La SEC ha observado un aumento en los ataques cibernéticos contra RIAs y brokers dealers que ha provocado, en algunos casos, la pérdida de activos de los clientes y el acceso no autorizado a la información del cliente.
El alerta de riesgo de la OCIE (Office of Compliance Inspections and Examinations) de la SEC describe cómo el aumento en los ataques se puede atribuir a lo que se llama «relleno de credenciales», un método de ataque cibernético a los usuarios de inicio de sesión de los clientes, consigna el portal de la National Association of Plan Advisors (NAPA).
Según la OCIE, el método es un ataque automatizado a las cuentas de usuario basadas en la web, así como a las credenciales de la cuenta de acceso directo a la red, donde los atacantes obtienen listas de nombres de usuario, direcciones de correo electrónico y contraseñas provenientes de la dark web (plataforma de internet en donde se registran actos ilegales, es una sección de la deep web, a la que se accede con softwares específicos).
Luego, los atacantes usan scripts automatizados para probar los nombres de usuario y contraseñas comprometidos en otros sitios web, como el sitio web de un gestor.
Este método aparentemente está emergiendo como una forma más efectiva para que los atacantes obtengan acceso no autorizado a las cuentas de los clientes y los sistemas de la empresa que los tradicionales ataques de “brute force”, que utilizan algoritmos que combinan letras y números para introducir las claves.
Cuando un ataque de relleno de credenciales tiene éxito, los delincuentes cibernéticos pueden llegar a: robar activos de cuentas de clientes, acceder a las cuentas confidenciales de los clientes, obtener credenciales de login para luego ser vendidas a otros usuarios en la dark web, obtener acceso a la red y los recursos del sistema o supervisar y/o tomar control de la cuenta de un cliente o el financial advisor para otros fines.
Los sistemas de información de las empresas, en particular los sitios web con acceso a Internet, se enfrentan a un mayor riesgo de un ataque de relleno de credenciales, incluidos los sistemas alojados por proveedores externos.
Esto se debe a que los atacantes pueden utilizarlos para iniciar transacciones o transferir fondos desde la cuenta de un cliente comprometido, advierte la SEC.
Además, la información de identificación personal a menudo está disponible a través de los sitios web de las empresas en Internet y, una vez obtenida del sitio web de una empresa, puede facilitar la capacidad de un atacante para hacerse cargo de una cuenta de cliente o apoderarse de las cuentas del titular de la cuenta en otras instituciones.
Según la OCIE, los ataques exitosos ocurren con más frecuencia cuando las personas usan la misma contraseña o variaciones menores de la misma contraseña para varias cuentas en línea, y/o las personas utilizan nombres de usuario de inicio de sesión que se adivinan fácilmente, como direcciones de correo electrónico o nombres completos.
Como tal, la OCIE alienta a los registrantes a considerar la revisión y actualización de sus políticas y programas de Regulación S-P y Regulación S-ID para abordar el riesgo emergente de saturación de credenciales.
Además recomienda una serie de buenas prácticas para disminuir el riesgo a ser captados por los ataques informáticos.
Entre las recomendaciones se destaca el revisar periódicamente las políticas y programas de contraseñas de los sitios para incorporar estándares altos para las contraseñas, uso del factor de autentificación múltiple para los usuarios, implementar un CAPTCHA que confirme que no es un sistema el que está ingresando, controlar la cantidad de intentos fallidos para ingresar a los sistemas y por último monitorear la dark web, que en estos espacios no se encuentren las listas de los clientes de la empresa.