Los primeros test de estrés fueron en su día un dolor de cabeza para la banca española. La espada examinadora del Banco Central Europeo (BCE) es temida por muchos, pero esta vez no es un tema de solvencia. En esta ocasión, el supervisor quiere poner a prueba la seguridad de las entidades para comprobar la respuesta en caso de ciberataque. El estrés no será solo para la banca española.
BCE Y ATAQUES
El Banco Central Europeo, que preside Christina Lagarde, ha pedido a las entidades financieras que se preparen para una prueba de cómo responderían a un ciberataque de una gravedad sin precedentes, según publica ‘Bloomberg’. Más allá de eso, el regulador los mantiene a la expectativa, como harían los hackers en la vida real.
En una reunión informativa celebrada el mes pasado, el BCE dio a los bancos sólo un esbozo general del examen, según personas familiarizadas con el asunto. El ataque supone que los piratas informáticos han superado todas las defensas de un banco y están en el núcleo de su principal sistema tecnológico, dijeron las personas, que pidieron el anonimato para hablar de información privada.
EL BCE dio a los bancos un esbozo general del examen
Eso haría que el suceso simulado por el BCE fuera peor que cualquier incidente cibernético público que haya afectado al sector en los últimos años, con multitud de datos de clientes en peligro. El regulador ha advertido con frecuencia del peligro que suponen los piratas informáticos, incluso tras la invasión rusa de Ucrania el año pasado, y ha dicho que la prueba de resistencia será una experiencia de aprendizaje tanto para los prestamistas como para los supervisores.
HAY 400 PREGUNTAS
Según KPMG, que está asesorando a las entidades de crédito en el examen, los bancos ya tienen unas 400 preguntas a las que tendrán que responder.
Las empresas que hayan tratado asuntos cibernéticos ya podrán responder a algunas de las preguntas, mientras que otras sólo podrán abordarse una vez que los prestamistas conozcan el escenario, dijo en una entrevista Lucas Daus, socio del área de consultoría de ciberseguridad de KPMG. Muchos puntos son de carácter más ¿Qué tipo de pruebas de recuperación se han realizado en el pasado? «¿Qué tipo de impacto económico tiene cuando se produce el escenario?, ¿Cuál es su gestión de crisis?, ¿cómo se comunica con los clientes?
Aún así, los bancos tendrán que esperar hasta el mes que viene para que el BCE comparta los detalles del hipotético ataque, dijeron las personas familiarizadas con el asunto. «Todavía hay un gran elemento de sorpresa una vez que se enteren del escenario real», dijo Daus.
los bancos tendrán que esperar hasta el mes que viene para que el BCE comparta los detalles del hipotético ataque
El escrutinio del BCE se produce cuando las autoridades europeas afirman que el riesgo de ciberataques sigue siendo elevado, y la agitación geopolítica se extiende al sector privado. La prueba se ha presentado como un ejercicio para mejorar la gestión de riesgos de los bancos, más que como un examen que repercutirá directamente en sus requisitos de capital.
MÁS DE 100 SUPERVISADOS
La prueba afecta a más de 100 bancos supervisados directamente por el BCE. Veintiocho entidades de crédito serán objeto de una evaluación más detallada, con posibles investigaciones in situ.
No está previsto que se hagan públicos los resultados de los distintos prestamistas. Sin embargo, contribuirán indirectamente a la evaluación periódica que hace el BCE de los riesgos a los que se enfrentan los bancos, que determina sus requisitos de capital.
«Va a ser complejo, va a ser difícil abordarlo y va a ser mayor que las recientes amenazas que hemos visto en el mercado», dijo Daus.
La ciberprueba de resistencia del BCE no afectará directamente al capital de los bancos
La ciberprueba de resistencia del BCE no afectará directamente al capital de los bancos. Las autoridades dicen a los banqueros que la prueba de resistencia será una experiencia de aprendizaje, según Bloomberg. La prueba aún podría tener un impacto indirecto, según personas familiarizadas con el tema.
INFORME
Los ciberdelincuentes siguen apuntando al sector financiero. A principios de este año, el Fondo Monetario Internacional recordó las vulnerabilidades que pueden surgir si este nuevo riesgo operacional no es abordado adecuadamente[ii]. Las estrechas interconexiones financieras y tecnológicas dentro del sector bancario pueden facilitar la rápida propagación de ataques a través de todo el sistema, causando potencialmente perturbaciones generalizadas y pérdida de confianza. La ciberseguridad es una clara amenaza para la estabilidad financiera.
Europa ESTÁ en el punto de mira de los ciberdelincuentes
Un reciente informe ha constatado un aumento en el número de ciberataques que sufren las empresas de servicios financieros europeas[iii]. Recibe más ataques de denegación de servicio (DDoS, por sus siglas en ingles) que el de los videojuegos. Los DDos se caracterizan porque múltiples dispositivos informáticos inundan un servidor o red con tráfico para bloquear o sobrecargar su capacidad y así dejarlo inaccesible para los usuarios legítimos. El 63,52% de este tipo de ataques se concentran en la región de Europa, Medio Oriente y África (EMEA). Norteamérica concentra el 32,6%. También se observa un crecimiento en los ataques a webs y APIs en esta región. En el último año, este tipo de amenazas han crecido un 119%.
