Draghi pone la lupa en la ciberseguridad de la banca

La deficiente gestión de riesgos fue la piedra de bóveda de la crisis financiera que estalló en Estados Unidos en 2007 y que después asoló al planeta con la mayor crisis económica de la historia. Los reguladores de allí, con la Reserva Federal al frente, y también los del Viejo Continente han apretado las tuercas a los bancos. Más exigencias de capital, colchones adicionales y cámaras de contrapartida para operaciones en la sombra (OTC, por sus siglas en inglés)...

Pero el Banco Central Europeo (BCE) ha puesto las luces largas y mira bastante más allá. El siguiente desafío del sector es la política de protección de datos. Los formularios que rellenan los clientes, sus extractos de cuentas y tarjetas, y los productos que contratan, entre otra información, son extremadamente valiosos.

El supervisor que preside Mario Draghi ha enviado a los cerca de 130 bancos europeos que vigila un cuestionario para conocer cómo están preparados ante los ciberataques. Draghi no pregunta solo por la tecnología, sino por la política de las entidades. ¿Qué debe hacerse si un empleado o un hacker roba información? ¿Qué protocolos deben aplicarse para dificultar estas situaciones?

Tim Roberts, consejero delegado de Promontory en Reino Unido, y Eduardo Vilela, director en España de la firma, una consultora global con presencia en más de 50 países y más de 500 empleados han mantenido reuniones con las principales entidades españolas para crear una hora de ruta ante las futuras exigencias. Todavía no hay una regulación específica, el BCE está en una fase previa. Pero la habrá. “La nueva amenaza que se cierne es de una importancia similar a la desatada por la falta de eficacia en el control de riesgos”, sentencia Tim Robert.

Draghi sigue los pasos de los reguladores de Reino Unido y Estados Unidos, donde la situación está más avanzada. Al otro lado del Atlántico han sufrido hace unos meses una situación crítica que puso en jaque los datos de unos 350.000 clientes de Morgan Stanley. En enero, la entidad, la segunda por patrimonio en Estados Unidos con cerca de 700.000 millones de euros, expulsó con la fuerza de las armas a uno de sus empleados. Le acusaron de apropiarse de forma indebida de datos financieros y personales del 10% de los clientes del segmento de gestión de patrimonios. Incluso llegaron a publicarse en internet los nombres, números de cuentas, teléfonos y las transacciones de cerca de 1.000 clientes.

Ese caso fue sonado, pero hay muchos más que ni se publican. “El 90% de los ciberataques a la banca a nivel mundial no se conocen”, advierte el consejero de Promontory en Reino Unido. El experto en proteger la información personal en entidades y empresas explica que no habla solo de los archiconocidos ataques de fishing, en los que el criminal tiende una trampa a los clientes de una entidad para apropiarse de sus claves. El problema es mucho más amplio, y toca de lleno a los procesos de gestión de información. Al igual que con la crisis financiera, las cúpulas de los bancos –sus consejos de administración– deberían ser los que tomen las riendas de este nuevo desafío, a juicio de Promontory. Y no solo los bancos deben estar preparados; el resto de las empresas ha de tomar cartas en el asunto, a juicio de la consultora, que también trabaja para compañías de hoteles o supermercados.

El volumen de datos que se recogen y procesan en el mundo crecen a tasas inimaginables. La cantidad de información digital alcanzará los 44 zettabytes (el número 44 seguido de 21 ceros) en 2020, según el gigante estadounidense del proceso de información EMC. “A pesar del alto perfil de los incidentes y la inversión de las entidades en seguridad, las amenazas avanzan más rápido que los sistemas de defensa”, señala Promontory.