NIS2 y servicios financieros: control de activos para bancos y aseguradoras

En diciembre de 2019, Travelex, la mayor empresa de cambio de divisas del mundo, sufrio un ataque de ransomware Sodinokibi que paralizo sus operaciones en 30 paises durante semanas. Los cajeros de aeropuerto dejaron de funcionar, los bancos asociados no podian procesar cambio de divisas y la empresa acabo entrando en administracion concursal. El vector: servidores VPN Pulse Secure sin parchear que llevaban meses con una vulnerabilidad conocida.

En el sector financiero, cada activo IT no controlado es una puerta abierta a perdidas millonarias y sanciones regulatorias.

Por que NIS2 afecta a los servicios financieros

NIS2 clasifica al sector bancario y a las infraestructuras del mercado financiero como entidades esenciales (Anexo I). Ademas, el Reglamento DORA (Digital Operational Resilience Act) refuerza las obligaciones especificas para el sector. Las entidades financieras deben cumplir ambas normativas:

• Inventario de activos de informacion: DORA exige explicitamente un registro de todos los activos TIC (Articulo 8)
• Gestion de riesgos TIC: con identificacion, proteccion, deteccion, respuesta y recuperacion
• Notificacion de incidentes: informes iniciales en 4 horas (DORA) y 24 horas (NIS2)
• Pruebas de resiliencia: test de penetracion avanzados (TLPT) que requieren conocer todos los activos en alcance
• Multas: NIS2 hasta 10 millones de euros; DORA permite sanciones adicionales especificas del supervisor financiero

Incidentes reales en servicios financieros

• Banco de Bangladesh (SWIFT), 2016: Hackers norcoreanos robaron 81 millones de dolares del banco central manipulando terminales SWIFT. Los atacantes instalaron malware en estaciones de trabajo que no estaban en el inventario de seguridad del banco.
• Capital One, 2019: Una configuracion erronea en un firewall de AWS expuso datos de 106 millones de clientes. La entidad no tenia visibilidad completa sobre su infraestructura cloud y los activos mal configurados.
• Ion Group (UK), 2023: El proveedor de software financiero sufrio un ataque LockBit que afecto a operaciones de derivados en mercados de Londres y Chicago. Docenas de bancos tuvieron que procesar operaciones manualmente durante dias.

Por que el control exhaustivo de activos es imprescindible

• Los activos financieros estan altamente distribuidos. Cajeros automaticos en cientos de ubicaciones, TPVs en comercios, terminales en sucursales, infraestructura en cloud. Sin un inventario centralizado, la visibilidad es fragmentaria.
• DORA exige un registro de activos TIC actualizado. No es opcional: el Articulo 8 de DORA obliga a mantener un registro completo y actualizado de todos los activos de informacion y sistemas TIC, incluyendo los de terceros.
• Cada activo sin controlar es un vector de fraude. Un terminal de trading no inventariado, un servidor de desarrollo con acceso a produccion, un portatil de un empleado con credenciales de banca — cualquiera puede ser el eslabon debil.
• Los tests de resiliencia necesitan un inventario completo. Los TLPT que exige DORA requieren conocer todos los activos en alcance. Sin inventario, los tests son incompletos y los resultados no son fiables.

Que necesitas controlar

• Cajeros automaticos (ATMs): Ubicacion, version de software, estado de parches, conexion de red
• Terminales de punto de venta (TPV): Dispositivos PCI-DSS en comercios y sucursales
• Infraestructura de trading: Terminales Bloomberg/Reuters, servidores de ejecucion, sistemas de matching
• Servidores y cloud: On-premise, cloud publica, entornos hibridos con sus configuraciones
• Equipamiento de sucursales: PCs, impresoras, escaneres, dispositivos de red por oficina
• Dispositivos de empleados: Portatiles, moviles corporativos, tokens de autenticacion

Metrica Control te da el registro centralizado de activos TIC que exigen NIS2 y DORA. Cada cajero, cada terminal, cada servidor documentado con su ubicacion, responsable, configuracion y historial completo de incidencias.