La ciberseguridad se ha convertido en un componente esencial para el funcionamiento del sector financiero y las entidades bancarias, un riesgo de negocio de primerísimo nivel que impacta duramente al tejido empresarial. Solo tenemos que analizar el último informe de riesgos globales del Foro Económico Mundial que posiciona a los ciberincidentes en el Top 5, o el ultimo Informe Anual de Seguridad Nacional elaborado por el DSN, que sitúa las vulnerabilidades del ciberespacio en el segundo lugar de los riesgos. Con el aumento de la digitalización, la dependencia de las tecnologías de la información es cada vez mayor y es aquí donde las instituciones financieras se enfrentan a una creciente amenaza de ciberataques. Este artículo examina cómo estos riesgos afectan al sector financiero.
La sociedad y el mundo empresarial son un objetivo constante para los ciberdelincuentes, el nuevo paradigma del mundo hiperconectado, la digitalización masiva de servicios y procesos, la polarización geopolítica, la adopción masiva de servicios en nube y la dependencia de la cadena de suministro hacen que el riesgo asociado a la tecnología sea cada vez mayor. Es más, el sector financiero es un objetivo atractivo y prioritario para los ciberdelincuentes debido al alto valor de la información que maneja y la posibilidad de obtener beneficios económicos significativos, la industria del cibercrimen (recordemos que es la industria delictiva más rentable del mundo por delante de otras lacras como el tráfico de drogas, el de armas o el de personas) obtiene alta rentabilidad de los ataques a la banca. Algunos de estos ataques más comunes incluyen la ingeniería social en cualquiera de sus modalidades, el ransomware o secuestro de información, la exfiltración de datos o múltiple extorsión, y los ataques de denegación de servicio (DDoS). En la dark web y el underground tecnológico se vende de todo al peso y al mejor postor. Según un informe de IBM, el sector financiero es la industria más atacada, por delante de la sanidad y el energético, representando el 19% de todos los ciberataques en 2021. Además, Trend Micro ha identificado un aumento significativo en los ataques dirigidos específicamente a instituciones financieras, destacando la sofisticación y persistencia de los atacantes modernos vitaminados además con tácticas y técnicas de inteligencia artificial, pero ese es tema para otro articulo de opinión.
Las consecuencias de los ciberataques en el sector financiero son especialmente severas traduciéndose en en pérdidas financieras directas, como el robo de dinero (aquí hablamos del fraude digital o la estafa informática, claramente tipificados en el código penal) y el robo de información valiosa. Además, las instituciones pueden enfrentar sanciones regulatorias, costos legales y pérdida de confianza por parte de los clientes, daño reputacional y costes operativos de parada de servicio productivo. Un ejemplo notable fue el ataque a Equifax en 2017, donde se comprometieron los datos personales de 147 millones de personas, resultando en una multa de 700 millones de dólares.
Un ciberataque puede interrumpir las operaciones diarias afectando la capacidad de los clientes para acceder a sus cuentas y realizar transacciones. Esta interrupción no solo afecta la reputación de la institución, sino que también puede tener un impacto significativo en la economía en general, especialmente si la institución atacada es de gran tamaño o tiene un papel crítico en el sistema financiero. De hecho, la nueva directiva NIS2 elaborada por la Unión Europea pone especial foco en los sectores críticos e importantes así como en la cadena de suministro.
Por tanto, el cumplimiento de las normativas de ciberseguridad es otro aspecto fundamental a tener en cuenta. Organismos reguladores, como el Banco Central Europeo (BCE) y la Comisión de Bolsa y Valores de EE.UU (SEC), han establecido directrices estrictas para asegurar la protección de los datos financieros. En Europa, además, el Reglamento General de Protección de Datos (GDPR) y la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en España son ejemplos de legislaciones que obligan a las instituciones financieras a implementar medidas de seguridad robustas y reportar brechas de seguridad en tiempo y forma.
Recientemente, la normativa DORA (Digital Operational Resilience Act) de la Unión Europea ha agregado una capa adicional de regulación para las instituciones financieras. DORA establece requisitos específicos para garantizar que las entidades financieras puedan resistir, responder y recuperarse de cualquier perturbación operativa severa, incluyendo los ciberataques. Dicha normativa busca armonizar las prácticas de gestión de riesgos y ciberseguridad en los estados miembros, fortaleciendo así la resiliencia operativa del sector.
La confianza del cliente es fundamental para las instituciones financieras. Los ciberataques pueden erosionar dicha confianza de forma rápida e irreversible. Cuando ocurre un ciberataque, y los datos de los clientes se ven comprometidos, la reacción negativa puede ser inmediata y severa. La pérdida de confianza puede llevar a una fuga masiva de clientes hacia competidores.
Mirando hacia el futuro, la ciberseguridad en el sector financiero seguirá evolucionando. La adopción de tecnologías emergentes como la computación cuántica y la inteligencia artificial plantea tanto oportunidades como nuevos desafíos. Por ejemplo, por no hablar solo de IA, la computación cuántica va a revolucionar el cifrado de datos haciendo obsoletos los métodos de cifrado actuales, lo que obligará a las instituciones financieras a adaptarse rápidamente. Además, la colaboración internacional y el intercambio de información entre instituciones y gobiernos serán cruciales para combatir las amenazas globales, en esta línea surgen iniciativas como el Foro de Estabilidad Financiera (FSB) que promueve la cooperación global en materia de ciberseguridad.
En conclusión, la ciberseguridad tiene un impacto significativo en el sector financiero. La creciente amenaza de ciberataques exige una constante evolución de las estrategias de seguridad y el cumplimiento de normativas estrictas, como DORA. Con el avance de las tecnologías y la cooperación global, las instituciones financieras pueden fortalecer su resiliencia frente a los ciberataques, protegiendo así a sus clientes y manteniendo la estabilidad del sistema financiero global.
Sigue toda la información de Open Hub News en X y Linkedin , o en nuestra newsletter.
