Todos hemos recibido un email, mensaje de texto o llamada del banco diciendo que nos han bloqueado la cuenta y que necesitan que les demos las credenciales para recuperarla. Nada de eso es real; son delincuentes que buscan obtener sus datos bancarios de manera fraudulenta para hacer operaciones en su nombre y robarle el dinero. A estas prácticas se las conoce como 'phishing', 'vishing', 'smishing'... y no han hecho más que crecer en los últimos años. En un evento del banco online N26 junto a IE University, Google, la Guardia Civil y Asufin hace escasos días se puso de manifiesto que las entidades financieras son objetivo del 25% de los ciberataques . Así las cosas, Rubén Frieiro, socio responsable de ciberseguridad para el sector financiero en Deloitte, destaca que «las amenazas sobre los usuarios de la banca online han evolucionado para tratar de aprovechar las ventajas que les ofrece la digitalización, la adopción masiva de medios de pago electrónico y la proliferación de los servicios de comercio electrónico». En este sentido, recuerda que más del 70% de los internautas de entre 16 y 74 años hace uso de servicios de banca online, «lo que convierte a los usuarios de la banca digital en un objetivo sumamente atractivo para el cibercrimen». Este es el escenario al que deben hacer frente los bancos. Más ciberataques a la propia entidad, más intentos de robos de datos a los clientes, y todo ello unido a miles de incidencias físicas al año. ABC ha accedido al 'búnker' tecnológico de seguridad de un banco, el 'ojo de Dios' que ve todo lo que ocurre en la entidad y desde el que se actúa. Concretamente, el de Banco Sabadell, en San Cugat del Vallés (Barcelona). Ejército de trabajadores Visitamos la base en Cataluña, pero sus sistemas de datos y protección se ubican también en otras localizaciones como Madrid y Zaragoza. En total, son unas 70 personas que trabajan en el entorno de seguridad del banco para dar servicio las 24 horas los siete días a la semana. Siempre hay gente pendiente de que todo funcione, incluso en las fiestas más señaladas. No puede ser de otra manera. Los empleados están atentos a cualquier anomalía ADRIÁN QUIROGA El Sabadell se apoya en una empresa, Kyndryl, para la seguridad y monitorización de los sistemas del banco. Entramos a una sala llena de pantallas desde la que se da seguimiento hasta al más mínimo detalle. Una pantalla para ver las transacciones, otra para controlar los cajeros, otra para ver la operativa de banca online, nada queda al azar. La actividad allí empieza a las 6:00 horas de la mañana. En ese momento, comienzan las reuniones internas para comprobar los eventos del día anterior y poder tenerlo todo a punto para que, a partir de las 8:00 horas, el banco pueda levantar la persiana como quien dice. La gran reunión de responsables se produce de 8.15 a 8.45 horas, con unas 200-250 personas involucradas. Coloquialmente llaman a ese encuentro 'la misa', y se repite todos los días. Verifican que todo funciona y dan seguimiento a las incidencias, confluyendo todos los equipos de seguridad, datos, ciberseguridad, etc. Se reciben unos 50.000 eventos mensuales , pero no todo son ataques o intentos de robo. Aquí están en buena medida incidencias internas de funcionamiento, también. Las incidencias que recibe esta sala tecnológica se clasifican en 'medium', 'high' y 'critical'. Las dos primeras son los más habituales y recalcan que nunca han tenido una incidencia 'critical', que supondría por ejemplo una caída masiva de la banca online, como sí ha ocurrido en alguna otra entidad. Los datos son oro Los datos son el oro con el que trabajan en este departamento. Porque hay momentos o días en los que los parámetros se salen de lo normal. A las tres de la madrugada , por ejemplo, se dan accesos masivos todos los días a la banca online. Pudiera parecer algo extraño pero no lo es cuando descubrieron que eran entradas de agregadores financieros como Fintonic actualizando su información. También ocurre que el día de cobro de pensiones hay una retirada muy abultada de fondos, o que durante el 'Black Friday' se dan operaciones por encima de lo normal. Todo eso se monitoriza para controlar incidencias y posibles anomalías y así proteger al banco y a los clientes. Asimismo, desde esa sala se dirigen todas las actualizaciones de 'software' de la entidad y las modificaciones de operativa, aunque hay días señalados en el calendario que no se permite realizar ningún cambio porque todo tiene que seguir funcionando, como en según qué fechas de Navidad o el propio 'Black Friday'. La prevención, fundamental Lo cierto es que el banco ha incrementado su nivel de cautela a raíz de hechos como la guerra en Ucrania. Eso les ha llevado a ser más cautelosos porque la prevención en este ámbito es clave. Dentro de esa prevención entran los umbrales de trabajo normales. Por ejemplo, saltan todas las alarmas cuando hay un 15% de cambio en las operaciones o transacciones previstas en un día. Un cambio abrupto en la línea de seguimiento que obliga al departamento a actuar para saber qué está pasando. Los responsables del Sabadell indican que más vale pasarse de precavidos que pecar de confiados. Y más aún cuando hablamos de infraestructuras críticas como los cajeros, la app o la banca web. De proteger específicamente estos dos últimos se ocupa un departamento concreto de ciberseguridad cuya misión es blindar esos canales en continua relación con el 'búnker' de San Cugat del Vallés. En materia de ciberseguridad, las alertas se clasifican en uno, dos y tres. En el nivel uno se verifica si son amenazas reales; si lo son, escala al siguiente nivel. En el dos, el equipo de respuesta entra en acción, los 'bomberos' que apagan el fuego conteniendo el ataque, ejecutando una limpieza de sistemas y haciendo que todo vuelva a la normalidad. Y en el nivel tres ya se hila más fino dependiendo de la complejidad de la amenaza o la incidencia. La velocidad de reacción, fundamental ¿Cómo se detectan las incidencias? Por un parte, puede avisar el cliente de ello; por otra, que se dé cuenta el propio banco. Es habitual que ocurra esto segundo, ya que el banco sabe cómo suele operar cada usuario. Por ejemplo, saltan las alarmas si una persona realiza una transferencia desde una IP en Rusia cuando siempre opera en España, si lo hace desde una tablet china cuando siempre entra desde el ordenador, etc. En ese tipo de casos se avisa al usuario para que verifique la actividad y poder actuar en consecuencia. Y en este sentido, la velocidad de reacción es fundamental para poder evitar que la operación se consume. Más allá de ello, en su trabajo también detectan 'motu proprio' las webs desde las que se generan incidencias o ataques a clientes y al banco. En esos casos, el Sabadell contacta con el proveedor de la web, lo reporta y todo termina en que se tira abajo la dirección url. En suma, son rastreadores de internet en busca de amenazas de fraude para poder anticiparse a proteger a sus clientes. El 'búnker' del banco funciona como un engranaje bien engrasado . Unos se ocupan de vigilar la operativa física, otros la online, otros de la ciberseguridad, otros de monitorizar la actividad mediante datos. Todo forma parte de una cadena en la que no solo se busca proteger al cliente, sino también al empleado. MÁS INFORMACIÓN El Banco de España blindará sus sistemas de ciberseguridad en plena amenaza rusa Los clientes de los bancos pueden perder todo su dinero por culpa de esta estafa Los propios trabajadores del Sabadell también son objeto de ataques o intentos de robo de credenciales, y sufren incidencias que se resuelven en esta sala. Reciben emails maliciosos o llamadas fraudulentas haciéndose pasar por el banco para poder acceder a los sistemas. Es ahí donde empieza el primer nivel de seguridad del banco, en sus propios trabajadores , aunque las fuentes consultadas sostienen que los clientes también pueden hacer mucho para protegerse a sí mismos. Frieiro, de Deloitte, pone el acento sobre esto último: «Lo primero que tienen que hacer los clientes es tomar consciencia de su vulnerabilidad y, a partir de este punto, desarrollar «hábitos saludables» en el uso de la tecnología, como por ejemplo: solo interactuar con los bancos a través de los canales digitales oficiales, no acceder a los servicios digitales a través de enlaces enviados por correo electrónico o responder a mensajes a través de las redes sociales, no interactuar nunca con mensajes asociados a transacciones no iniciadas por ellos mismos, renovar las contraseñas de manera periódica y, siempre que sea posible, utilizar un segundo factor de autenticación».