Alerta del FMI: Sector financiero en la mira de ciberdelincuentes.

El Fondo Monetario Internacional (FMI) ha emitido una advertencia sobre la alta vulnerabilidad del sector financiero frente a los riesgos de ciberseguridad. Destacó que el 20% de los incidentes cibernéticos impactan directamente a este tipo de instituciones. En relación con este tema, conversamos con Ximena Cisternas, CEO de Romax Technologies, para profundizar en las implicaciones del reciente informe del FMI
¿Por qué el FMI considera que el sector financiero está «altamente expuesto» a riesgos de ciberseguridad?
Las empresas financieras, dadas las grandes cantidades de datos y transacciones confidenciales que manejan, suelen ser blanco de delincuentes que buscan robar dinero o alterar la operación de los servicios financieros.

Otra consideración es que las empresas financieras dependen cada vez más de proveedores externos de servicios de TI, y pueden hacerlo aún más con el papel emergente de la inteligencia artificial. Estos proveedores externos pueden mejorar la resiliencia operativa, pero también exponer al sector financiero a incidentes que afectan a todo el sistema. Por ejemplo, un ataque de ransomware en 2023 a un proveedor de servicios de TI en la nube provocó interrupciones simultáneas en 60 cooperativas de crédito de EE. UU.
¿Cuál es la proporción de incidentes cibernéticos que afectan a las entidades financieras?
El riesgo de sufrir pérdidas cuantiosas debido a los ataques cibernéticos está aumentando. Potencialmente, esas pérdidas podrían acarrear problemas de financiamiento a las empresas e incluso hacer peligrar su solvencia. La envergadura de estas cuantiosas pérdidas se ha multiplicado por más de cuatro desde 2017 hasta situarse en USD 2.500 millones, por no hablar de las pérdidas indirectas, por ejemplo, el perjuicio reputacional y los montos dedicados a mejorar la seguridad, que son significativamente superiores a esa cifra.

El reporte del FMI indica que casi un 20% de los incidentes de ciberseguridad están asociado al sector financiero. Sector que ha sufrido más de 20.000 ataques cibernéticos resultantes en USD 12.000 millones de pérdidas en los últimos 20 años, además la data financiera comprometida pasó de un 15% en el 2022 a un 21% en el 2023.
¿Qué consecuencias podrían tener los ataques cibernéticos graves dirigidos contra las principales instituciones financieras?
Los ciberataques al sector financiero no sólo plantean amenazas a empresas individuales, sino que también tienen el potencial de desestabilizar todo el ecosistema financiero.
Entre las consecuencias de los ataques cibernéticos destacan la fuga de datos (64%) y la interrupción de servicios o procesos clave de negocio (40%). En el 2022, la proporción de filtraciones era del 51%, mientras que la interrupción de las actividades principales de la empresa se produjo en el 42% de los incidentes.
Los ciberdelincuentes actuales son más sofisticados que nunca, lo que dificulta aún más el desafío de proteger datos confidenciales. Las consecuencias de no proteger estos datos pueden ser graves, incluidas pérdidas financieras, daños a la reputación y responsabilidades legales. Si bien puede que no sea necesario un ataque a gran escala para causar daños significativos, el colapso de un banco importante puede abrir la puerta a amenazas adicionales, como estafas de phishing, ataques de malware y otras formas de malversación.
Aunque hasta ahora los incidentes cibernéticos no han sido sistémicos, los incidentes graves en las principales instituciones financieras podrían representar una grave amenaza a la estabilidad macrofinanciera a través de una pérdida de confianza, la interrupción de servicios críticos. Por ejemplo, un ataque de ransomware a un banco importante de la plaza que participe en sistemas de pago, la falla de proveedores clave de servicios en la nube, el hackeo de un banco central o la interrupción de centros clave del sistema financiero (sistemas de comercio electrónico o cámaras de compensación) podrían caer en cascada y afectarla estabilidad financiera del país.

¿Cómo han evolucionado las pérdidas directas por ciberataques en términos de magnitud?
En varios estudios los ciberataques figuran como el riesgo más relevante, desplazando al narcotráfico, con pérdidas que podrías alcanzar a nivel global en el 2027 los USD 24 Billones, lo cual es equivalente al PIB de todo Estados Unidos.
El reporte anual “IBM Cost of a data breach Report 2023, el costo de una brecha del sector financiero está ubicado en segundo lugar con USD 5.9 millones, después del sector de salud con USD 10,9 millones.
Los bancos y otras instituciones financieras están perdiendo dinero no solo como resultado del pago de rescates por la no divulgación de datos robados y la restauración de la infraestructura después de los ataques de ransomware; también sufren pérdidas financieras directas en algunos casos.
Por ejemplo, el ataque de ransomware LockBit a uno de los bancos más grandes de Indonesia, BSI, interrumpió las operaciones de las sucursales y cajeros automáticos del banco. Los atacantes exigieron un rescate de 20 millones de dólares, pero se les negó, por lo que publicaron en línea 1,5 TB de datos confidenciales del banco. Sin embargo, no todas las empresas rechazaron la oferta de los delincuentes: aproximadamente el 43% de las empresas financieras pagaron el rescate. El tamaño medio del pago se estimó en 1,6 millones de dólares, y una de cada diez organizaciones pagadoras (11%) entregó más de 5 millones de dólares a los extorsionadores.

¿En qué áreas específicas se han mejorado las políticas de ciberseguridad en los países emergentes y en desarrollo?
Primero indicar que los incentivos privados pueden ser insuficientes para abordar los riesgos cibernéticos (por ejemplo, es posible que las empresas no tengan en cuenta plenamente los efectos de los incidentes en todo el sistema), la intervención pública es necesaria.
Si hablamos de la región hoy los países han trabajado en definir u optimizar las políticas de ciberseguridad. En el caso de Chile, con la divulgación de la nueva Ley marco de ciberseguridad y en breve la ley de privacidad de datos se genera un marco regulatorio que en mi opinión es clave, que las autoridades desarrollen protocolos de respuesta eficaces y marcos de gestión de crisis para hacer frente a las cibercrisis sistémicas.
En Chile las áreas específicas que se han mejorado con políticas públicas son:
Creación de Entidades de Regulación y Asesoría:
• Agencia Nacional de Ciberseguridad (ANCI): Se encargará de regular, fiscalizar y sancionar el incumplimiento de obligaciones.
• CSIRT de Defensa: Un equipo de respuesta a ciberataques para organismos del Estado.
• Consejo Multisectorial y Comité Interministerial: Para asesorar y coordinar políticas de ciberseguridad.
Las obligaciones de las empresas en Chile:
• Implementación de Protocolos y Reglamentos de Seguridad.
• Reporte de Incidentes de Ciberseguridad.
• Colaboración en Coordinación Público-Privada.
• Protección de Servicios Esenciales y Operadores de Importancia Vital (OIV): Incluye sectores como generación eléctrica, transporte, servicios financieros y salud.
Sanciones por Incumplimiento:
• Las sanciones para organizaciones privadas varían desde sanciones leves con multas hasta las 5000 UTM a 40.000 UTM en aquellas infracciones gravísimas.
¿Qué medidas pueden fortalecer la resistencia cibernética del sector financiero?
Hoy los bancos tienen el riesgo cibernético como uno de sus focos.
• Evaluar periódicamente el panorama de la ciberseguridad e identificar posibles riesgos sistémicos derivados de la interconexión y las concentraciones, incluidos los de sus proveedores de servicios.
• Fomentar la “madurez” cibernética entre las empresas del sector financiero, incluido el acceso a nivel de directorio a conocimientos generales en ciberseguridad, ya que uane mejor gobernanza relacionada con la ciberseguridad puede reducir el riesgo cibernético.
• Mejorar la higiene cibernética de las empresas, es decir, su seguridad en línea y la salud de sus sistemas (como antimalware y autenticación multifactor), y la capacitación y concientización.
• Dar prioridad a la presentación de informes de datos y la recopilación de incidentes cibernéticos, y compartir información entre los participantes del sector financiero para mejorar su preparación colectiva.
• Es clave para la resiliencia tener probados sus planes de continuidad y respuesta a incidentes, lo cual va de la mano con la formación de personal calificado para esto.

¿Por qué es importante que las compañías financieras notifiquen incidentes cibernéticos a las agencias supervisoras?
La notificación de incidentes cibernéticos a las agencias supervisoras es fundamental para proteger el sistema financiero, cumplir con las obligaciones legales, fomentar la colaboración y coordinación, intercambiar información relevante y proteger a los clientes y al público en general.
La notificación de incidentes cibernéticos permite a las agencias supervisoras:
• Estar al tanto de posibles amenazas y vulnerabilidades en el sistema financiero.
• Utilizar la información proporcionada por empresas del sector para identificar tendencias, patrones y actores de ataques.
• Cumplir con el compliance, en muchos países, las empresas financieras están obligadas por ley a reportar los incidentes cibernéticos a las autoridades competentes.
• Facilitar la coordinación y colaboración entre las empresas financieras y las agencias reguladoras, lo que puede ser crucial para abordar y mitigar las amenazas cibernéticas de manera efectiva.

¿Cómo pueden los consejos de administración de las firmas financieras promover una cultura del riesgo adecuada en términos de ciberseguridad?
Es clave dentro del gobierno corporativo que el directorio establezca una ruta que contemple promover la cultura de ciberseguridad como base para implementar una estrategia de ciberseguridad exitosa con alcance a todos los niveles de la organización.
Promover una cultura de riesgos de ciberseguridad en las compañías pasa por:
• Integración de los riesgos cibernéticos como riesgo estratégico de la compañía. La ciberseguridad ya no es únicamente un riesgo para la organización, sino un riesgo para la sociedad.
• Programa de concientización robusto.
• Instaurar política y procedimiento claros.
• Contar con un plan estratégico de ciberseguridad con iniciativas que mitiguen los riesgos.