El intercambio de bienes siempre ha estado presente en la historia de la humanidad y hace parte fundamental de la economía. Con el ingreso de los bancos y cajas de ahorro como custodios de activos, se presentó la necesidad de garantizar el movimiento seguro de dinero entre cuentas bancarias. Inicialmente, el registro de estos movimientos financieros se ejecutaba de forma manual, dando pie a demoras, errores de transcripción y fraudes.

Con la llegada de telecomunicaciones basadas en telégrafos, se optimizó el tiempo asociado con el procesamiento de este tipo de transacciones (denominadas “Transferencias Telegráficas” o TT), que típicamente tardaban entre dos y tres días hábiles en ser procesadas, sobre todo en transferencias de activos entre entidades financieras ubicadas en diferentes lugares del mundo (transferencias internacionales). Estos tiempos en las operaciones interbancarias fueron minimizados con la evolución en las redes de telecomunicaciones, sin la necesidad de intercambiar físicamente el dinero y empleando únicamente registros electrónicos, proceso denominado «electronic funds transfer» o EFT.

Inicialmente, las transferencias interbancarias eran gestionadas directamente entre las dos entidades involucradas en la transacción (emisor y receptor). Sin embargo, dada la cantidad de entidades bancarias existentes en el mundo, la gestión de transacciones uno-a-uno se convirtió en una tarea titánica, cuya única solución era el uso de una entidad intermediaria que actuara como concentrador o “hub” para el enrutamiento de trasferencias.

Como respuesta a esta necesidad, en 1973 en Bélgica se fundó la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (“Society for Worldwide Interbank Financial Telecommunication») o SWIFT, una entidad cooperativa compuesta en aquel entonces por 240 bancos en 15 países diferentes, cuyo objetivo fue servir como intermediario para la ejecución de transferencias financieras entre entidades bancarias. SWIFT ofrece no solo los servicios relacionados con transferencias financieras, sino también una infraestructura de comunicaciones y software que facilita el enrutamiento de transacciones (o “mensajes”) y la identificación de las distintas entidades involucradas en la transacción, en donde se emplea un sistema alfanumérico para la identificación de cada organización miembro, denominado indistintamente como “bank identifier code” (BIC), SWIFT code, SWIFT ID, o ISO 9362 code.

Figura 1. Ejemplo de código BIC/SWIFT

Obviamente, en este tipo de servicios no solamente la interoperabilidad y los tiempos de respuesta son la prioridad, también lo es la seguridad. La información intercambiada en la mensajería del sistema SWIFT requiere de altos niveles de protección frente a alteración no autorizada, disponibilidad, confidencialidad y registro de actividades (trazabilidad), teniendo en cuenta que sobre estos elementos radica la confianza de los clientes en el servicio. Esto se pudo evidenciar cuando el sistema SWIFT fue atacado en 2015 (TPBank en Vietnam y Banco del Austro en Ecuador) y en 2016 (Akbank en Turquía y Banco Central de Bangladesh), causando pérdidas millonarias y obligando a que se tomaran medidas detectivas y correctivas con el fin de minimizar el impacto de potenciales ataques futuros.

Figura 2. Ejemplo de una transacción SWIFT (fuente: https://www.niceideas.ch/roller2/badtrash/entry/dissecting-swift-message-types-involved)

SWIFT Customer Security Controls Framework (CSCF) y Customer Security Programme (CSP)

Como respuesta a los ataques sufridos por la infraestructura de SWIFT, en el año 2017 se publicó la primera versión del documento SWIFT Customer Security Controls Framework (CSCF), en donde se establecen una serie de controles cuyo objetivo es servir como línea base para la protección de la infraestructura de la red SWIFT. De forma anual estos controles se van actualizando para alinear los niveles de protección con la evolución tanto de técnicas de ataque como de la tecnología subyacente:

Estos controles se dividen en dos categorías:

  • Controles obligatorios (“mandatory”), que deben ser implementados de forma prioritaria por cada miembro de la red en su infraestructura SWIFT a nivel local, y
  • Controles recomendados (“advisory”), que son un conjunto de buenas prácticas que pueden ser implementadas de forma discrecional por la organización, pero que en el futuro se pueden convertir en controles obligatorios dependiendo de la evolución en los ataques.

Figura 3. SWIFT CSP Security Controls Framework (fuente: www.swift.com)

Los controles de SWIFT CSCF 2021 están organizados en tres objetivos principales, soportados por ocho principios (principles) y 31 controles, 22 de ellos obligatorios y 9 recomendables:

  • Secure your environment,
    • Restrict Internet access
    • Protect critical systems from general IT environment
    • Reduce attack surface and vulnerabilities
    • Physically secure the environment
  • Know and limit Access,
    • Prevent compromiso of credentials
    • Manage identities and segregate privileges
  • Detect and respond,
    • Detect anomalous activity to systems or transactions records
    • Plan for incident response and information sharing

Como complemento a los controles de seguridad propiamente dichos, SWIFT CSCP incluye también una guía descriptiva para la identificación de servicios y componentes dentro del alcance de cumplimiento (incluyendo ubicaciones de procesamiento de producción, de respaldo y de recuperación de desastres), diferentes tipos de arquitectura de despliegue de componentes para validación de aplicabilidad de controles y activos, un listado de riesgos y su mapeo correspondiente con su contramedida, un inventario de ejemplos de escenarios de amenazas, y una tabla de responsabilidades compartidas cuando se emplean servicios de proveedores externos (incluyendo servicios en la nube).

Figura 4. Ejemplo del ámbito de cumplimiento de SWIFT CSCF

Los controles de SWIFT CSCF, conjuntamente con otros documentos como SWIFT Customer Security Controls Policy (CSCP) y SWIFT Information Sharing and Analysis Centre (ISAC), son gestionados a través de SWIFT Customer Security Programme (CSP), que describe los procesos de reporte de cumplimento, verificación de estado de seguridad de terceros y seguimiento de las acciones de remediación de incumplimientos.

NOTA: Es importante aclarar que algunos de los recursos documentales provistos por SWIFT requieren de un nombre de usuario y una contraseña para su acceso.

Plan de implementación de SWIFT CSCF

Para entidades que se enfrentan por primera vez al proceso de despliegue de controles de SWIFT CSCF u organizaciones que ya tienen cierto nivel de madurez en ciberseguridad, la definición de una metodología interactiva que facilite el ciclo de vida de los controles de seguridad optimizará el tiempo y el esfuerzo en la protección de la infraestructura local de servicios SWIFT.

Figura 5. SWIFT CSP PDCA

En este sentido, la recomendación es proceder de forma similar a como se sigue en la implementación de otros estándares: mediante el uso del ciclo de Deming o Plan-Do-Check-Act (PDCA):

  • PLAN (P): En esta fase se definen los objetivos estratégicos, operativos y tácticos del proceso, las labores administrativas y operativas necesarias para lograr dicho objetivo y la identificación, dimensionamiento y preparación de todos los elementos logísticos relacionados, incluyendo:
    • Conseguir el respaldo de los altos cargos e involucrar a todas las partes interesadas.
    • Identificar los recursos tanto internos como externos que serán involucrados en el proyecto.
    • Identificar el alcance de cumplimiento de SWIFT (servicios y componentes) y el modelo de arquitectura que mejor coincide con el de la organización.
    • Identificar los controles de SWIFT CSCF aplicables al entorno.
    • Priorización de los controles de SWIFT CSCF obligatorios y análisis de viabilidad de los controles recomendables.
    • Identificar los controles de seguridad existentes en el entorno.
    • Integración de los controles de SWIFT CSCF con otros marcos normativos o estándares de seguridad aplicables a la organización (ISO/IEC 27002, PCI DSS, NIST CSF).
  • DO (D): En esta segunda fase se procede con la implementación de todas las tareas establecidas en la fase PLAN (P). Por lo general suele ser la fase más larga en términos de tiempo y complejidad:
    • Implementación de las actividades de minimización del alcance de cumplimiento
    • Despliegue de los controles de seguridad de SWIFT CSCF
  • CHECK (C): En esta tercera fase se comprueba que todas las tareas realizadas en la fase Hacer (H) se han realizado de forma correcta siguiendo la planificación y objetivos definidos e identificando cualquier desviación:
    • Realización de análisis diferenciales internos de cumplimiento para la detección temprana de incumplimientos.
    • Realización de las evaluaciones de cumplimiento independientes requeridas por SWIFT CSP.
    • Reporte de cumplimiento
  • ACT (A): en esta fase se debe proceder con la corrección de cualquier problema encontrado y cualquier acción de mejora con miras a optimizar el sistema:
    • Corrección de incumplimientos
    • Análisis de la siguiente versión de SWIFT CSCF

El acompañamiento y soporte de una entidad especializada en cada una de esas fases es recomendable, ya que permitirá garantizar que los objetivos estratégicos definidos y las acciones tácticas asociadas se encuentran alineadas con los criterios definidos por SWIFT CSP, lo cual minimizará la aparición de tareas no previstas durante el trascurso del ciclo en el tiempo, desfocalizándo los esfuerzos definidos previamente.

Proceso de evaluación y reporte de cumplimiento

Con el fin de validar que una organización conectada a la infraestructura SWIFT cumple con los controles de seguridad descritos en SWIFT CSCP, se debe reportar el estado de cumplimiento de estos controles con base en los lineamientos de SWIFT CSP, en donde se especifica que todos los clientes deben reportar su postura de cumplimiento empleando la herramienta “Know Your Customer” (KYC) de manera anual o cuando exista un cambio en el alcance. A partir de julio de 2021, se requiere que esta evaluación de cumplimiento sea realizada de forma independiente sin injerencia de las unidades de negocio. Para ello, hay dos alternativas:

  • Evaluación interna: En organizaciones que implementan el modelo de tres líneas de defensa para la gestión de riesgo organizacional (gestión operativa, gestión de riesgo y de cumplimiento y auditoría interna) y cuyo nivel de madurez en términos de ciberseguridad es alto, se permite que la segunda o tercera línea evalúen a la primera línea de defensa, con el fin de obtener un resultado independiente.
  • Evaluación externa: En este caso, la evaluación de cumplimiento la realiza una organización externa con experiencia demostrable en ciberseguridad.

El reporte de cumplimiento debe indicar si la entidad cumple con los objetivos del control de SWIFT CSCF, si cumplirá en un futuro (lo que implica un plan de acción), si no cumple o si el control no aplica. Este reporte será visible tanto para SWIFT como para las contrapartes (entidades financieras).

Con base en los criterios de transparencia de SWIFT CSP, en el caso que la organización incumpla con los controles de SWIFT CSCF, otros miembros de la comunidad SWIFT podrán tener acceso a esta información (lo cual afectará las relaciones con terceros) o incluso la entidad afectada podrá ser desconectada de la red SWIFT.

Relación entre SWIFT CSP, PCI DSS y otros estándares de seguridad

A pesar de que los objetivos de protección son diferentes, el documento «SWIFT Customer Security Controls Framework» incluye una tabla general en la cual se relacionan los controles de este marco de trabajo con los requerimientos de NIST Cybersecurity Framework, ISO/IEC 27002:2013 y PCI DSS. Este tipo de tablas son muy importantes en aquellos entornos en los cuales ya existe cierta madurez en el cumplimiento de otros estándares o mejores prácticas de la industria y se quiere reaprovechar ese esfuerzo en la alineación con SWIFT CSCF:

Figura 6. Relación de controles de SWIFT CSCF, NIST CSF, ISO IEC 27002:2013 y PCI DSS

En el caso particular de PCI DSS, SWIFT CSCF comparte algunos criterios tales como la identificación de alcance (Secure Zone Reference Architectures / Scope of Security Controls), la segmentación y el aislamiento de red, la aplicabilidad de controles dependiendo de las funcionalidades del entorno, la seguridad física del entorno, e incluso el uso de controles compensatorios (denominados «soluciones alternativas» en SWIFT CSCF), haciendo que un entorno alineado con los controles de PCI DSS pueda cumplir con SWIFT CSCF de una forma sencilla.


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.