Fabio Natalucci , Mahvash S. Qureshi , Felix Suntheim
Las crecientes amenazas cibernéticas plantean serias preocupaciones para la estabilidad financiera
Una mayor digitalización y mayores tensiones geopolíticas implican que ha aumentado el riesgo de un ciberataque con consecuencias sistémicas.
Los ciberataques se han más que duplicado desde la pandemia. Si bien históricamente las empresas han sufrido pérdidas directas relativamente modestas a causa de los ciberataques, algunas han experimentado un costo mucho mayor. La agencia estadounidense de informes crediticios Equifax, por ejemplo, pagó más de mil millones de dólares en multas después de una importante filtración de datos en 2017 que afectó a unos 150 millones de consumidores.
Como mostramos en un capítulo del Informe de estabilidad financiera global de abril de 2024 , el riesgo de pérdidas extremas por incidentes cibernéticos está aumentando. Estas pérdidas podrían causar problemas de financiación a las empresas e incluso poner en peligro su solvencia. El tamaño de estas pérdidas extremas se ha más que cuadruplicado desde 2017 a 2.500 millones de dólares. Y las pérdidas indirectas, como daños a la reputación o actualizaciones de seguridad, son sustancialmente mayores.
El sector financiero está especialmente expuesto al riesgo cibernético. Las empresas financieras, dadas las grandes cantidades de datos y transacciones confidenciales que manejan, a menudo son blanco de delincuentes que buscan robar dinero o perturbar la actividad económica. Los ataques a empresas financieras representan casi una quinta parte del total, de los cuales los bancos son los más expuestos.
Los incidentes en el sector financiero podrían amenazar la estabilidad financiera y económica si erosionan la confianza en el sistema financiero, interrumpen servicios críticos o causan efectos de contagio a otras instituciones.
Por ejemplo, un incidente grave en una institución financiera podría socavar la confianza y, en casos extremos, provocar liquidaciones en el mercado o corridas bancarias. Aunque hasta ahora no se han producido “ciberataques” significativos, nuestro análisis sugiere que se han producido salidas de depósitos modestas y algo persistentes en bancos estadounidenses más pequeños después de un ciberataque.
Los incidentes cibernéticos que interrumpen servicios críticos como las redes de pago también podrían afectar gravemente la actividad económica. Por ejemplo, un ataque en diciembre al Banco Central de Lesotho perturbó el sistema de pagos nacional, impidiendo transacciones de los bancos nacionales.
Otra consideración es que las empresas financieras dependen cada vez más de proveedores externos de servicios de TI, y pueden hacerlo aún más con el papel emergente de la inteligencia artificial. Estos proveedores externos pueden mejorar la resiliencia operativa, pero también exponer al sector financiero a shocks que afectan a todo el sistema. Por ejemplo, un ataque de ransomware en 2023 a un proveedor de servicios de TI en la nube provocó interrupciones simultáneas en 60 cooperativas de crédito de EE. UU.
Dado que el sistema financiero global enfrenta riesgos cibernéticos significativos y crecientes debido a la creciente digitalización y las tensiones geopolíticas, como se muestra en el capítulo, las políticas y los marcos de gobernanza de las empresas deben seguir el ritmo.
Dado que los incentivos privados pueden ser insuficientes para abordar los riesgos cibernéticos (por ejemplo, es posible que las empresas no tengan en cuenta plenamente los efectos de los incidentes en todo el sistema), la intervención pública puede ser necesaria.
Sin embargo, según una encuesta del FMI realizada a bancos centrales y autoridades de supervisión, los marcos de políticas de ciberseguridad, especialmente en las economías de mercados emergentes y en desarrollo, a menudo siguen siendo insuficientes. Por ejemplo, solo alrededor de la mitad de los países encuestados tenían una estrategia nacional de ciberseguridad centrada en el sector financiero o regulaciones específicas de ciberseguridad.
Para fortalecer la resiliencia del sector financiero, las autoridades deberían desarrollar una estrategia nacional de ciberseguridad adecuada acompañada de una regulación y una capacidad de supervisión efectivas que deberían abarcar:
- Evaluar periódicamente el panorama de la ciberseguridad e identificar posibles riesgos sistémicos derivados de la interconexión y las concentraciones, incluidos los de terceros proveedores de servicios.
- Fomentar la “madurez” cibernética entre las empresas del sector financiero, incluido el acceso a nivel de directorio a experiencia en ciberseguridad, como lo respalda el análisis del capítulo que sugiere que una mejor gobernanza relacionada con la ciberseguridad puede reducir el riesgo cibernético.
- Mejorar la higiene cibernética de las empresas, es decir, su seguridad en línea y la salud de sus sistemas (como antimalware y autenticación multifactor), y la capacitación y concientización.
- Dar prioridad a la presentación de informes de datos y la recopilación de incidentes cibernéticos, y compartir información entre los participantes del sector financiero para mejorar su preparación colectiva.
Como los ataques a menudo surgen desde fuera del país de origen de una empresa financiera y los ingresos pueden desviarse a través de las fronteras, la cooperación internacional es imperativa para abordar con éxito el riesgo cibernético.
Si bien se producirán incidentes cibernéticos, el sector financiero necesita la capacidad de brindar servicios comerciales críticos durante estas interrupciones. Para ello, las empresas financieras deberían desarrollar y probar procedimientos de respuesta y recuperación, y las autoridades nacionales deberían contar con protocolos de respuesta y marcos de gestión de crisis eficaces.
El FMI ayuda activamente a los países miembros a fortalecer sus marcos de ciberseguridad mediante asesoramiento sobre políticas, por ejemplo como parte del Programa de Evaluación del Sector Financiero , y mediante actividades de desarrollo de capacidades .
—Este blog se basa en el Capítulo 3 del Informe de estabilidad financiera global de abril de 2024, “Riesgo cibernético: una creciente preocupación por la estabilidad macrofinanciera”.