Confiables, acreditados, peligrosos: la nueva amenaza interna a la que se enfrentan los bancos

Cuando algo se convierte en la nueva normalidad, deja de tener importancia. Las ciberamenazas tienen como objetivo a los bancos. Los actores geopolíticos atacan a sus adversarios. Las intrusiones de seguridad diarias apenas llegan a los titulares.  

Bostezo. Es martes.  

Lo que no es normal es que los atacantes ya están dentro de tu red, y su motivación no es el dinero, como nos hicieron creer.  

El Departamento del Tesoro de Estados Unidos confirmó en marzo de 2026 que trabajadores informáticos norcoreanos generaron casi 800 millones de dólares al estar integrados en las redes de empresas estadounidenses con salarios legítimos. Ese dinero se destinó a actividades militares y políticas, no para beneficio personal.  

Al mismo tiempo, Irán señaló públicamente a bancos estadounidenses como objetivos militares y desplegó software malicioso de borrado de datos mediante credenciales de administrador robadas. No se trataba de robar dinero, sino de eliminar servidores y cerrar las operaciones por completo.  

Se trata de operaciones internas, realizadas con acceso concedido, no robado.  

El acceso mediante credenciales se convirtió en la vía de ataque, y expone una brecha que los controles de seguridad tradicionales nunca fueron diseñados para solucionar.  

Para abordar este problema, los bancos deben centrar en limitar el movimiento lateral y contener las amenazas que ya se encuentran dentro de su entorno, y no solo en impedir el acceso inicial.  

El acceso legítimo es un vector de ataque importante.

Estas amenazas patrocinadas por el Estado que actualmente tienen como objetivo a los bancos tienen algo en común. El ataque no logra atravesar tus defensas. Les sienta bien.  

En la reciente conferencia de la RSA celebrada en Santo Francisco, Andy Ozmet, director de riesgos tecnológicos de Capital One, advirtió que agentes norcoreanos están consiguiendo empleos remotos en instituciones financieras estadounidenses empleando identidades estadounidenses robadas.  

Están superando controles de antecedentes, recibiendo computadoras portátiles corporativas y accediendo a las redes bancarias con credenciales válidas emitidas por las propias instituciones. El FBI ha advertido desde enero de 2025 que estos trabajadores también roban datos confidenciales y se posicionan para llevar a cabo actos de sabotaje a largo plazo.  

Además, tras los ataques militares estadounidenses e israelíes a finales de febrero de 2026, el mando militar de Irán emitió un comunicado público en el que nombraba explícitamente a los bancos vinculados a Estados Unidos como objetivos militares. En cuestión de días, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) emitió una alerta de emergencia a las instituciones financieras confirmando que el vector de amenaza ya estaba en uso.  

El grupo Handala Hack, vinculado a Irán, demostró el método. Roban las credenciales de un administrador mediante phishing, inician sesión en Microsoft Intune con acceso legítimo y borran decenas de miles de sistemas en docenas de países.  

En ambos casos, los atacantes cuentan con credenciales, son de confianza y se mueven libremente por su red.  

El punto ciego que los bancos no solucionaron

El reporte global de 2026 del Instituto Ponemon sobre el costo de los riesgos internos documenta múltiples casos de empleados bancarios que emplean su acceso legítimo para ayudar a redes criminales. Esto incluye a un especialista en detección de fraudes que compartió datos financieros de clientes con una red delictiva, y a un empleado bancario encarcelado por blanqueo de dinero en nombre de delincuentes.

Estas no eran credenciales robadas. Eran empleados verificados, con antecedentes penales limpios y acceso válido. La suposición de que una identidad conocida equivale a un comportamiento confiable es errónea, y lo fue durante años.  

Lo que hace que el momento actual sea estructuralmente diferente es dónde entra en juego esa explotación. En RSAC 2026, Ozmet explicó que los reclutadores tienden a ver a sí mismos como la cara amable de la institución, en lugar de como gestores de riesgos corporativos.  

El resultado es que el proceso de contratación —el momento en que un agente extranjero recibe credenciales válidas de su propio equipo de TI— se sitúa en una especie de limbo organizacional donde nadie es responsable de la seguridad.  

Los bancos construyeron sistemas de defensa por capas alrededor de sus redes. No construyeron defensas equivalentes en torno al proceso que determina quién obtiene acceso a esas redes en primer lugar.  

Ese es el punto ciego. Y no se trata de una brecha tecnológica. Es una laguna en la gobernanza.  

El sistema de vigilancia del fraude se diseñó para detectar anomalías financieras, como transacciones inusuales, transferencias sospechosas o desviaciones en los patrones de gasto. Nunca se diseñó para detectar a un agente con motivaciones políticas que llega a tiempo, cumple con su trabajo y se mueve lateralmente por sus sistemas con total verosimilitud.  

El monitoreo de transacciones no puede descubrir a un agente norcoreano que no esté robando dinero. Los controles perimetrales no pueden detener a un agente iraní que ya tiene la contraseña de administrador.  

Los controles en los que la mayoría de los bancos invirtieron más son precisamente las herramientas equivocadas para la amenaza a la que se enfrentan ahora mismo.  

Su organismo regulador se está haciendo la misma pregunta.

El 3 de marzo de 2026 , nueve días antes de que Irán nombrara públicamente a los bancos estadounidenses como objetivos militares, el Departamento de Servicios Financieros del Estado de Nueva York (NYDFS) envió una carta a los CISO de todas las instituciones que regula.  

El NYDFS señaló tres controles específicos:  

• Acceso con privilegios mínimos  
• Mayor vigilancia para detectar actividades no autorizadas.
• Pruebas de resiliencia operativa  

Si se comparan esos tres controles con todo lo anterior, la coincidencia no es casual:  

• Acceso con privilegios mínimos. Esto limita hasta dónde puede mover un atacante con credenciales, ya sea un agente norcoreano o un actor iraní con derechos de administrador robados, una vez dentro del sistema. ‍ ‍
• Supervisión de actividades no autorizadas. Así es como se detecta el movimiento lateral de alguien que superó el proceso de contratación. ‍ ‍
• Pruebas de resiliencia operativa. Este Así es como se verifica —no se da por sentado— que la arquitectura de contención funciona realmente bajo presión.  

El NYDFS no está describiendo los requisitos futuros. Todas las instituciones reguladas por el NYDFS deben certificar el cumplimiento de la Parte 500 antes 15 de abril de 2026.  

El debate sobre la regulación y el debate sobre las amenazas ahora son la misma conversación. La mayoría de los bancos todavía los tienen en salas separadas.  

La pregunta que realmente importa

Los bancos pasaron años construyendo muros para mantener alejadas las amenazas. Pero esos muros son inútiles contra el acceso legítimo. Ya sea que un agente sea contratado directamente, robe credenciales o emplee a un doble para una prueba de drogas, ya cruzó el umbral.  

Esta es la pregunta que todo CISO debe poder responder por sí mismo:  

Si un usuario con credenciales en su red comenzara a mover lateralmente ahora mismo, ¿hasta dónde llegaría, con qué rapidez lo sabría y qué lo detendría?  

La cuestión ya no es si los bancos deben tomar medidas para contener los movimientos laterales de capital. La cuestión es si los bancos pueden demostrar que actuaron, ante su junta directiva, ante su regulador y ante sí mismos.  

Mira cómo Illumio ayuda a las instituciones financieras Reducir el riesgo y mantener la resiliencia operativa.