CARBANAK: De un problema Tecnico, a un tema de Negocio
Cuando la Ciberseguridad Deja de Ser un Problema Técnico y Se Convierte en un Problema de Negocio
Carbanak:
Cuando la Ciberseguridad Deja de Ser un Problema Técnico y Se Convierte en un Problema de Negocio
La ciberseguridad ha sido históricamente concebida como un problema técnico: proteger sistemas, detectar intrusiones y responder a incidentes. Sin embargo, ataques como Carbanak revelan una dimensión más profunda y menos atendida: la explotación de la lógica operativa del negocio como superficie de ataque. Este trabajo utiliza el caso Carbanak como evidencia para argumentar que la seguridad organizacional no puede seguir reduciéndose a controles tecnológicos, y propone los fundamentos conceptuales de una ciberseguridad verdaderamente centrada en el negocio.
Introducción
Durante años, la ciberseguridad ha sido abordada principalmente desde una perspectiva técnica, centrada en la protección de infraestructuras, sistemas y aplicaciones. Este enfoque ha permitido desarrollar mecanismos cada vez más sofisticados de defensa, detección y respuesta. Sin embargo, existe una categoría de amenazas para las que este enfoque resulta estructuralmente insuficiente.
Cuando el adversario no busca únicamente vulnerar sistemas, sino comprender y explotar la lógica operativa del negocio, el problema deja de ser tecnológico y se convierte en organizacional. La inseguridad ya no se origina en fallas de código o configuración, sino en la forma en que las organizaciones diseñan, ejecutan y validan sus propios procesos.
Este trabajo analiza esa dimensión a través del caso Carbanak y propone un conjunto de conceptos que permiten ampliar el marco de análisis de la ciberseguridad más allá de lo técnico.
Tesis Central: El Negocio como Superficie de Ataque
La tesis que articula este trabajo es la siguiente: las organizaciones no son únicamente vulnerables por las debilidades técnicas de sus sistemas, sino por la previsibilidad de sus procesos y la ausencia de una lógica adversarial en su diseño operativo.
Esta afirmación implica un cambio sustancial en la forma de entender el riesgo. No se trata de que la tecnología falle, sino de que funcione correctamente dentro de un proceso que puede ser aprendido y explotado. El atacante no necesita romper el sistema; necesita entenderlo mejor que sus propios operadores.
Tres condiciones organizacionales facilitan este escenario:
- Procesos diseñados para la eficiencia, no para la resiliencia frente a adversarios.
- Controles que verifican conformidad con reglas, pero no detectan comportamiento abusivo.
- Confianza implícita en los sistemas, que lleva a asumir que toda operación ejecutada a través de ellos es legítima.
Cuando estas tres condiciones coexisten, la organización no tiene una vulnerabilidad técnica: tiene una vulnerabilidad estructural. Y esa distinción es crítica, porque las herramientas tradicionales de ciberseguridad no están diseñadas para detectarla.
El Caso Carbanak como Evidencia
Carbanak fue una campaña de ciberataques dirigida a instituciones financieras a nivel global, caracterizada por su duración prolongada, su alto grado de sofisticación y, sobre todo, por su capacidad de operar dentro de las organizaciones sin generar alertas significativas.
El vector de entrada fue convencional: correos de spear phishing que instalaban malware en equipos de usuarios internos. Lo que distingue a Carbanak no es su punto de entrada, sino lo que ocurrió después.
Los atacantes no ejecutaron acciones inmediatas. Durante semanas o meses, observaron el funcionamiento de la organización: registraron las actividades de los operadores, aprendieron los flujos de aprobación, identificaron los mecanismos de control y comprendieron la lógica con la que se validaban las transacciones.
Una vez que dominaron esa lógica, replicaron comportamientos legítimos: realizaron transferencias dentro de rangos esperados, manipularon saldos de forma gradual y operaron cajeros en patrones consistentes con actividad normal. El sistema no falló. Los controles no se activaron. Porque, desde la perspectiva de los sistemas, todo parecía correcto.
Esto ilustra con precisión lo que denominamos un ataque de mimetismo: el adversario no rompe las reglas del sistema, las aprende y las usa en su beneficio.
Tres Dimensiones de Vulnerabilidad Organizacional
Los procesos organizacionales son, por naturaleza, estructurados y repetitivos. Esta característica es deseable desde la perspectiva de la eficiencia operativa: permite automatización, reduce errores y facilita la auditoría. Sin embargo, esa misma previsibilidad es lo que los hace explotables.
Un proceso altamente estructurado puede ser modelado. Si un atacante tiene tiempo suficiente de observación, puede aprender cuándo se ejecutan ciertas operaciones, qué montos son considerados normales y qué secuencias de aprobación no generan alertas. En ese punto, el proceso deja de ser una barrera y se convierte en un manual de instrucciones para el adversario.
La mayoría de los controles organizacionales están diseñados bajo una lógica de cumplimiento: verifican que el proceso se ejecute conforme a reglas predefinidas. Este enfoque es necesario, pero insuficiente frente a un adversario que opera dentro de esas mismas reglas.
Aquí aparece el sesgo de normalidad: cuando los sistemas funcionan y los controles están documentados, la organización asume que el riesgo está controlado — lo que Herbert Simon describiría como un efecto de la racionalidad limitada. El problema no es que los controles fallen: es que responden a la pregunta equivocada. Preguntan «¿se ejecutó el proceso correctamente?» cuando deberían preguntar «¿esta ejecución tiene sentido en este contexto?».
La digitalización ha generado un supuesto implícito en muchas organizaciones: si la operación fue ejecutada a través del sistema, es legítima. Este supuesto se convierte en una vulnerabilidad estructural cuando un atacante opera con credenciales válidas y comportamientos replicados.
En Carbanak, la distinción entre actividad legítima y maliciosa era prácticamente invisible para los sistemas de monitoreo. No había anomalías técnicas. Había comportamiento humano legítimo, ejecutado por personas que no eran quienes parecían ser. Esto plantea una pregunta que los enfoques técnicos no pueden responder: ¿cómo se detecta lo que es correcto pero no debería estar ocurriendo?
Hacia una Ciberseguridad Centrada en el Negocio
El análisis del caso Carbanak sugiere replantear el marco conceptual desde el que se aborda la ciberseguridad organizacional. Este replanteamiento no implica reemplazar la dimensión técnica, sino ampliarla con perspectivas que hoy están ausentes o subdesarrolladas.
Se identifican cuatro ejes de transformación:
Concebir los procesos preguntando no solo cómo deben funcionar, sino cómo podrían ser explotados.
Superar la validación por conformidad: detectar comportamiento anómalo en contexto, no solo desviaciones formales.
Establecer principios de verificación continua, independientemente del canal o credencial utilizada.
Diseñar procesos capaces de absorber comportamientos adversariales sin generar señales falsas de normalidad.
Conclusiones
El caso Carbanak representa un punto de inflexión en la comprensión de la ciberseguridad. No porque sea el ataque más sofisticado técnicamente, sino porque ilustra con precisión una categoría de vulnerabilidad que los marcos tradicionales no están equipados para gestionar: la vulnerabilidad organizacional.
Las organizaciones pueden ser atacadas no a pesar de que sus procesos funcionen, sino precisamente porque funcionan de forma predecible. Esta inversión de la lógica habitual exige una revisión profunda de los modelos de análisis y diseño de seguridad.
Este trabajo propone los fundamentos conceptuales de esa revisión. El desarrollo de modelos operativos que integren la perspectiva adversarial, la creación de controles orientados al contexto y el abandono de la confianza implícita en los sistemas son los puntos de partida de una ciberseguridad verdaderamente centrada en el negocio.
Las implicaciones prácticas de estos principios serán abordadas en publicaciones posteriores, donde se explorarán metodologías concretas para su implementación organizacional.
Referencias
Kaspersky Lab. (2015). Carbanak APT: The Great Bank Robbery. Kaspersky Lab Global Research & Analysis Team.
Simon, H. A. (1955). A Behavioral Model of Rational Choice. The Quarterly Journal of Economics, 69(1), 99–118.
MITRE Corporation. (2023). FIN7 Group Profile. MITRE ATT&CK Framework. https://attack.mitre.org/groups/G0046/
Glosario de Términos
Los siguientes términos constituyen el marco conceptual del presente trabajo. Los términos marcados con NUEVO corresponden a conceptos propuestos o ampliados en este documento.
Autor / Redactor / Director
