Según una nueva investigación de la firma de ciberseguridad Tenable, existen más de 26.500 vulnerabilidades en las superficies de ataque externas de las 90 principales organizaciones bancarias y de servicios financieros del sudeste asiático. Alrededor de 11.000 de estos activos explotables conectados a Internet pertenecen a las instituciones de primer nivel de Singapur, incluidos prestamistas y aseguradoras.
La evaluación encontró un cifrado SSL/TSL débil, activos internos mal configurados, cifrado de URL inconsistente y API más antiguas en toda la industria bancaria y financiera en Tailandia, Indonesia, Malasia, Vietnam, Filipinas y Singapur. Los activos evaluados incluyeron nombres de dominio, subdominios, direcciones IP, servidores web, dispositivos IoT, impresoras de red y cualquier dispositivo conectado a Internet o red interna, entre otros.
Singapur experimenta las exposiciones más explotables
Singapur tuvo el mayor número de vulnerabilidades entre los seis países evaluados, con más de 11.000 activos problemáticos relacionados con Internet en sus 16 principales compañías bancarias, de servicios financieros y de seguros. Más de 6.000 de esos activos problemáticos estaban alojados en los Estados Unidos.
La cantidad de vulnerabilidades en otros mercados incluyó:
- Tailandia: 5.000.
- Indonesia: 4.600.
- Malasia: 4.200.
- Vietnam: 3.600.
- Filipinas: 2.600.
Los riesgos residen en el software, el cifrado, las API y las configuraciones.
La evaluación de Tenable encontró una variedad de “puntos de entrada potenciales fácilmente explotables” dentro de las organizaciones bancarias, financieras y de seguros en el Sudeste Asiático. La empresa de ciberseguridad declaró que estas “brechas de higiene cibernética” “presentaban un riesgo potencial para la integridad y seguridad de los datos financieros”.
Cifrado SSL/TLS débil y obsoleto
Según el informe:
- El cifrado Secure Sockets Layer y Transport Layer Security está diseñado para proteger los datos enviados a través de Internet o una red informática, pero se encontró un cifrado SSL/TLS débil entre las entidades evaluadas.
- 2.500 activos entre los encuestados todavía usaban TLS 1.0, que según Tenable es “un protocolo de seguridad de 25 años introducido en 1999 y deshabilitado por Microsoft en septiembre de 2022”.
“Esto pone de relieve el importante desafío que enfrentan las organizaciones con una amplia presencia en Internet a la hora de identificar y actualizar tecnologías obsoletas”, dijo Tenable en un comunicado de prensa.
Mala configuración de activos internos
Un gran número de activos originalmente destinados a uso interno han quedado expuestos inadvertidamente. Tenable encontró 4.000 que habían sido mal configurados de manera que los hicieran accesibles a actores externos.
“No proteger estos activos internos plantea un riesgo significativo para las organizaciones, ya que crea una oportunidad para que actores maliciosos apunten a información sensible y sistemas críticos”, dijo la firma.
Cifrado de URL final inconsistente
Se descubrió que más de 900 activos tenían URL finales no cifradas.
Cuando las URL no están cifradas, los datos transmitidos entre un navegador y un servidor no están protegidos mediante cifrado, lo que los hace vulnerables a la interceptación, las escuchas y la manipulación por parte de actores malintencionados.
“Esta falta de cifrado puede provocar la exposición de información confidencial, como credenciales de inicio de sesión, datos personales o detalles de pago, y puede comprometer la integridad de la comunicación”, dijo Tenable.
API v3 siendo utilizada por instituciones
El informe identificó más de 2000 instancias de API v3 del número total de activos evaluados.
Tenable dijo que la autenticación inadecuada, la validación de entrada insuficiente, los controles de acceso débiles y las vulnerabilidades en las dependencias dentro de las implementaciones de API v3 crean una superficie de ataque vulnerable.
“Los actores maliciosos pueden explotar esas debilidades para obtener acceso no autorizado, comprometer la integridad de los datos y lanzar ataques cibernéticos devastadores”, decía el comentario de Tenable.
Las debilidades residen en los principales bancos y aseguradoras del Sudeste Asiático
La evaluación de Tenable se centró en las empresas más grandes por capitalización de mercado en los países del Sudeste Asiático. Esto hace que los hallazgos sean aún más preocupantes, ya que sugieren que incluso las instituciones más grandes del sector son propensas a sufrir vulnerabilidades de ciberseguridad, aunque puedan tener más recursos disponibles.
Nigel Ng, vicepresidente senior de Tenable para Asia Pacífico y Japón, dijo que las debilidades en estos activos revelaron que muchas instituciones financieras en Indonesia, Malasia, Filipinas, Singapur, Tailandia y Vietnam estaban “luchando por cerrar las brechas de seguridad prioritarias que las ponen en riesgo”. .”
El riesgo cibernético es destacado para los sectores bancario y financiero en APAC
La agencia de calificación global S&P Global, que proporciona calificaciones de inversión en APAC, ha indicado que los riesgos cibernéticos que enfrenta el sector bancario y financiero de la región son reales y podrían afectar sus resultados.
En una actualización de julio de 2024, los analistas de S&P Global dijeron que los crecientes riesgos cibernéticos en los bancos de Asia y el Pacífico afectan particularmente a terceros y a bancos “con escasez de habilidades”.
S&P Global citó una investigación que muestra:
Dado que el riesgo es más agudo para los prestamistas más pequeños de la región, S&P Global advirtió que, aunque las iniciativas de mitigación de riesgos por parte de reguladores y bancos han evitado las amenazas cibernéticas, estos problemas aún podrían ocurrir y afectar las calificaciones.
Como señaló la actualización de S&P Global, “una mitigación inadecuada del riesgo podría aumentar la probabilidad de una incursión exitosa y llevarnos a debilitar nuestra visión de cómo se gestionan los riesgos cibernéticos. Esto podría tener efectos en las calificaciones”.