La ciberseguridad es un reto clave para el sector financiero

Uno de los temas que aborda el último Informe de Estabilidad Financiera del Banco de España es el de los ciber riesgos. En el foro FINANZA organizado por Elkargi el pasado viernes 12 de abril, en el que participé, hablamos de los riesgos cibernéticos que afectan al sector financiero. Y también en este artículo, nos ocuparemos de los ciber riesgos. Un asunto que antes solo interesaba a los expertos en tecnología y a las publicaciones especializadas, hoy se ha convertido en un tema de gran relevancia para las empresas y la sociedad.

En el mencionado informe, se habla de la exposición a riesgos cibernéticos de las propias entidades y del sector financiero, y de la exposición creciente de clientes a estafas y fraude.

Las entidades financieras hemos identificado la ciberseguridad como una prioridad, y hemos desplegado marcos de control de la ciberseguridad que permiten velar por la adecuación de las medidas de protección, detección y respuesta a la evolución de los riesgos. Estos marcos de control incluyen actividades periódicas como el análisis de nuevas ciber amenazas, la ejecución de pruebas de ciberseguridad avanzadas emulando escenarios de ciber ataques realistas y simulando las acciones de respuesta, o las campañas de formación y concienciación a empleados y colaboradores.

Además, incidentes ocurridos este mismo año 2024 nos recuerdan que las medidas de protección, detección y respuesta pueden no ser suficientes ante esta amenaza: la división americana del banco ICBC sufrió un ciber ataque con ransomware, y Microsoft sufrió una intrusión en sus sistemas. Por este motivo, también debemos garantizar la resiliencia: la capacidad probada periódicamente de seguir prestando los servicios financieros ante un desastre en las instalaciones o un ciber ataque.

En este contexto, el incremento de la exigencia regulatoria – con nuevas normas como la Directiva Europea de Resiliencia Operacional, o DORA en inglés – y supervisora – con diversas inspecciones, revisiones globales y hasta una prueba de estrés ciber – es percibido como proporcionado al reto de la ciberseguridad, y sus requisitos están alineados con las medidas y actividades desplegadas.

En el Informe de Estabilidad Financiera también se identifica el aumento de intentos de fraudes y estafas a clientes en el sector financiero, aspecto que relaciona con la digitalización acelerada en los últimos años de los servicios financieros. El mayor digital a los servicios financieros, junto con las mejoras en los sistemas de autenticación de clientes y de firma de operaciones impulsada por la directiva europea PSD2 de 2015, ha llevado a los ciberdelincuentes a desarrollar nuevos métodos de engaño a los clientes como el smishing o el vishing. Estos mecanismos se basan en suplantar la identidad del Banco a través de mensaje SMS o llamada telefónica para engañar al cliente y solicitarle que realice el mismo cliente una operación, lo que constituye una estafa.

Las entidades financieras proporcionamos información sobre las operaciones que se van a firmar, y lanzamos campañas de concienciación sobre los riesgos de ciberseguridad y fraude digital a través de medios generalistas, en redes sociales y en los canales propios. Aun así, para disponer de un entorno digital en el que relacionarnos con confianza también es necesaria la colaboración con otros sectores que nos puedan proporcionar, por ejemplo, unos dispositivos más seguros frente a las apps o software maliciosos, o unas redes de telecomunicaciones más seguras que dificulten la suplantación de identidad.

En conclusión, la ciberseguridad es un reto clave para el sector financiero, que está entre las prioridades de reguladores y supervisores. Un reto que requiere de una actuación conjunta entre entidades financieras, clientes y otros actores relevantes para garantizar la confianza y la seguridad en el digital a los servicios financieros, cada vez más demandado por la sociedad.