El sector de servicios financieros del Reino Unido supera con creces sus posibilidades. Londres ocupa el segundo lugar, después de Nueva York, como el principal centro financiero del mundo y el país es el... más grande del mundo Exportador neto de servicios financieros. Sin embargo, este éxito lo convierte en un objetivo clave para ciberdelincuentes y actores estatales. Y a pesar de ser uno de los sectores más regulados, la ciberresiliencia no está donde debería estar.
El coste continuo para la economía de los ciberataques al sector, y la amenaza de un incidente sistémico, es la razón por la que el Banco de Inglaterra (BoE) continúa implementando un marco de pruebas de penetración conocido como CBEST. Desafortunadamente, su último informe Destaca que todavía hay un largo camino por recorrer para la industria.
Lo que encontró el informe
El objetivo de CBEST es simular el tipo de ataques que los bancos y otras empresas del sector financiero experimentarían en la práctica, a manos de sofisticados grupos criminales, actores estatales y personas con información privilegiada maliciosa. Estos esfuerzos se centran en la vulnerabilidad de proveedores externos, la ingeniería social y la actividad interna, ya que son las áreas que la industria enfrenta con mayor dificultad. Exploits de día cero, malware personalizado, automatización basada en IA y selección precisa de objetivos se utilizan en estas evaluaciones de equipos rojos, en ataques que simulan objetivos finales como el ciberespionaje, el lucro y el sabotaje.
Entonces, ¿qué encontró el Banco de Inglaterra?
- Sistemas configurados de manera inconsistente y con parches o refuerzos insuficientes
- Falta de cifrado para datos en reposo, incluidas credenciales privilegiadas
- Controles débiles de gestión de identidad y acceso (incluidas contraseñas débiles o almacenamiento de contraseñas inseguro)
- Controles de acceso excesivamente permisivos
- Detección y respuesta deficientes (por ejemplo, EDR “mal ajustado”)
- Monitoreo/inspección de tráfico ineficaz (lo que permite a los atacantes ocultarse en el tráfico legítimo)
- Segmentación de red ineficaz (por ejemplo, entre entornos de desarrollo y producción) que amplifica el impacto potencial de los ataques
- Personal susceptible a la ingeniería social directa e indirecta
- Personal que almacena rutinariamente credenciales en entornos desprotegidos (por ejemplo, recursos compartidos de archivos abiertos)
- Protocolos de soporte técnico inseguros que permiten a los piratas informáticos amplificar los esfuerzos de ingeniería social
El informe también señaló que la inteligencia sobre amenazas de las organizaciones carecía de planificación estratégica, definición de requisitos, establecimiento de marcos de gobernanza y definición de capacidades a largo plazo. Esto ha generado una desconexión entre la inteligencia que recopilan las empresas de servicios financieros y sus necesidades comerciales y operativas reales. Esto implica desafíos para escalar o desarrollar estos programas, afirmó el Banco de Inglaterra.
Por qué es Importante
Las tácticas, técnicas y procedimientos (TTP) implementadas por los evaluadores de penetración de CBEST se eligieron por una razón. Reflejan el tipo de amenazas que las instituciones financieras enfrentan a diario o semanalmente. En una sección del informe, el Centro Nacional de Seguridad Cibernética (NCSC) advirtió que el colectivo Scattered Spider es conocido por usar ingeniería social para manipular al personal de soporte técnico de TI para restablecer contraseñas y tokens MFA, por ejemplo. Se cree que lo hizo durante Los ataques de ransomware del grupo M&S y Co-Op.
Por otra parte, citó al grupo chino APT Volt Typhoon, que comprometió grandes partes del territorio estadounidense. infraestructura nacional crítica Redes con ataques encubiertos. Una mejor monitorización y segmentación de la red habría ayudado a esclarecer estos intentos y limitar el radio de acción de los ataques, afirmó el NCSC.
Las empresas de servicios financieros no solo deberían considerar CBEST como una base importante para desarrollar resiliencia ante ataques reales. Muchas también necesitarán mejorar su seguridad a la luz de la UE. Ley de resiliencia operativa digital (DORA), que impone nuevos y estrictos requisitos en toda la cadena de suministro bancaria. Las cadenas de suministro representan un riesgo particular. Informe de 2025 afirmó que el 58% de las grandes empresas de servicios financieros sufrieron al menos un ataque de terceros el año anterior, y una quinta parte (23%) fue atacada tres o más veces.
¿Qué Pasa Después?
En el prólogo del informe, el Banco de Inglaterra (BoE) y los reguladores FCA y la Autoridad de Regulación Prudencial (PRA) instaron a las organizaciones del sector a abordar las causas subyacentes del riesgo en lugar de aplicar parches temporales. Esto implica adoptar un enfoque técnico y cultural que abarque la prevención, la detección y la respuesta.
En concreto, el BoE/FCA/PRA quieren que las organizaciones del sector:
- Aplicación de parches y configuración de aplicaciones y sistemas operativos críticos
- Fortalecimiento de la gestión de credenciales, aplicación de contraseñas seguras, uso de MFA y segmentación de redes
- Garantizar la detección temprana y un seguimiento eficaz para reducir el impacto de los ataques
- Implementar planes de remediación basados en riesgos en colaboración con gerentes de riesgos y auditores internos
Además, el NCSC busca mejoras en la capacitación del personal, especialmente en vista del phishing generado por IA, para contribuir a construir una cultura de seguridad positiva. También busca una gestión de cuentas privilegiadas (PAM) más estricta, siguiendo las mejores prácticas. Además, busca una supervisión más rigurosa de los activos, especialmente de la TI heredada, en parte para facilitar la transición hacia la criptografía poscuántica (PQC).
La segmentación de la red, el fortalecimiento de los dispositivos y la monitorización continua deberían implementarse como parte de un enfoque de seguridad de confianza cero, afirmó. Además, los procesos integrales de registro y respuesta a incidentes pueden mejorar la resiliencia de las capacidades de monitorización y detección. La búsqueda de amenazas ofrece información adicional importante para descubrir actividades maliciosas más sofisticadas, concluyó el NCSC.
Primeros pasos
Entonces, ¿por dónde empiezan las empresas de servicios financieros? Carl Hunt, director de Beyond Blue, argumenta que la detección es un buen punto de partida.
“Esto incluye mejorar la detección y respuesta de endpoints, así como correlacionar eventos en las posibles rutas de ataque de la organización para detectar comportamientos anómalos”, explica a IO (anteriormente ISMS.online). “Para lograrlo, se requiere un buen conocimiento de los activos críticos, las rutas de ataque y un ajuste eficaz de las reglas de detección”.
El aspecto humano de la respuesta es otro esfuerzo crítico que los equipos de seguridad a menudo pasan por alto.
Los CISO deben estar capacitados para aislar un ataque de manera oportuna, lo que requiere que el contexto empresarial tome las decisiones necesarias. Este es un desafío particular cuando las operaciones de seguridad se externalizan —continúa Hunt—. Cabe recordar que, en un ataque real, los atacantes se mueven con rapidez para lograr sus objetivos, en lugar de hacerlo de forma más controlada, como en un ejercicio simulado como CBEST. Una respuesta rápida es vital para limitar el impacto.
Señala que la segmentación de la red es igualmente crucial para contener el radio de acción de los ataques. "Esto también respalda las estrategias de recuperación mediante la asignación de TI y redes a las funciones esenciales del negocio, lo que permite una contención eficaz y, finalmente, la erradicación de un ataque", afirma Hunt.
La buena noticia es que normas como la ISO 27001 pueden ayudar a las organizaciones a sentar las bases para acelerar estas mejores prácticas y a implementar el enfoque de ciberseguridad basado en el riesgo que los reguladores esperan cada vez más, basado en una cultura de mejora continua.
