El sector financiero se prepara para enfrentar las nuevas amenazas con estas tendencias
Las instituciones bancarias encaran un panorama de amenazas marcado por intrusiones lideradas por identidad, explotación previa a la divulgación, ransomware centrado en datos y puntos ciegos crecientes de gobernanza en la nube e inteligencia artificial.
El sector financiero, banca comercial, cooperativas de crédito, proveedores de servicios y plataformas de criptomonedas, está afrontando un entorno de amenazas cada vez más complejo y agresivo. Su dependencia de infraestructura digital y su rol en transacciones de alto valor lo vuelve un blanco para actores motivados por lucro y patrocinados por Estados.
El phishing sigue siendo un vector para violar la confidencialidad, en donde las instituciones reciben correos diseñados para robar inicios de sesión. Técnicas como las de Adversario en el Medio o AiTM para eludir protecciones de MFA y el phishing por QR o quishing, se disparan y engañan a usuarios entrenados. En el primer semestre del 2025, se han observado más de 2.5 millones de correos de phishing en clientes del sector, con casi el 30% dirigidos a usuarios VIP.
Los problemas de cumplimiento persisten, en especial, DLP. Solo en el mes de octubre del año pasado, se registraron más de 215 mil correos adjuntos desconocidos, enviados a posibles direcciones personales en clientes, evidenciando claras preocupaciones de pérdida de datos.
En el mismo período y conjunto, más de 350 mil correos electrónicos con archivos adjuntos desconocidos se enviaron a cuentas de freemail, por ejemplo, a cuentas Yahoo, iCloud, Gmail, entre otros. La confidencialidad sigue siendo prioritaria, pues los hackers maliciosos apuntan a datos sensibles de clientes, registros financieros y comunicaciones internas.
TIC Defense es una empresa que se encarga de proveer servicios de ciberseguridad a organizaciones vulnerables. Tenemos un conjunto de herramientas y soluciones de última tecnología que se adaptan a las necesidades de tu organización.
Ya no se trata solo de bloquear sistemas; roban datos primero y cifran después. Grupos como Cl0p y RansomHub priorizan explotar plataformas de transferencia de archivos para exfiltrar información antes del cifrado, maximizando el impacto regulatorio y reputacional.
Los expertos han detectado escaneo rutinario y actividad maliciosa contra sistemas de transferencia expuestos a Internet, utilizados por instituciones financieras. En un caso contra Fortra GoAnywhere MFT, se observó explotación seis días antes de la divulgación pública de la CVE, prueba de que los ciberdelincuentes se adelantan al ciclo de parches.
Esta evolución pone de manifiesto una realidad; cuando se divulga una vulnerabilidad, probablemente ya se encuentre en explotación activa.
Igualmente, VPN, firewalls y puertas de acceso remoto son objetivos de alto valor, explotados cada vez más antes de hacerse públicas las vulnerabilidades. En investigaciones realizadas por expertos, se ha observado explotación previa a CVE en Citrix, Palo Alto e Ivanti, habilitando el secuestro de sesiones, robo de credenciales y movimiento lateral hacia sistemas bancarios.
Una vez comprometidos, estos dispositivos permiten a los atacantes mimetizarse con tráfico confiable y eludir defensas perimetrales. Los CISOs entrevistados han descrito la infraestructura VPN como un punto focal para los ciberdelincuentes, sobre todo cuando el parchado y la segmentación van detrás de las operaciones.
Las actividades maliciosas patrocinadas por Estados, especialmente de grupos delictivos ligados a Corea del Norte y afiliados al grupo cibercriminal llamado Lazarus, se han intensificado en criptomonedas y en Fintech. Se han identificado campañas con paquestes npm maliciosos, así como el malware llamado BeaverTail e InvisibleFerret previamente no documentados y explotaciones enfocadas en robo de credenciales.
