Pasando a la oscuridad: interrupciones del servicio en bolsas de valores y casas de bolsa


¿Eres un toro o un oso? Si no puede acceder a sus datos y dinero, ¿sus opiniones sobre el mercado siguen siendo importantes?

Recientemente me preguntaron cómo las vulnerabilidades de software en las aplicaciones y plataformas de negociación de acciones podrían poner en riesgo las finanzas y los datos personales de los usuarios. Dada la dependencia de las sociedades y economías actuales de la tecnología, junto con el creciente interés en el comercio diario en los últimos tiempos, es natural que las preocupaciones sobre el número creciente y la gravedad de las lagunas de seguridad en todo tipo de aplicaciones de software debería aumentar al mismo tiempo. Y eso se suma a muchas otras amenazas cibernéticas que requieren la atención continua de las organizaciones y las personas, incluidas las que participan en el comercio de acciones.

Recientemente, una serie de interrupciones que han afectado a las bolsas de valores y las casas de bolsa han puesto de relieve otro problema: una interrupción también, incluso si es causada por un problema técnico, puede en última instancia afectar las finanzas de las personas y las organizaciones. Si bien este problema generalmente atrae menos atención pública, los incidentes que detienen el comercio en plataformas donde normalmente se mueven miles de millones de dólares todos los días pueden incluso afectar la confianza de los inversores y tener efectos en cadena para las economías de los países. De hecho, hablé de la importancia de garantizar la disponibilidad de tecnologías comerciales en 2018; si la historia reciente es una indicación, las cosas no parecen estar mejorando.

La disponibilidad de datos y sistemas es, junto con su confidencialidad e integridad, uno de los pilares del venerable Tríada de la CIA, el concepto en el corazón de la seguridad de la información y el principio rector de los esfuerzos de seguridad de datos de cualquier organización. El impacto de los problemas de disponibilidad varía de una industria a otra y de un activo a otro; Dicho sin rodeos, no poder acceder a una pequeña plataforma de análisis de redes sociales no es lo mismo que tener problemas para iniciar sesión en la aplicación de planificación de recursos empresariales (ERP) de su empresa.

El sentido común nos llevaría a asumir que las tecnologías detrás de las bolsas de valores son sólidas, a prueba de fallas y nunca fallarían en circunstancias normales. 2020 demostró que estábamos equivocados: veamos cómo las principales bolsas de valores y corredoras han luchado por mantener sus sistemas en funcionamiento recientemente.

Apagones bursátiles

Bolsa de Valores de Tokio (TSE)

El jueves 1 de octubreS t, la Se detuvo la sesión de negociación de TSE durante un día entero. El TSE es la tercera bolsa más grande del mundo con una capitalización de mercado de alrededor de $ 6 billones. La interrupción se atribuyó a un mal funcionamiento del hardware en su sistema de negociación de acciones y sistema de copia de seguridad automática. Dos fracasos seguidos. No obstante, el TSE reanudó sus operaciones al día siguiente.

Bolsa de Valores de Tokio, 1988 (Fuente de la imagen: http://www.horvatland.com/WEB/en/THE80s/PJ/JAPAN/Qb%2088%203.htm)

Este sistema demostró ser resistente a las fuerzas naturales, habiéndose resistido durante un poderoso terremoto y tsunami en 2011; por otra parte, no era la primera vez que su sistema de comercio Arrowhead experimentó una falla.

El 5 de noviembreth, Japan Exchange Group, propietario del TSE, anunció en un comunicado de prensa que el sistema ha sido actualizado. Esta actualización ofrece mayor disponibilidad y velocidad.

Pregunto, ¿estos sistemas fueron probados con regularidad, ya sea internamente o por el proveedor, o fue simplemente una desgracia? Mal dia? ¿Tiempo inadecuado? Quién sabe.

Bolsa Mexicana de Valores (BMV)

El 9 de octubreth, la sesión de negociación en el mercado de valores más antiguo de México se detuvo al mediodía debido a problemas operativos con el sistema utilizado para procesar las órdenes de negociación. La bolsa de valores culpó del apagón a una conexión cortada por error causada por un proveedor de tecnología. Vale la pena señalar que los acuerdos de nivel de servicio (SLA) juegan un papel importante en este tipo de problemas.

Incluso cuando una tecnología es resistente y los controles generales de TI se auditan con regularidad, las personas cometerán errores sin darse cuenta. No obstante, el comercio se reanudó el lunes siguiente con todas las plataformas funcionando normalmente.

Aún en octubre, cotiza en varias bolsas de valores importantes de Europa. también se detuvo.

Cuellos de botella de los corredores

Las horas pico son en la apertura del mercado y el cierre del mercado (09: 30-16: 00 EST) son los momentos más cruciales para el mercado. Hay compras y ventas masivas durante estos tiempos, y los pedidos se envían a los mismos puntos finales de API y los mismos servidores al mismo tiempo.

Miles de usuarios de diferentes corredurías han informado problemas de disponibilidad en sus plataformas de comercio web, móvil y de escritorio. Los usuarios enojados no pudieron comprar o vender valores al precio correcto. Millones de dólares se desvanecieron en oportunidades perdidas.

En mi opinión, los reguladores deberían tomar medidas contra este comportamiento poco diligente de las casas de bolsa.

Indisponibilidad del corredor minorista

Después de que la pandemia de COVID-19 provocara un gran aumento en el número de usuarios, muchos corredores minoristas ahora sufren el mismo problema: disponibilidad en los horarios de apertura / cierre.

Robinhood, una de las plataformas más populares, cayó en marzo de 2020:

En diciembre, Robinhood experimentó otra interrupción. Y también Interactive Brokers:

Varias otras corredurías también informó problemas de disponibilidad y estoy bastante seguro de que muchos más sufren de esta "enfermedad" de la tecnología. Por ejemplo, TD Ameritrade ha tenido múltiples problemas de disponibilidad desde que se anunció su fusión con Charles Schwab en noviembre de 2019. Como usuario final de Thinkorswim por TD Ameritrade, Tuve experiencias frecuentes y desagradables en 2019 con sus plataformas móviles y de escritorio. Algunos días, no pude iniciar sesión en ninguna de sus plataformas; otros días, solo la aplicación de escritorio estaba disponible para operar. Por lo que puedo decir, los problemas de disponibilidad han estado en sus servidores de autenticación y gráficos.

Las preguntas desconcertantes son, desde el anuncio de la adquisición en noviembre de 2019 y la pandemia empeoró a principios de 2020:

  • ¿TD Ameritrade estaba ignorando las quejas de disponibilidad solo porque sabían que serían adquiridas por Charles Schwab?
  • ¿IT falló en hacer algunos cálculos matemáticos en términos de escalabilidad para evitar problemas de cuello de botella sabiendo que su base de usuarios aumentó durante la pandemia?
  • ¿Charles Schwab realizó la debida diligencia de la tecnología de TD Ameritrade?
  • ¿Charles Schwab invertirá más en tecnología en el futuro para mantener feliz a su nueva base de usuarios?

¿Dónde estaba el servicio al cliente de Robinhood?

La tecnología y los procesos no funcionan por sí mismos; ambos necesitan personas para lograr los objetivos comerciales.

Fuente de imagen: https://crisbymike.wordpress.com/2017/11/16/what-is-people-processes-technology/

Entonces, ¿qué pasó cuando numerosos Las cuentas de usuario de Robinhood fueron saqueadas y no había nadie a quien llamar? Durante la primera semana de octubre, los atacantes atacaron varias cuentas de usuario de Robinhood y agotaron sus fondos. Esto se logró a través de múltiples técnicas de piratería, incluida la obtención de acceso no autorizado a las cuentas de correo electrónico asociadas con las cuentas de Robinhood y identificación falsa para volver a habilitar las cuentas comerciales. Las víctimas quedaron en el limbo, ya que el corredor no tenía número de teléfono de emergencia ni de atención al cliente. No podían hacer nada más que ver cómo se desvanecía su dinero.

Robinhood declaró que esto no fue una violación o un ciberataque por su parte, sino de los usuarios finales. Algunos de los usuarios afectados se comunicaron con la SEC y FINRA, pero se negaron a comentar en ese momento.

Para llevar

  • La seguridad no es solo confidencialidad e integridad, la disponibilidad es un talón de Aquiles para las tecnologías financieras; si falla, se puede perder mucho dinero.
  • Las bolsas de valores y las casas de bolsa siguen mejorando en escalabilidad y resistencia. Debería dedicarse más inversión a estas áreas.
  • Los reguladores deberían desempeñar un papel más activo en velar por la disponibilidad de corretaje.
  • Los usuarios finales deben mantenerse en contacto con el soporte de ayuda de su corretaje para resolver cualquier problema durante el horario comercial. Pueden brindar orientación sobre qué plataformas están disponibles para operar.

Nota final: un escenario hipotético de DDoS masivo

Ahora imagínese, si en circunstancias normales estas plataformas fallan, ¿qué pasaría si los malos actores comenzaran a enviar cantidades masivas de datos a la infraestructura de las casas de bolsa y las bolsas de valores? ¿Son lo suficientemente resistentes para soportar estos ataques y seguir funcionando normalmente? Lo averiguaremos en los próximos años.

¡Gracias por leer!

Alejandro Hernández (@ nitr0usmx)

Nota del editor: las opiniones expresadas en este artículo son únicamente las del autor y no reflejan necesariamente las opiniones de WeLiveSecurity.com y ESET.





Enlace a la noticia original