El ataque de ransomware al Banco Industrial y Comercial de China, que provocó la perturbación del mercado del Tesoro estadounidense en noviembre, ofrece otro ejemplo de los problemas que enfrenta el sector financiero cuando se enfrenta a ataques cibernéticos.
Los ciberataques plantean riesgos sustanciales para las instituciones individuales y el sistema financiero en general. Los ataques (por parte de actores estatales, grupos criminales o piratas informáticos individuales) pueden tomar la forma de robo de efectivo, corrupción de datos, interrupción de pagos y filtración de información, a menudo altamente confidencial, que poseen las instituciones financieras.
La transformación de tales ciberataques en amenazas a la estabilidad financiera se produce principalmente a través de una pérdida de confianza. La pérdida de confianza en los mercados financieros y en la economía plantea riesgos de liquidez, lo que estimula corridas bancarias, fugas de capital y un pánico generalizado en los mercados. Un contagio de este tipo podría generar pérdidas y importantes fluctuaciones de precios.
Sin embargo, existen riesgos de transmisión adicionales que no se discuten lo suficiente. El principal de ellos es la cuestión de la concentración del mercado financiero. Muchos mercados emergentes están digitalizando sus sectores financieros sin una protección adecuada contra el ciberdelito. Si los mercados desarrollados pueden proteger más adecuadamente su sistema financiero de los ataques, esto podría estimular un movimiento de actividad hacia esos mercados y sus monedas locales.
A nivel de banco individual, el mecanismo es el mismo. Los bancos con peores protecciones de ciberseguridad pueden ver caer su demanda a favor de aquellos con mejores registros. Esto puede avivar las tendencias observadas en Estados Unidos, donde los bancos regionales más pequeños se han tambaleado a medida que las principales instituciones experimentan una afluencia de demanda. Estos cambios fueron igualmente impulsados por una pérdida de confianza en los bancos más pequeños y más propensos al riesgo.
La ironía es que esta concentración –tanto a nivel bancario como de mercado individual de cada país– plantea nuevos riesgos. Aunque puede ser más difícil atacar instituciones y mercados más grandes y con mejores recursos, el impacto de que un hacker lo hiciera con éxito sería mucho más dañino, especialmente en medio de una mayor concentración.
Las empresas financieras están invirtiendo fuertemente en ciberseguridad. Sin embargo, el malware y las herramientas de piratería basados en inteligencia artificial pueden ser un nivelador. En medio de un panorama tecnológico que cambia rápidamente, existe el riesgo de que los bancos no anticipen adecuadamente los métodos de ataque que utilizarán los piratas informáticos.
La mitigación del riesgo de ciberdelincuencia puede implicar un cóctel de cifrado, autenticación multifactor, módulos de seguridad de hardware, colaboración con consultores de ciberseguridad o exportaciones y el uso de la nube. Aunque es difícil hacer comparaciones claras, muchos bancos centrales parecen estar rezagados en el desarrollo de este tipo de disposiciones rigurosas en materia de ciberseguridad. Sin embargo, hay mucha variación entre instituciones, mercados y regiones. Algunas instituciones financieras ofrecen además pruebas de estrés, que implican evaluar la rapidez con la que podrían desplegar liquidez, capital y servicios clave en caso de un ciberataque comprometedor.
¿Lo que debe hacerse?
La ciberseguridad debería incluirse explícitamente en las evaluaciones del riesgo para la estabilidad financiera. Realizar pruebas de estrés en materia de ciberseguridad es un buen comienzo, pero es necesario hacer más para cuantificar el impacto potencial de un ataque importante. Es probable que mejores datos y técnicas de modelado ayuden, ya que permiten a las instituciones comprender los costos de los ataques de manera más efectiva y determinar la mejor manera de responder.
En relación con esto, existe la necesidad de una mayor convergencia regulatoria para crear cooperación internacional y apuntalar el sistema financiero frente a ataques crecientes, que perjudicarían el flujo global de capital y comercio. Compartir información (entre condados y entre los sectores público y privado) puede ayudar a proteger a las instituciones de los ataques. Superar las barreras que surgen de una regulación desigual podría implicar suavizar las leyes globales de seguridad nacional y protección de datos.
Quizás lo más importante para las empresas financieras y los bancos centrales sea considerar seriamente su respuesta en caso de un ataque exitoso. La disuasión total de todos los ataques cibernéticos puede resultar imposible utilizando la tecnología existente. Sin embargo, las instituciones financieras pueden ayudar a proteger la estabilidad financiera global frente a tales ataques garantizando que siempre podrán reanudar sus operaciones rápidamente. Hacerlo puede evitar algunos de los riesgos asociados con el pánico del mercado y la pérdida de confianza, así como las implicaciones para la liquidez y los flujos de capital. La importancia de adoptar tales pruebas puede ser mayor para los mercados más pequeños donde los ataques podrían tener más probabilidades de tener éxito (debido a una infraestructura más limitada) y estimular la fuga de capitales.
Una mayor disuasión puede ayudar con esto. Los esfuerzos globales –como identificar y desbaratar a los ciberatacantes– podrían hacer que el cibercrimen sea más riesgoso y costoso.
También se podría aprovechar la IA. Los ciberdelincuentes están utilizando herramientas de inteligencia artificial para reforzar la eficacia de los ciberataques. A medida que estos sistemas de IA se vuelven más complejos y robustos, las instituciones financieras pueden descubrir que desarrollar su sistema de ciberseguridad basado en IA es la mejor manera de combatir los ataques de IA más débiles. Dada la velocidad y la sofisticación con la que los sistemas de IA más avanzados pueden piratear, puede ser que la mejor policía para un hacker de IA sea una IA más poderosa.
Por último, en teoría, las iniciativas basadas en blockchain podrían ayudar a proteger a las instituciones financieras del ciberdelito. La tecnología de contabilidad distribuida proporciona protecciones importantes que otros sistemas de pago no ofrecen. Propuestas como Worldcoin, un proyecto de criptomonedas, podrían reducir en gran medida el fraude mediante la verificación de pagos basada en datos biométricos. Sin embargo, existen riesgos para un mayor despliegue de soluciones basadas en blockchain.
Existe una considerable heterogeneidad en todo el sistema financiero. Los grandes bancos tienden a tener disposiciones de ciberseguridad muy avanzadas, mientras que los más pequeños probablemente tengan sistemas ‘más débiles’ porque han invertido menos en protecciones. Sin embargo, no siempre es obvio determinar qué se considera un sistema “fuerte” o “débil”. Existe una variación similar entre los bancos centrales globales, y los bancos centrales de mercado más pequeños tienen una ciberseguridad menos sólida.
Las regulaciones de ciberseguridad y la seguridad a nivel de los mercados financieros globales e individuales siguen estando subdesarrolladas. Más de la mitad de los bancos centrales o autoridades de supervisión no tienen una estrategia cibernética nacional para el sector financiero, y poco menos de la mitad no tienen regulaciones contra los delitos cibernéticos. La armonización regulatoria entre países sigue siendo débil. Sin embargo, algunas instituciones globales –como el Consejo de Estabilidad Financiera, el Comité de Pagos e Infraestructura de Mercado y el Comité de Basilea– han comenzado a fortalecer la coordinación y fomentar la convergencia en la regulación.
Fuente: https://www.omfif.org/2023/11/global-financial-system-underprepared-to-deal-with-cyberattacks/?utm_source=omfif+update&utm_medium=email&utm_campaign=omfif+update
