Fa tot just unes setmanes que l’Agència Nacional de Ciberseguretat d’Andorra (ANC-AD) va elevar el nivell d’alerta de ciberseguretat del país ‘d’alt’ a ‘molt alt’ davant l’augment significatiu i sostingut d’activitat hostil en l’àmbit digital arreu del món. Davant d’aquest escenari de màxima vigilància, cap de les entitats bancàries del país se n’ha pogut quedar al marge, i és que totes treballen amb intensitat per protegir tant la seva infraestructura com la dels seus clients davant dels cada vegada més freqüents intents de ‘phishing’ i suplantacions d’identitat. Una feina que, sovint, és invisible al gran públic, però és absolutament crítica. “En els darrers temps hem observat un augment notable de ciberamenaces dirigides a clients bancaris, especialment a través de tècniques de phishing cada cop més sofisticades (SMS amb enrolaments a Google Pay, pàgines de ‘login’ suplantades, etc)” explicaven fonts de MoraBanc. “Tot i que no podem compartir xifres específiques, la tendència general apunta a una escalada d’intents de frau que combinen enginyeria social i suplantació d’identitat”, afegia la mateixa font mentre deixava clar que aquest context reforça la necessitat d’una vigilància activa i d’estratègies educatives contínues dirigides al client final.
En aquest sentit, des de MoraBanc detallen que disposen de sistemes avançats de detecció de frau, controls biomètrics en l’accés i un segon factor d’autenticació. Paral·lelament, duen a terme un monitoratge continu 24/7 i compten amb una unitat d’intel·ligència d’amenaces de ciberseguretat que els manté informats sobre les noves tècniques que utilitzen els atacants. “A més, incorporem filtres antifrau als canals digitals i controls addicionals en operacions sensibles, amb alertes immediates que ens permeten anticipar i bloquejar intents sospitosos abans que arribin a afectar els nostres clients” destacava la font, tot remarcant que la seguretat òptima és un esforç compartit. En aquest sentit, assenyalava que, encara que l’entitat pot blindar canals i processos, només el client pot detectar correus electrònics o SMS sospitosos, protegir adequadament les seves credencials i avisar el banc immediatament si detecta cap anomalia.
Per altra banda, des d’Andbank reconeixen que hi ha una tendència clara a l’increment dels atacs, però asseguren que no ha estat necessari adoptar mesures addicionals específiques gràcies a l’aplicació d’alts estàndards de seguretat i del principi de seguretat per disseny, que protegeix tant els sistemes com els usuaris. “Tot i l’increment generalitzat de ciberamenaces, les mesures preventives que tenim implantades ens permeten mantenir un alt nivell de protecció sense haver d’activar protocols extraordinaris”, apuntaven fonts de l’entitat. De fet, el banc compta amb un equip especialitzat en ciberseguretat que supervisa de manera contínua les defenses i es manté al dia mitjançant serveis d’intel·ligència d’amenaces. A més, col·laboren amb proveïdors externs que realitzen proves independents i periòdiques per simular possibles atacs. Des d’Andbank també posen el focus en el client final, amb accions periòdiques de conscienciació a través dels canals digitals i comunicats específics, amb l’objectiu d’alertar sobre possibles riscos i promoure bones pràctiques.
Finalment, des de Creand Crèdit Andorrà remarquen que les entitats bancàries destinen esforços importants per fer front a les pràctiques fraudulentes, tant des del punt de vista tecnològic i d’equips especialitzats, com en la formació i informació per sensibilitzar clients i població i reduir-ne l’impacte. “No podem controlar la probabilitat que es produeixin atacs, però sí que podem minimitzar-ne les conseqüències amb mesures diverses”, assenyalaven des de l’entitat. Entre aquestes mesures hi ha equips de seguretat que treballen de manera ininterrompuda, tot l’any, en monitoratge i resposta d’incidents, protecció tècnica dels recursos exposats a internet, i eines actualitzades per detectar i bloquejar comunicacions sospitoses com correus de ‘phishing’ o ‘spam’. També comparteixen informació d’intel·ligència d’amenaces amb agències estatals, reguladors, cossos de seguretat i altres entitats, destacant la col·laboració estreta amb l’Agència Nacional de Ciberseguretat d’Andorra (ANC-AD).
Pel que fa a l’autenticació, Creand ha eliminat el segon factor via email i SMS, que són vulnerables, apostant per notificacions ‘push’ a dispositius vinculats de confiança. A més, promouen cursos interns específics sobre pràctiques fraudulentes i realitzen accions de conscienciació als clients de manera recurrent, recordant que les entitats bancàries no demanen codis, credencials ni envien enllaços per correu electrònic o SMS.
