Por Tobias Adrián y Caio Ferreira
Los atacantes cibernéticos continúan apuntando al sector financiero. ¿Qué sucederá cuando un ataque derribe un banco u otra plataforma crítica y bloquee el acceso de los usuarios a sus cuentas?
Las estrechas interconexiones financieras y tecnológicas dentro del sector financiero pueden facilitar la rápida propagación de ataques a través de todo el sistema, lo que podría causar una interrupción generalizada y pérdida de confianza. La ciberseguridad es una clara amenaza para la estabilidad financiera.
Entre las economías de mercados emergentes y en desarrollo, la mayoría de los supervisores financieros no han introducido regulaciones de seguridad cibernética ni han creado recursos para hacerlas cumplir, según una encuesta reciente del FMI de 51 países.
También encontramos:
- El 56 por ciento de los bancos centrales o autoridades de supervisión no cuentan con una ciberestrategia nacional para el sector financiero.
- El 42 % carece de una regulación dedicada a la ciberseguridad o la gestión de riesgos tecnológicos, y el 68 % carece de una unidad de riesgo especializada como parte de su departamento de supervisión.
- El 64 por ciento no exige probar y ejercer medidas de seguridad cibernética ni brinda orientación adicional.
- El 54 por ciento carece de un régimen de notificación de incidentes cibernéticos dedicado.
- El 48 por ciento no tiene regulaciones sobre delitos cibernéticos.
Mientras tanto, una evaluación del Banco de Pagos Internacionales de 29 jurisdicciones identificó deficiencias en la supervisión de las infraestructuras de los mercados financieros.
Sin embargo, existen defensas contra estos riesgos, incluida la preparación y la acción regulatoria concertada, como discutimos en nuestro reciente taller de seguridad cibernética global en Washington. Sin embargo, no será fácil y se necesitan urgentemente respuestas integrales y colectivas.
Proliferación de amenazas
Así como los rápidos avances tecnológicos ofrecen a los atacantes herramientas que son más baratas y fáciles de usar, también los cambios brindan a las instituciones financieras una mayor capacidad para frustrarlos.
Aun así, son de esperar mayores vulnerabilidades en un mundo cada vez más digitalizado. Los objetivos proliferan a medida que se conectan más sistemas y dispositivos. Las empresas fintech que dependen en gran medida de las nuevas tecnologías digitales pueden hacer que la industria financiera sea más eficiente e inclusiva, pero también más vulnerable a los riesgos cibernéticos.
La escalada de tensiones geopolíticas también ha intensificado los ciberataques. Los perpetradores y sus motivaciones a menudo son oscuros y los riesgos no se limitan a las regiones de conflicto. La historia muestra que el derrame de malware disruptivo puede causar daños globales. Por ejemplo, el ataque de malware NotPetya que inundó por primera vez los sistemas de TI de las organizaciones ucranianas en 2017 se extendió rápidamente a varios otros países y causó daños estimados en más de $ 10 mil millones.
Finalmente, la dependencia de proveedores de servicios comunes significa que los ataques tienen una mayor probabilidad de tener implicaciones sistémicas. La concentración de riesgos para los servicios de uso común, incluida la computación en la nube, los servicios de seguridad administrados y los operadores de red, podría afectar a sectores enteros. Las pérdidas pueden ser elevadas y volverse macrocríticas.
Si bien las empresas financieras y los reguladores son cada vez más conscientes y están más preparados para los ataques, las brechas en el marco prudencial siguen siendo sustanciales.
Neutralizando la amenaza
Las instituciones financieras y los reguladores deben prepararse para amenazas cibernéticas intensificadas y posibles infracciones exitosas al priorizar cinco cosas:
- Los bancos centrales, los reguladores y las empresas financieras deben desarrollar una estrategia de ciberseguridad. El riesgo cibernético es un problema multidimensional que requiere una sólida seguridad dentro de las autoridades; supervisión sólida a través de la regulación y la supervisión; acción colectiva dentro del mercado; y los esfuerzos para crear capacidad y experiencia.
- Los reguladores financieros y las empresas deben cambiar su enfoque de la continuidad comercial clásica y la planificación de recuperación ante desastres, a la prestación de servicios críticos, incluso cuando los ataques interrumpen las operaciones normales. La resiliencia requiere la aceptación de los principales líderes de las empresas y los reguladores financieros y los miembros de su directorio. Las empresas deben prepararse para incidentes graves pero plausibles que pueden tener un impacto sistémico. Los supervisores deben exigir a la industria que considere tales escenarios adversos y pruebe sus planes de contingencia tanto individual como colectivamente.
- Los supervisores financieros deben garantizar que la regulación y la supervisión cibernética puedan promover la resiliencia de manera efectiva. No existe un enfoque único para todos, pero muchos elementos son comunes. Un enfoque de supervisión eficaz equilibra las actividades en el sitio y fuera del sitio, realizadas por una combinación de expertos en seguridad y supervisores generalistas, que hacen cumplir la regulación de manera proporcional.
- Las firmas financieras deben fortalecer la «higiene» cibernética, los sistemas seguros por diseño y las estrategias de respuesta y recuperación. Si bien muchos de los ataques actuales son cada vez más sofisticados y dependen de la ingeniería social para lograr que la víctima proporcione información confidencial, la mayoría de los ataques exitosos son el resultado de fallas en la rutina, como no implementar actualizaciones de parches o no realizar las configuraciones de seguridad correctas. En este contexto, las prácticas habituales para garantizar el manejo seguro de datos críticos y para asegurar las redes marcan la diferencia.
- La comunidad internacional debe armonizar la notificación de incidentes cibernéticos y el intercambio efectivo de información para garantizar que las autoridades de todo el mundo puedan gestionar los incidentes de manera efectiva. El modelo para la notificación de incidentes y el léxico común que está desarrollando el Consejo de Estabilidad Financiera son pasos importantes hacia adelante.
Riesgo transjurisdiccional
La fuerza de las defensas cibernéticas depende del eslabón más débil. Con interconexiones cada vez mayores en todo el mundo, frenar el riesgo requiere un esfuerzo internacional. Por su parte, el FMI continúa ayudando a los supervisores financieros a través de iniciativas de desarrollo de capacidades destinadas a diseñar e implementar estándares internacionales y mejores prácticas como una prioridad urgente.