Por Inversis
Cada día los bancos bloquean centenares de ataques informáticos. Es difícil cuantificar las pérdidas que suponen. Allianz, en su Barómetro de Riesgos 2019, calcula que los ciberataques y los problemas de seguridad informática tienen un coste aproximado de 600 millones de dólares al año para las empresas. Además, habría que sumar el impacto que pueden tener en los beneficios, la pérdida de datos, el daño en la reputación corporativa o las filtraciones de información confidencial, por ejemplo.
Los ciberataques generan fuertes costes económicos al sector financiero, que se ve obligado a destinar importantes sumas para prevenirlos. El Santander invertirá 400 millones en tres años en ciberseguridad. BBVA o CaixaBank han creado unidades de coordinación para responder a incidentes de seguridad informática. En general, todo el sector ha tomado medidas para hacer frente a estas amenazas.
Para reforzar esta lucha, el Banco Central Europeo (BCE) prepara unos exámenes de resistencia ante ataques cibernéticos. Estos test serán voluntarios y servirán para conocer las fortalezas y debilidades de las entidades financieras en ciberseguridad. La intención es que también se apliquen a otras compañías, como las aseguradoras, que se consideran críticas para el funcionamiento del sector.
El TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) con el que trabaja el BCE es un plan comunitario para fortalecer las defensas de los Bancos, las instituciones financieras y las Bolsas de Valores que operan en la Unión Europea. En él se emplearán equipos de hackers externos, los llamados ‘equipos rojos’ (RT), para poner a prueba los sistemas de seguridad de los servicios financieros y explorar sus vulnerabilidades, una técnica que viene del sector militar y que también se utiliza en el sector privado.
Estas pruebas controladas se desarrollarán en tres fases. En la primera, la entidad participante se preparará para afrontar el test, con la adquisición de los servicios necesarios exigidos por el TIBER-UE. La segunda etapa será la del ataque y establecerá una hora de ruta para que el ‘equipo rojo’ se dirija a las zonas más vulnerables para probar la resistencia del banco en un escenario de ruptura del negocio. En la tercera y última fase se recogerá un informe del ‘equipo rojo’ sobre las vulnerabilidades encontradas y la propuesta para mejorarlas, otro informe realizado por la entidad financiera y otro elaborado de manera conjunta.
Las pruebas serán confidenciales y permitirán que el supervisor de cada banco pueda invalidar el examen si considera que no se ha realizado desde principios éticos.
La intención desde el BCE es que estas pruebas proporcionen “a la entidad una idea probada de sus fortalezas y debilidades y le permitirán aprender y evolucionar a un nivel superior de madurez cibernética”.
Los ataques masivos de WannaCry y NotPetya en 2017 marcaron un antes y un después en ciberseguridad. Centenares de miles de ordenadores infectados en más de 150 países y repercusiones en transportes, telecomunicaciones y empresas pusieron de manifiesto vulnerabilidades críticas e impulsaron esfuerzos para reforzar la ciberseguridad.
Los legisladores europeos están preparando un Reglamento de Ciberseguridad con un nuevo marco de certificación y ambiciosas propuestas. En este marco, el Parlamento Europeo, el Consejo y la Comisión Europea acordaron recientemente reforzar el mandato de la Agencia de la UE para la Ciberseguridad (ENISA) en la lucha contra las amenazas y los ciberataques. El Grupo de Expertos Cibernéticos del G7 tiene previsto realizar en 2019 el primer simulacro global de crisis cibernética transfronteriza.
La Unión Europea espera crear en los próximos meses un centro de ciberseguridad que aglutinará a los grandes centros de cada país con la intención de desarrollar y desplegar la tecnología necesaria para enfrentarse a las amenazas, con sistemas de defensa de última generación. En España este centro será el INCIBE (Instituto Nacional de Ciberseguridad de España). La iniciativa contará con financiación de Horizonte Europa y del programa Europa Digital, que ha asignado una partida de 2.000 millones de euros a la ciberseguridad.