Ciberseguridad y resiliencia operativa: retos para el sector financiero

Anastasia Kotovskaia, Dra. en Derecho, dirige el Departamento de Mercados Financieros y Tecnologías de la Información del Centro de Política Europea de Berlín. Como experta en temas jurídicos, aporta a este grupo de reflexión política amplios conocimientos de fondo sobre las actuales propuestas políticas de la UE, evalúa sus posibles repercusiones y ofrece soluciones viables para la CEE en su conjunto. Ha publicado varios artículos acerca de derecho, finanzas y tecnologías de la información. Recientemente le hemos pedido su opinión acerca del papel de la seguridad informática dentro del sector financiero.

La revolución informática ha contribuido enormemente al desarrollo de las tecnologías digitales dentro del sector financiero. Los bancos ofrecen ahora a sus empresas afiliadas y sus clientes aplicaciones móviles y sistemas de banca online que permiten realizar transacciones bancarias básicas a distancia. Por desgracia, estos mismos servicios se muestran como tentadores objetivos para los ciberdelincuentes debido a las potenciales vulnerabilidades de seguridad. Tan solo en el año 2021 las pérdidas anuales debidas a la ciberdelincuencia ascendieron a más de 5,5 billones de euros en todo el mundo. Quizás lo más preocupante es que estas amenazas son cada vez más sofisticadas. Como resultado, las soluciones seguras de banca online son absolutamente imprescindibles. Los ciberataques suelen tener como objetivo acceder a datos sensibles, modificarlos o utilizarlos de forma fraudulenta, robar dinero a los usuarios o interrumpir las operaciones comerciales diarias. Aplicar medidas eficaces para proteger los sistemas operativos, los programas y las redes financieras de los ciberataques es esencial para el buen funcionamiento de una empresa financiera.

Para agilizar las transacciones y prestar servicios fiscales específicos, las empresas financieras se encuentran obligadas a acceder a información sensible de sus clientes. La información típica incluye datos de pago, informes de crédito y detalles privados por el estilo. Por desgracia, todos ellos resultan atractivos para los ciberdelincuentes. Si surge una vulnerabilidad de seguridad, los piratas informáticos pueden acceder a esta información y utilizarla en su beneficio. Es por este motivo crucial que las empresas financieras implementen soluciones de almacenamiento potentes, así como que identifiquen y pongan remedio rápidamente a los posibles fallos de seguridad. Las empresas financieras están sometidas a una intensa presión competitiva. Para tener ventaja sobre el resto, a menudo se ven obligadas a implantar nuevos productos y servicios digitales que satisfagan las necesidades de sus clientes. El empleo de tecnologías modernas (y potencialmente menos probadas) puede dar lugar a profundos ciberriesgos en el sector financiero. Los bancos y las empresas FinTech a menudo utilizan software de terceros, lo que puede crear cuellos de botella en su seguridad. Los hackers pueden ser capaces de explotar debilidades sistémicas para acceder a datos sensibles y robar información valiosa. Además, la creciente prevalencia del almacenamiento en la nube tiene asociado sus propios riesgos. Las organizaciones financieras deben asegurarse de que existe la infraestructura técnica adecuada y de que está configurada de forma segura para protegerse de ataques malintencionados.

Las empresas financieras están sometidas a una presión cada vez mayor para cumplir con los requisitos legales y garantizar un alto nivel de resiliencia operativa en materia de ciberseguridad. Recientemente se han adoptado varias normativas pioneras a nivel europeo. Una de las principales es la directiva sobre Seguridad de las Redes y de la Información 2 —Network and Information Security 2 (NIS2)—. Su intención principal es establecer un marco horizontal reconocido para la ciberseguridad. Le sigue la Ley de Resiliencia Operativa Digital —Digital Operational Resilience Act (DORA)—, que destaca las normas y directrices destinadas específicamente a proveedores de servicios financieros. Ambas normativas se adoptaron el 28 de noviembre de 2022. Se espera que tanto la DORA como la directiva NIS2 adopten estándares de regulación e implementación técnica adicionales de acuerdo con otros organismos gubernamentales, como la ABE, la AEVM y la AESPJ. Se prevé que estos cambios y las obligaciones asociadas entren en vigor a finales de 2023 o principios de 2024. El principal objetivo de estos marcos normativos europeos es aumentar los niveles generales de seguridad propuestos por la Ley de Ciberresiliencia —Cyber Resilience Act (CRA)—, que aún se encuentra en proceso legislativo.

La directiva NIS2 tiene por misión establecer e implementar altos niveles de ciberseguridad en toda la Unión Europea, particularmente en lo que respecta a empresas consideradas esenciales para el mantenimiento de una sociedad funcional. Algunos ejemplos son bancos, entidades de contrapartida centrales y entidades de trading. Todas las entidades incluidas en el ámbito de aplicación de la NIS2 están obligadas a adoptar las medidas técnicas, operativas y organizativas necesarias para hacer frente a los posibles riesgos de seguridad y mitigar las consecuencias negativas de un ciberataque. Esta directiva proporciona directrices exhaustivas en relación a la gestión de riesgos. Un ejemplo puede ser la adopción de un sistema a nivel empresarial diseñado para informar inmediatamente de los incidentes de seguridad a las autoridades supervisoras. La NIS2 también se asocia al desarrollo de planes de contingencia que deben aplicarse antes de y durante un ciberataque. La directiva NIS2 estipula claramente que los procedimientos de mitigación de riesgos son responsabilidad de los accionistas directivos. Esto significa esencialmente que la dirección será responsable de cualquier pérdida derivada del incumplimiento de las disposiciones de NIS2. La gestión de riesgos se centra especialmente en los siguientes elementos:

• Análisis de riesgos
• Conceptos de seguridad de los sistemas de información
• Gestión de incidentes informáticos y mecanismos de prevención
• Protocolos de respaldo y gestión de crisis
• Medidas para garantizar la seguridad de la cadena de suministro
• Formación del personal en materia de ciberseguridad
• Utilización de técnicas de cifrado y de autenticación multifactor

NIS2 está concebida para crear una normativa uniforme a la hora de hacer frente a los riesgos de ciberseguridad, independientemente de la entidad de que se trate o del alcance de sus operaciones. Sin embargo, algunas instituciones financieras pueden requerir requisitos específicos de su sector (definidos como «lex specialis»). Esto significa que podrían estar obligadas a cumplir las disposiciones asociadas a la Ordenanza de Estabilidad Operativa, tal y como se define en el marco de la DORA. Éstas pueden, por tanto, prevalecer sobre la normativa NIS2. Por encima de todo, el objetivo principal es garantizar que las empresas sean capaces de gestionar (y notificar) eficazmente las ciberamenazas y demás incidentes. Las directrices NIS2 deben ser aplicadas correctamente antes del 17 de octubre de 2024. Esta normativa será aplicable en todos los Estados miembros de la UE.

En el sector financiero, antes de la adopción de la DORA, ya existían diversos requisitos que cubrían categorías clave en materia de riesgos financieros, como el crédito, el cumplimiento general, la liquidez, los impagos de las contrapartes y los riesgos asociados al mercado abierto. Estas normativas pretendían abordar cuestiones como la asignación de capital y las amenazas operativas. Sin embargo, no se habían abordado todas las cuestiones, especialmente en relación con la resiliencia operativa. Cuando esto se junta con incidentes de seguridad, como un ciberataque, la estabilidad de todo el sistema financiero puede estar en jaque. La DORA pretende eliminar tal posibilidad definiendo claramente requisitos uniformes para la seguridad de los sistemas de red y de información. Sin embargo, no sólo los bancos entran dentro del ámbito de aplicación de la DORA. Esta normativa se aplicará a una amplia gama de instituciones financieras, incluidas empresas de inversión, proveedores de servicios de criptoactivos, gestores de fondos de inversión alternativos, proveedores de pagos, entidades de dinero electrónico, depositarios centrales de valores, empresas de OICVM, administradores de índices de referencia críticos y proveedores de servicios de crowdfunding. La DORA especifica los siguientes requisitos para las empresas financieras:

• Acerca de la gestión de los riesgos de las TIC: La DORA exige que todas las empresas financieras dispongan de un plan integral de gestión de riesgos de las TIC. Esto incluye estrategias específicas para las TIC, así como herramientas y procesos internos específicos que les permitan identificar los riesgos en una fase inicial. Además, estos planteamientos pueden ayudar a minimizar la gravedad de un incidente de ciberseguridad. Las empresas también tendrán que aplicar estrategias de respaldo (backup) para recuperarse de los incidentes lo antes posible. También es necesario evaluar las amenazas potenciales asociadas a servicios de terceros y asegurarse de que sólo se utilizan proveedores de confianza.
• Probar la resiliencia operativa: Las empresas deben probar y evaluar periódicamente su resiliencia operativa. Este proceso debería adoptar un enfoque basado en el riesgo e ir mucho más allá de una única «solución para todo». La intención es garantizar que las estrategias hechas a medida puedan satisfacer las necesidades de modelos de negocio específicos.
• Notificación de incidentes graves relacionados con las TIC a los reguladores financieros: Las empresas están obligadas a registrar cualquier tipo de ciberataque o incidente de seguridad similar y notificarlo a las autoridades reguladoras competentes. Este procedimiento es similar a la notificación de filtraciones de datos a la autoridad competente en materia de protección de datos en virtud del Reglamento General de Protección de Datos. Los plazos para notificar incidentes se esbozarán en las próximas recomendaciones sobre normas reguladoras.

Además, la DORA determinará los requisitos contractuales entre las empresas financieras y empresas de TIC de terceros. Esta normativa obliga a las entidades financieras a incluir disposiciones en sus contratos cuando traten con proveedores terceros. Nótese que algunas de estas normas pueden solaparse con las directrices existentes sobre externalización estipuladas por la ABE. Sin embargo, algunas normativas no son coherentes, y la DORA establece unos cuantos requisitos nuevos. Por lo tanto, las empresas deberán comparar sus contratos actuales con las directrices de la DORA. Esta es la mejor manera de garantizar que se tomen las medidas adecuadas antes de que finalice el periodo inicial de implementación. Debido a las continuas amenazas a la ciberseguridad y la importancia de la gestión de riesgos informáticos, son necesarios nuevos requisitos normativos. Por tanto, la DORA afectará a toda la industria financiera, incluidos bancos, corredores de seguros y proveedores de servicios informáticos. La dirección será en último término responsable de revisar, mejorar, implementar y actualizar su estructura de gestión de riesgos. Esto también asume que la dirección está intrínsecamente familiarizada con los protocolos de las TIC y el perfil de riesgo de su institución financiera. La DORA entrará en vigor el 17 de enero de 2025. Sin embargo, es imperativo que todo el sector financiero comience inmediatamente a prepararse para evitar cualquier problema de cumplimiento en el futuro. Los expertos recomiendan realizar un análisis de carencias o una evaluación por el estilo y establecer una hoja de ruta para el pleno cumplimiento de la normativa. Esto es necesario para determinar la eficacia de las medidas de seguridad existentes en la empresa y evitar sorpresas desagradables en el futuro. Además, las empresas podrán ser sancionadas si se descubre que infringen las normas DORA. En casos graves, los reguladores financieros pueden obligar a las empresas financieras a suspender los contratos con proveedores de terceros de servicios TIC si no consiguen cumplir con los requisitos legales.

El 15 de septiembre de 2022, la Comisión Europea presentó un borrador inicial de la Ley de Ciberresiliencia — Cyber Resilience ACT (CRA)—. Esta normativa establece disposiciones legales para los productos de software y hardware relacionados con la ciberseguridad y las soluciones de procesamiento remoto de datos. La CRA tendrá efectos de gran alcance para los fabricantes, distribuidores e importadores de productos que deban validar sus servicios digitales. Esta ley no impone regulaciones a las entidades financieras a menos que ofrezcan los servicios anteriormente mencionados. Sin embargo, aún es probable que la CRA tenga un impacto inmediato y significativo en el mercado financiero. Los requisitos establecidos en la CRA abordarán las lagunas de seguridad de los productos con elementos digitales que las empresas financieras utilizan para prestar sus servicios.

Reforzar la resiliencia operativa y las medidas de ciberseguridad no es una mera preocupación legislativa. Aplicar las soluciones adecuadas redunda en el beneficio de las propias empresas. Hay varias razones para ello. En primer lugar, las vulnerabilidades de seguridad repercutirán negativamente en la reputación de cualquier empresa. Los clientes deben estar seguros de que su dinero está protegido en todo momento. En segundo lugar, los ciberataques realizados con éxito pueden afectar tanto a la liquidez de los clientes como a la de la entidad financiera. Los estudios indican que los costes anuales relacionados con incidentes de seguridad operativa en el sector financiero oscilan entre 2.000 y 27.000 millones de euros solo en la UE. Además, estos mismos incidentes de seguridad suponen una amenaza para la estabilidad financiera. Esto se debe al hecho de que las empresas financieras se encuentran cada vez más interconectadas, lo que permite que un solo incidente se propague rápidamente por todo el sector financiero y cause importantes daños económicos. Por último, implementar herramientas eficaces para abordar los protocolos de seguridad contribuirá a reducir los costes operativos a largo plazo de las entidades financieras.

Teniendo en cuenta lo mucho que está en juego, sería absurdo no tomarse en serio los riesgos de seguridad. Por eso, reforzar continuamente la integridad de los sistemas de ciberseguridad es crucial para mejorar la estabilidad operativa, independientemente de la legislación y las obligaciones legales. Deberían realizarse periódicamente evaluaciones de vulnerabilidad para valorar los protocolos TIC en curso, detectar cualquier actividad sospechosa y adoptar las estrategias más recientes. La capacidad de vincular los problemas de ciberseguridad con la estabilidad digital y operativa ayudará a eliminar las conjeturas de la ecuación, especialmente si tenemos en cuenta lo estrechamente relacionados que están estos sistemas. Por lo tanto, es fundamental que las instituciones financieras desarrollen un enfoque que tome en cuenta los últimos requisitos normativos. Al desarrollar sistemas para mitigar y prevenir las ciberamenazas, todo el sector está luchando contra un enemigo común. Por ello, las instituciones financieras deben ser proactivas y abogar por una mayor seguridad a través de medios que vayan más allá de los requisitos normativos de referencia. Esto ayudará a garantizar un mayor grado de seguridad. Entre los métodos más eficaces se incluyen compartir las buenas prácticas aprendidas de la experiencia personal y divulgar voluntariamente las medidas antifraude. Lo que es más, las empresas deben formar concienzudamente a sus empleados para que el comportamiento responsable se convierta en una práctica habitual. Esta forma de educación debe utilizarse junto con una comunicación eficaz con los clientes para protegerlos contra la ciberdelincuencia. N26 está explícitamente de acuerdo con todos los puntos anteriores y emplea mecanismos de seguridad de última generación, como la autenticación biométrica y el 3D Secure para garantizar la seguridad de las transacciones online. Los equipos de seguridad de N26 trabajan las 24 horas del día, los 7 días de la semana para analizar posibles amenazas y probar la seguridad técnica de los productos. El blog de N26 también informa a los clientes sobre nuevas amenazas y cómo prevenirlas, tales como estafas con transferencias bancarias, fraudes con tarjetas de débito, phishing de voz y cualquier otra clase de timos online.

El sector financiero sufre una media de 1.130 ciberataques cada semana. Esta cifra se ha duplicado con respecto a la del año anterior. Sin duda, las instituciones financieras seguirán viéndose afectadas por todo tipo de ciberataques en el futuro. Al mismo tiempo, los ciberdelincuentes son cada año más ingeniosos. Las instituciones financieras deben, por tanto, mantenerse al tanto de los últimos acontecimientos y desarrollar periódicamente nuevos enfoques para combatir eficazmente estas amenazas constantes.