Los profesionales de la inversión y los riesgos cibernéticos de las carteras

Una importante brecha en la seguridad no solo se refleja en los beneficios de las compañías, sino también en el precio al que cotizan sus acciones

Las informaciones y blogs de seguridad cibernética en internet suelen tener acomodo en las páginas interiores de las publicaciones comerciales de IT, más que en las portadas de los periódicos internacionales. La información publicada por el vicepresidente corporativo de Microsoft, Tom Burt, recientemente a propósito de un “autor de amenazas cibernéticas patrocinadas por el Estado” e identificado como Hafnium, ha sido una notable excepción. Una nueva amenaza que surgió dirigida al software del servidor Microsoft Exchange. No pasó mucho tiempo antes de que los teléfonos de los servicios de asistencia técnica en todo el mundo comenzaran a sonar y las redes sociales de los gestores de IT parpadearan. Los piratas informáticos habían intentado introducirse de forma más profunda de lo habitual en los sistemas de sus víctimas, con el fin de acechar sin ser detectados durante un largo período de tiempo. El ataque podría haber comprometido a cerca de 20.000 organizaciones.

Los ciberataques a gran escala están siendo más comunes y cuantificables. Su impacto se está convirtiendo en una consideración cada vez más importante para los profesionales de la inversión, que necesitan comprometerse con las corporaciones para comprender los riesgos y proteger sus carteras contra escenarios adversos.

Un estudio que examina el crecimiento promedio de los ingresos de las empresas afectadas por graves violaciones de seguridad de IT comparó esos resultados con los de sus pares de la industria no afectados por el ciberdelito. La investigación abarcó unas 432 empresas y 460 eventos únicos durante un período de seis años. Encontró que, en los dos años posteriores a una grave violación de seguridad, los ingresos corporativos disminuyeron primero en un 10% de promedio y luego se recuperaron lentamente. Después de dos años, los ingresos solo se habían recuperado al mismo nivel en el que estaban cuando ocurrió la violación de seguridad. Por el contrario, las empresas que no sufrieron una violación de seguridad experimentaron un crecimiento de los ingresos de casi el 20% durante el mismo período.

El impacto de una importante brecha de seguridad no solo se refleja en beneficios de una empresa, sino también en el precio de sus acciones. De hecho, las empresas que han sufrido una violación grave de seguridad podrían ver caer los precios de las acciones en un 10%, o más, durante seis meses y permanecer deprimidos durante mucho tiempo.

Debido a la magnitud de estas consecuencias no es de extrañar que las empresas estén intensificando sus esfuerzos de protección de datos.

Sin embargo, la tarea se está volviendo mucho más difícil, ya que la pandemia ha obligado a millones de personas a trabajar desde casa. En consecuencia, ha aumentado la vulnerabilidad de los datos corporativos, especialmente de los ataques de phishing dirigidos a los empleados.

Estos ataques se han generalizado tanto que muchos analistas comparan la pandemia de coronavirus con una emergente ciberpandemia, con empleados en el hogar desempeñando el papel de troyanos. El informe al que aludíamos revela los riesgos que enfrentan las corporaciones por el creciente número de amenazas cibernéticas que surgen tanto de los estados-nación como de los grupos criminales. El estudio advierte de que los inversores deben evaluar su exposición potencial a tales ataques que ya le están costando al promedio de los bancos –objetivos preferidos del delito cibernético– unos 18,4 millones de dólares al año según datos de 2018. Las estimaciones del modelo para el sistema bancario mundial oscilan entre 97.000 millones y 351.000 millones por año en pérdidas potenciales, fácilmente capaces de desencadenar una crisis financiera.

El reciente ataque contra Microsoft atrajo la atención mundial. Sin embargo, fue la octava vez en 12 meses que la compañía reveló públicamente un ataque de los llamados grupos de estado-nación contra instituciones críticas. Las víctimas iban desde organizaciones de salud que luchan contra Covid-19 hasta campañas políticas involucradas en elecciones.

Estos ataques han fomentado un gran impulso a nivel estatal para reforzar las ciberdefensas. Por ejemplo, en marzo de 2021, el gobierno del Reino Unido lanzó una nueva Fuerza Cibernética Nacional, resultado de la cooperación entre el Ministerio de Defensa y la Sede de Comunicaciones del Gobierno (GCHQ) para interrumpir y destruir los sistemas de comunicaciones de quienes representan una amenaza para la seguridad nacional.

La industria financiera debería ahora adquirir un mayor compromiso para protegerse a sí misma y a sus clientes de las amenazas emergentes que, como demuestra el último ataque contra Microsoft, se están volviendo cada vez más dañinas.

Los líderes de la industria podrían tener dudas ante el desembolso de capital requerido para mejorar las defensas cibernéticas en un momento en que existe una necesidad imperiosa de disponer de efectivo. Pero para evitar la interrupción del negocio, la pérdida de información y la pérdida de ingresos, la inversión es fundamental. Con este fin, el exfuncionario del Departamento de Estado de los EE. UU, Richard Clarke, puede que haya tenido una visión profética. “Si gasta más en café que en seguridad informática, será pirateado. Es más, se merece ser pirateado”.

Rhodri Preece/José Luis de Mora Gil-Gallardo es Director Senior de Industry Research de CFA Institute/ Presidente de CFA Society Spain.