos exponenciales.
Fuentes: Informe anual Security Report 2024, elaborado por Eset.
En la última década, la transformación digital del sistema financiero ha traido consigo no solo nuevas oportunidades, sino tambien amenazas emergentes que han redefinido los perfiles de riesgo de las instituciones bancarias y regulatorias. Dos fenómenos destacan por su impacto económico y reputacional global: la ciberdelincuencia y el crimen financiero tradicional, como el lavado de activos y el narcotráfico. Las principales pérdidas provienen de:
- Ransomware y secuestro de sistemas criticos bancarios.
- Fraudes por suplantación de identidad (phishing, vishing)
- Robo de datos y filtración de información financiera.
- Ciberataques a proveedores tecnológicos tercerizados.
El lavado de activos sigue siendo una fuente primaria de fondos licitos, pero ha mutado hacia esquemas más sofisticados de financiamiento, incluyendo uso de criptomonedas y empresas fachada. El reto regutatorio y tecnológico es mayor en el ámbito cibernético, dado que los marcos legales aún son reactivos y descoordinados globalmente. Los bancos deben evolucionar de estrategias defensivas a modelos proactivos de ciberresiliencia, integrando ciberseguridad, inteligencia artificial y colaboración interinstitucional.INCIDENTES DE CIBERSEGURIDAD EN EL GRUPO
2021
2019
2020
2024
2025
2022
Fuga información - Proveedor
Ingeniería Social
Ransomware
Suplantación de identidad
Ransomware
Suplantación de identidad
El spear phishing es una forma de phishing altamente personalizada, donde atacantes se hacen pasar por fuentes confiables (como colegas o proveedores) para engañar a las víctimas y obtener información sensible o acceso a sistemas
Afectación por Malware sobre infraestructura, servidores, sistemas.
Afectación por Malware sobre infraestructura, servidores, sistemas.
Ataque a un tercero que provee servicios a instituciones financieras del grupo.
Ataque Suplantación de identidad en Nube
Suplantación de identidad con Inteligencia Artificial
Ransomware
Exfiltración de información
Suplantación identidad
Afectación por Malware sobre infraestructura, servidores, sistemas.
Ataque Suplantación de identidad en Nube
Robo de información confidencial del Banco
Suplantación identidad
Suplantación identidad
Alguien finge ser otra persona para engañar o robar información.
Ataque Suplantación de identidad dirigido
Exfiltración de información
Actores de amenazas
Holanda
Canadá
Acciones
Los atacantes ingresaron desde la red tor para evitar ser rastreados, se identificaron al menos 4 ubicaciones diferentes durante la revisión
Ecuador
Rol de Órganos de Gobierno sobre la supervisión y consciencia del Riesgo Cibernético
Gobernanza de Ciberseguridad
Estrategia Empresarial
Consejo de Administración
Supervisión
Miembros del Consejo de Ciberseguridad
Riesgo Empresarial y Cumplimiento
Equipo de Ciberseguridad, compuesto por:
Operaciones de Seguridad
Seguridad en la Nube
Seguridad de Productos
Aseguramiento Cibernético
Transformación Digital en Ciberseguridad
Políticas y Marcos de Procedimientos
Cultura y concientización
Ciclo del Programa de Ciberseguridad
Riesgo de Ciberseguridad
Comisión de Riesgos
Comisión de Auditoría
Responder
Identificar
Detectar
Recuperar
Proteger
Evaluación de Riesgos.
Gestión de Alertas
Pruebas de Recuperación
Tecnología de Detección.
Tecnologías de Defensa
Investigaciones Cibernéticas
Comunicar y Consultar
Gestión de Excepcionanmiento
Monitorear y Revisar
Transformación
Restauración de Operaciones
Estándares y Certificaciones.
Gestión de Activos.
Retroalimentación
Inventario de Amenazas.
Controles de Acceso.
Monitoreo en Tiempo Real.
Lecciones Aprendidas
Planes de Respuesta
Métricas de Ciberseguridad y aseguramiento Autoevaluación/ KPIs/KRIs/Auditorías
Reporte
Actividades de órganos de Gobierno en una crisis cibernética
Solicitar reportes reales y exactos, considerando:
01
Informarse
Mantener un seguimiento de cerca para entender como avanzan las tareas y esfuerzos.
02
Seguimiento
04
Garantizar la comunicación oportuna y precisa con los stakeholders, incluidos los entes reguladores, en relación con los aspectos relevantes a su ámbito de responsabilidad
03
Comunicación
04
Establecer sinergias con equipos técnicos y actores clave para ejecutar planes de recuperación sólidos
04
Coordinación
05
Analizar el efecto sobre la reputación, los activos y los negocios post incidente
Evaluación
¿Cuánto tiempo tomaría recuperar las operaciones en un incidente?
¿Cuál es la cobertura del seguro de Ciberseguridad?
¿Como sabemos que nuestros proveedores tienen buenas seguridades?
¿Nuestra inversión en Ciberseguridad en rentable?
Preguntas Clave
¿Medimos periódicamente el nivel de madurez de la ciberseguridad y sabemos cuál es el GAP?
¿Cuántos incidentes evitamos en el año y que perdidas evitamos?
¿Cuánto podría perder si ocurre un incidente?
Impacto de la Inteligencia Artificial en Ciberataques
Mayor sofisticación:
- Uso de tecnología deepfake para engañar a las víctimas.
Automatización de ataques:- Malware adaptable que evade herramientas de detección.
- Automatización de ataques masivos dirigidos.
Mayor efectividad:- Ataques DDoS organizados y adaptables usando IA.
- Identificación de vulnerabilidades en sistemas mediante algoritmos.
Incremento de ataques de ingeniería social:Espectro de Internet
4% de sitios
Diferencias Web superficial: Contenido indexado por Google, Bing, yahoo, chatgpt, etc. Deep Web: Contenido no indexado como correos, sitios internos (intranets), bases de datos, portales transaccionales, etc. Dark Web: La Dark Web puede contener tanto contenido legítimo como actividades ilícitas, y requiere software especializado para obtener acceso.
90% de sitios
6% internet
Conclusiones y recomendaciones
Planificación
Ciberdelincuencia
La ciberdelincuencia no es un riesgo operativo aislado, sino una amenaza estructural y estratégica.
Planificar la estrategia de Ciberseguridad sostenible
Medición
Pruebas técnicas
Los indicadores clave deben permitir medir la postura de ciberseguridad
Velar porque las pruebas de penetración (pentesting) sean exhaustivas, y cambien en función a las nuevas tendencias de ataques.
Ciber-conciencia
Proveedores
Requerir controlar a proveedores TIC externos, con contratos que incluyan cláusulas específicas de auditorías.
Fomentar la conciencia cibernética
Talento
Talento especializado es clave para prevenir y proteger
Preguntas y Respuestas.
Gracias.
Mecanismo
Se identificaron en 2 servidores el malware RAT Coroxy (SystemBC), utilizado comúnmente para exfiltración de datos. Se recolectaron y agruparon los datos de diferentes equipos y se realizó exfiltración de información por tamaños fijos de paquetes.
Recomendación
Implementar controles acoplados con requisitos legales como DORA, que permitan fortalece la resiliencia operativa de tu organización. Comienza por revisar contratos actuales e involucra a equipos legales, de TI y de cumplimiento.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Para estar preparados ante una crisis, se debe:
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Sector No Financiero
Vector de ataque: Phishing. Tipo de ataque: Ransomware. Impacto: Indisponibilidad de sistemas, encriptación y perdida completa de bases de datos. Tiempo de indisponibilidad: 15 días. Tiempo de restauración de servicios: >120 días.
Debilidades: • Ausencia de un Programa de Ciberseguridad. • Desconocimiento de los riesgos en toda la organización.
NOTA: Reconstrucción de los sistemas e ingreso y registro manual de la información física. No se recuperaron los datos de créditos en su totalidad, ya que no existían respaldos. El regulador impositivo incrementó su escrutinio, ocasionando una multa.
Recomendación
La ciberseguridad no puede gestionarse de forma efectiva si no se mide y evalúa. Esto implica definir procesos de aseguramiento en 1era, 2da y 3era LDR. Los indicadores clave deben permitir medir el ciclo de identificación, protección, detección, respuesta y recuperación, y en su conjunto, monitorear el estado de defensa de la organización. Mantener un estado saludable de estos indicadores permite mantener una resiliencia operacional y la continuidad.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Recomendación
Define objetivos claros, prioriza riesgos, implementa controles adaptativos, capacita personal, audita regularmente, revisa estrategias anualmente.
Tecnología de Detección
Inversiones en herramientas para detección de amenazas (ejem: SIEM, IDS)
Lecciones Aprendidas
Manejo y gestión de base de datos de lecciones aprendidas que impacta en los procesos de recuperación para la mejora continua.
Sector Seguros
Vector de ataque: PhishingTipo de ataque: Ransomware. Impacto: Indisponibilidad de sistemas y servicios en la compañia. Tiempo de indisponibilidad: 15 días. Tiempo de recuperación: Al rededor de 30 días.
Debilidades:
NOTA: - Reconstrucción de los sistemas e ingreso y registro manual de la información física.
Retroalimentación
Mejoras en casos de uso e ingesta de indicadores de compromiso e indicadores de ataque.
Tecnologías de Defensa
Inversiones en herramientas para la protección de amenazas (ejem: Firewall, DLP, XDR, NDR, EDR, IPS)
Recomendación
Las pruebas de penetración (pentesting) son esenciales para identificar vulnerabilidades en sistemas, redes y aplicaciones, simulando ataques reales. Para que sean exhaustivas, deben cubrir un amplio espectro de activos y escenarios, mientras que la adaptabilidad implica actualizarlas continuamente ante evoluciones como ataques impulsados por IA, amenazas en la nube y cadenas de suministro.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Sector Bancario
Vector de ataque: Explotación de vulnerabilidadTipo de ataque: Suplantación de Identidad en Nube Impacto: Costos por ejecución de servicios en la nube del Banco (amazon web services) para envío de correos maliciosos. Tiempo de indisponibilidad: N/A. Tiempo de recuperación: N/A.
Debilidades:
Controles de Acceso.
Procesos de buenas practicas de seguridad en manejo de contraseñas y gestión usuarios que incluye usuarios privilegiados
"No se trata de reemplazar prioridades, sino de redefinir el esquema de riesgos, reconociendo que el crimen financiero se ha digitalizado".
Sector Bancario
Vector de ataque: Insider. Tipo de ataque: Suplantación de Identidad en Nube. Impacto: Costos por ejecución de servicios que desplegaron los atacantes en la nube del Banco (azure) para retransmisión de tráfico streaming. Tiempo de indisponibilidad: N/A. Tiempo de recuperación: N/A. Nota: Costos de afectación 500k por facturación de servicios en nube.
Debilidades:
Sector Bancario
Debilidades:
Vector de ataque: Suplantación de identidad con IA. Tipo de ataque: Evasión de reconocimeinto facial con Inteligencia artificial.Impacto: Creación de cuentas de usuarios sin control.
Investigaciones Cibernéticas
Asegurar las capacidades internas para ejecutar investigaciones cibernétricas, forenses y de corelacción de logs en caso de ataques cibernérticos.
"No se trata de reemplazar prioridades, sino de redefinir el esquema de riesgos, reconociendo que el crimen financiero se ha digitalizado".
Exfiltración de información
El proceso de exfiltración inicia antes del ataque a los servidores (encriptación). El malware particiona datos en paquetes pequeños para evadir controles de detección. (25 MB aprox). El malware envía los datos a 2 servidores externos (192.53.123.202 y 5.2.78.113) maliciosos a través del puerto 4192.
Recomendación
Disponer de talento estratégico y técnico altamente capacitado para gestionar y superar eficazmente una crisis cibernética.
Sector Bancario
Debilidades - Deficiente gestión de incidentes. - Mal manejo de usuarios privilegiados. - Deficiente gestión de logs, capacidad y almacenamiento. - - Estándares de seguridad en manejo de claves y perfiles. - Gestión de Vulnerabilidades.
Vector de ataque: Compromiso de un usuario privilegiado de un tercero. Tipo de ataque: Ransomware Impacto: Indisponibilidad de sistemas y servicios, afectación de al rededor de +1k de servidores virtuales incluídos los de contingencia en el data center alterno. Tiempo de indisponibilidad: 15 días. Tiempo de restauración de servicios: >90 progresivamente.
Lecciones aprendidas - Oportunidad en el involucramiento del directorio en toma de decisiones. - Comunicación abierta con grupos de interés (directorio, reguladores, clientes y colaboradores). - Protección de marca y difusión de versión oficial en redes sociales. - Capacidades adecuadas con equipos de Ciberseguridad, para conducir análisis forenses. - Ejercicios regulares con escenarios de ciberataques.
NOTA: - El regulador sancionó con multas económicas al Banco y al proveedor. - Banco fue multado por 1,4MM. - Proveedor fue multado por 12MM.
Gestión de Alertas
Investigación y triaje, que incluye análisis, descarte, priorización y documentación que respalde las conclusiones.
Pruebas de Recuperación
Ejecución periódica de pruebas de recuperación ante ataques cibernérticos.
Exfiltración de información
El proceso de exfiltración inicia antes del ataque a los servidores (encriptación). El malware particiona datos en paquetes pequeños para evadir controles de detección. (25 MB aprox). El malware envía los datos a 2 servidores externos (192.53.123.202 y 5.2.78.113) maliciosos a través del puerto 4192.
Evaluación de Riesgos.
Metodologías robustas para valorar y cuantificar el impacto de las posibles amenazas.
Debilidades: Fallas en la concientización sobre riesgos de ciberseguridad a los colaboradores. Ausencia de herramientas que puedan detectar listas negras, dominios falsos o poco confiables.
Sector No Financiero
Vector de ataque: Ingeniería Social. Tipo de ataque: Sphear Phising.Impacto: Pérdida económica por transferencia internacional a una cuenta fraudulenta por un valor aproximado de 140K.
Inventario de Amenazas
Mapeo de las amenazas y brechas expuestas en los activos de información con los que se opera.
Planes de Respuesta
Playbooks de amenazas, comunicación, escalamiento y respuesta.
Gestión Excepcionanmiento
Procedimientos para monitorear excepcionamientos y comportamiento de usuarios quienes tengan atribuciones eventuales para la operación de la tecnología.
Sector Bancario
Vector de ataque: Insider. Tipo de ataque: Exfiltración de información por terceros.Impacto: Robo de bases de datos con tarjetas de crédito. Nota: Revisión en ejecución.
Monitoreo en Tiempo Real
Procesos y actividades con los recursos suficientes para monitorear en tiempo real la infraestructura tecnológica crítica (ejem SOC)
Restauración de Operaciones
Alineación de recuperación con los procesos críticos de la organización considerando escenarios que impacten procesos automáticos o manuales que requieran restaurar.
Recomendación
Debe existir un marco de gobierno con roles y responsabilidades en 1era, 2da y 3era LDR, con un comité que los supervise. El comité de Auditoría y Comité de riesgos deben tener un mandato sobre esta supervisión.
Captamos mejor el contenido visual. El contenido visual está asociado a mecanismos cognitivos y psicológicos. Las cosas entran por los ojos, la primera imagen es la que cuenta. Asociamos el contenido visual con emociones.
Sector Bancario (2 entidades)
Vector de ataque: Atacante interno (Insider). Tipo de ataque: Exfiltración de información. Impacto: Robo de información de clientes de los Bancos, datos de contactabilidad, millas, cuentas, ingresos.Tiempo de indisponibilidad: 1 día. Tiempo de restauración de servicios: 30 días.
Debilidades: Ausencia de un programa de Ciberseguridad en el tercero. Falta de supervisión de los Bancos hacia el proveedor. Debilidades en desarrollo de aplicaciones web.
Recomendación
Capacitar al personal constantemente, reforzar los riesgos y cultura orientada a buenas prácticas de Ciberseguridad
Gestión de Activos.
Procesos implementados para identificar, mantener y preservar los inventarios de activos de información, dispositivos, hardware, software, conexiones, y los procesos de clasificación de información sensible en dichos activos.
Sector Bancario
Vector de ataque: Ingeniería Social.Tipo de ataque: Spear Phishing. Impacto: Intento de fraude mediante generación de transferencias sin procedimientos formales al rededor de 400k, que se contuvo a tiempo. Tiempo de recuperación: N/A.
Debilidades:
Estándares y Certificaciones.
Cumplimiento de certificaciones autoimpuestas mínimas para la operación (PCI).
Sector Bancario
Debilidades - Mal manejo de usuarios privilegiados. - Deficiente gestión de logs, capacidad y almacenamiento. - - Estándares de seguridad en manejo de claves y perfiles.
Vector de ataque: Atacante interno (Insider) Tipo de ataque: Suplantación de identidadImpacto: Robo de información crítica de clientes, información altamente confidencial del Banco como nómina, inversiones, informes de auditoría, entre otros.
Sector Bancario
Debilidades - Deficiente gestión de incidentes. - Mal manejo de usuarios privilegiados. - Deficiente gestión de logs, capacidad y almacenamiento. - - Estándares de seguridad en manejo de claves y perfiles. - Gestión de Vulnerabilidades.
Vector de ataque: Compromiso de un usuario privilegiado de un tercero. Tipo de ataque: Ransomware Impacto: Indisponibilidad de sistemas y servicios, afectación de al rededor de +1k de servidores virtuales incluídos los de contingencia en el data center alterno. Tiempo de indisponibilidad: 15 días. Tiempo de restauración de servicios: >90 progresivamente.
Lecciones aprendidas - Oportunidad en el involucramiento del directorio en toma de decisiones. - Comunicación abierta con grupos de interés (directorio, reguladores, clientes y colaboradores). - Protección de marca y difusión de versión oficial en redes sociales. - Capacidades adecuadas con equipos de Ciberseguridad, para conducir análisis forenses. - Ejercicios regulares con escenarios de ciberataques.
NOTA: - El regulador sancionó con multas económicas al Banco y al proveedor. - Banco fue multado por 1,4MM. - Proveedor fue multado por 12MM.