Desde la pandemia, los ataques cibernéticos se han multiplicado por más de dos. Históricamente, las pérdidas directas sufridas por las empresas como resultado de ataques cibernéticos han sido relativamente limitadas, pero algunas compañías han acusado mucho más el efecto de esos ataques. Por ejemplo, en 2017, la agencia estadounidense de calificación crediticia Equifax pagó más de USD 1.000 millones en multas tras un caso grave de vulneración de datos que afectó a más de 150 millones de consumidores.
Tal y como explicamos en un capítulo del Informe sobre la estabilidad financiera mundial de abril de 2024, el riesgo de sufrir pérdidas cuantiosas debido a los ataques cibernéticos está aumentando. Potencialmente, esas pérdidas podrían acarrear problemas de financiamiento a las empresas e incluso hacer peligrar su solvencia. La envergadura de estas cuantiosas pérdidas se ha multiplicado por más de cuatro desde 2017 hasta situarse en USD 2.500 millones, por no hablar de las pérdidas indirectas —por ejemplo, el perjuicio reputacional— y los montos dedicados a mejorar la seguridad, que son significativamente superiores a esa cifra.
El sector financiero se encuentra particularmente expuesto al riesgo cibernético. Las compañías financieras —en vista de la gran cantidad de datos sensibles y transacciones que manejan— suelen ser blanco de delincuentes cuyo objetivo es robar dinero o perturbar la actividad económica. Los ataques a compañías financieras suponen casi una quinta parte del total y, más concretamente, los bancos son las entidades más expuestas.
Los incidentes que afecten al sector de las finanzas, si erosionan la confianza en el sistema financiero, perturban los servicios críticos o tienen efectos indirectos en otras instituciones, podrían suponer una amenaza para la estabilidad financiera y económica.
Sin ir más lejos, un incidente cibernético grave en una institución financiera puede mermar la confianza y, en casos extremos, llevar a liquidaciones masivas en el mercado e incluso corridas bancarias. Aunque todavía no se ha producido ningún pánico cibernético digno de mención, el análisis empírico indica que, tras un ataque cibernético, se han registrado modestas —pero hasta cierto punto persistentes— salidas de depósitos en bancos estadounidenses más pequeños.
Los incidentes cibernéticos que perturben servicios fundamentales como las redes de pagos podrían afectar gravemente a la actividad económica. Por ejemplo, en diciembre, un ataque al Banco Central de Lesotho perturbó el sistema nacional de pagos al impedir las transacciones de los bancos nacionales.
Otra cuestión para considerar es el hecho de que las compañías financieras cada vez dependan más de terceros proveedores de servicios informáticos. Además, esta dependencia incluso podría acrecentarse, habida cuenta del papel emergente de la inteligencia artificial. La contratación de esos proveedores externos puede mejorar la resiliencia operativa, pero también exponer al sector financiero a shocks que afectan a todo el sistema. Por ejemplo, en 2023, un incidente de secuestro de datos o ransomware contra un proveedor de servicios informáticos en la nube provocó la interrupción simultánea del servicio en 60 cooperativas de crédito estadounidenses.
Tal y como se muestra en el capítulo mencionado, ante un sistema financiero mundial que se enfrenta a significativos y cada vez mayores riesgos cibernéticos debido a una creciente digitalización y unas tensiones geopolíticas que van en aumento, los marcos de políticas y gobernanza de las empresas deben mantenerse al día de los acontecimientos.
En este sentido, podría ser que no basten únicamente las iniciativas privadas para abordar los riesgos cibernéticos —por ejemplo, las empresas podrían no estar teniendo plenamente en cuenta el efecto de los incidentes sobre todo el sistema— y hacerse por tanto necesaria la intervención pública.
No obstante, según una encuesta realizada por el FMI entre bancos centrales y autoridades supervisoras, los marcos de políticas de seguridad cibernética, sobre todo en mercados emergentes y economías en desarrollo, suelen ser insuficientes. Por ejemplo, aproximadamente solo la mitad de los países participantes en la encuesta contaban con una estrategia nacional de seguridad cibernética centrada en el sector financiero o una reglamentación específica sobre seguridad cibernética.
Para aumentar la resiliencia del sector financiero, las autoridades deberían desarrollar una estrategia nacional de seguridad cibernética adecuada, acompañada de una regulación y capacidad de supervisión eficaces, que debería incluir:
- Realizar de manera periódica valoraciones del panorama de seguridad cibernética e identificar potenciales riesgos sistémicos debidos a interconexiones y concentraciones, incluyendo en el análisis a los terceros proveedores de servicios.
- Fomentar la "madurez" cibernética entre las compañías del sector financiero, incluido el acceso al conocimiento experto en materia de seguridad cibernética a nivel de consejo de administración, tal y como propone el análisis compartido en el capítulo, que sugiere que una mejor gobernanza en cuestiones cibernéticas podría reducir el riesgo en ese frente.
- Mejorar la higiene cibernética de las empresas —es decir, su seguridad en línea y la salud de sus sistemas (por ejemplo, con soluciones antimalware y autenticación multifactorial)—, así como la capacitación y la sensibilización.
- Priorizar la compilación y publicación de datos sobre incidentes cibernéticos y que la información se comparta entre los participantes en el sector financiero para mejorar su preparación colectiva ante posibles eventualidades.
Como los ataques suelen originarse más allá de las fronteras del país donde radica la institución financiera afectada y las ganancias pueden desviarse fuera del país, la cooperación internacional es absolutamente necesaria para abordar con éxito la cuestión del riesgo cibernético.
Cuando se produzcan incidentes cibernéticos, el sector financiero necesita ser capaz de ofrecer servicios empresariales básicos durante esos períodos de perturbación. A tal efecto, las compañías financieras deberían desarrollar y poner a prueba procedimientos de respuesta y recuperación, y las autoridades nacionales debieran, por su parte, contar con protocolos de respuesta eficaces, así como marcos de gestión de crisis.
El FMI ayuda de forma activa a los países miembros a reforzar sus marcos de seguridad cibernética, por ejemplo, a través del asesoramiento de políticas como parte del Programa de Evaluación del Sector Financiero, y a través de actividades centradas en el fortalecimiento de las capacidades.
—Este blog se basa en el capítulo 3 de la edición de abril de 2024 del Informe sobre la estabilidad financiera mundial, titulado "Riesgo cibernético: Una preocupación creciente para la estabilidad macrofinanciera".