22 May El BCE prepara a las entidades para detectar y combatir los ciberataques
El Banco Central Europeo (BCE) se encuentra volcado en preparar a la banca contra los imprevisibles y destructores ciberataques. El año pasado construyó un sistema con el que aprender a identificarlos para atajarlos de inmediato. Comenzó a rodarlo con 18 entidades en fase piloto y este año lo extenderá a los 130 bancos que supervisa directamente, lo que supone enganchar a casi todo el sistema financiero español, salvo a las cajas rurales no aglutinadas bajo el grupo Cajamar, las financieras y a las dos de ahorros -Caixa Pollença y Ontinyent-.
La herramienta está diseñada para recopilar y almacenar los datos sobre incidentes de ciberdelincuencia sufridos por las entidades, a las que requerirá que denuncien las intrusiones tan pronto como sean detectadas, explica el supervisor europeo en un boletín informativo. La información se utilizará para identificar y supervisar las tendencias en ataques informáticos y facilitará una reacción rápida por parte del BCE en caso de que afecte a una o más entidades importantes.
Su funcionamiento podría ser asimilable a los archivos de fraude que compilan grandes volúmenes de datos para, con su comprensión y cruce, aprender a identificar las estafas y pautas de comportamiento, siendo hasta capaces de prevenir problemas con una detección temprana y la generación de alertas.
La prevención de intrusiones informáticas o ataques tipo, por ejemplo, phishing -suplantación de la página web de una empresa con el objetivo de robar claves de usuarios y cometer una estafa- es muy complicada sino imposible de realizar. Sin embargo, la centralización y tratamiento de toda la información sobre incidentes de ciberdelincuencia ayudará a combatirlos sin dilación y evitar su dañina propagación. Aún no se ha despejado si será de uso exclusivo de los supervisores o generará alertas a las entidades, refieren fuentes financieras.
“Como componente clave del ecosistema financiero, donde se almacenan dinero e información valiosa, los bancos siempre han sido objetivos atractivos para los criminales”, reconoce el BCE. El riesgo es creciente además porque las entidades están enfrascadas en una transformación digital que les obliga a dotarse de complejas plataformas informáticas para atender las nuevas demandas y hábitos del cliente. Garantizar la seguridad es, apunta, “vital” para las instituciones bancarias y aunque la gestión de estas protecciones es responsabilidad de los bancos, este riesgo es una prioridad constante del supervisor.
El virus del siglo, el WannaCrypt, que hace escasos días puso en alerta al mundo entero alcanzando a 180 países, con cientos de miles de equipos contaminados en empresas de todo tipo, incluido hospitales, dejó en evidencia las fabulosas armas con que atacan los nuevos sofisticados delincuentes.
Pero en la banca es una preocupación constante desde el mismo desarrollo del mundo digital. Se trata, de hecho, de uno de los aspectos que el supervisor evalúa dentro del riesgo operacional, un cajón donde se ponderan los potenciales problemas a encarar por una entidad ajenos al negocio y derivados del proceso, tanto por errores humanos o deslealtad de empleados, como originados por estafas y el cibercrimen. En 2015 empezó a efectuar inspecciones específicas para tomar el pulso a la seguridad cibernética, además de ser un foco permanente de preocupación para el regulador europeo desde siempre.
Para hacer rodar la nueva herramienta y tras la experiencia adquirida durante un año con el piloto, el BCE ha diseñado un informe tipo o ficha a cumplimentar por las entidades que entrarán este año entre sus reportes. Que vayan a participar y nutrirla bancos de los 19 países de la eurozona es un activo importante ante la realidad de ataques que cada vez tienen el mundo como su zona de extorsión y van propagándose de país a país.
Según fuentes financieras, el BCE proyecta compartir patrones, datos o conclusiones con otros bancos centrales, como la Fed estadounidense, o el Banco de Inglaterra para atajar mejor las amenazas.
En paralelo la Unión Europea estaba sopesando la posibilidad de efectuar una especie de “prueba de estrés” sobre las defensas de los bancos contra la ciberdelincuencia para identificar y resolver las vulnerabilidades, si eso contribuye a mejorar los sistemas de protección o seguridad. El número de golpes y su sofisticación crece al ritmo que se extiende el mundo digital.
El mayor robo a una entidad lo sufrió el banco central de Bangladesh a principios de 2016, con el saqueo de 71 millones de euros a manos de un pirata informático. En 2014 JP Morgan, en otro ejemplo, sufrió la sustracción de datos de 76 millones de clientes.
El afán de los criminales excede el hurto más clásico de vaciar cuentas de clientes capturando de forma ilícita sus claves personales, siendo capaces de acceder a datos críticos del banco para perpetrar golpes, incluso, mayores en quebrantos.
No obstante, el número de incidencias es limitado aunque un solo golpe tenga un eco social muy elevado porque la banca, conocedora de estas vulnerabilidades y del daño reputacional que acarrea un ataque exitoso, están invirtiendo ingentes cantidades de dinero en sistemas de seguridad.
Fuente: El Economista
