El BCE pide a la banca mejores defensas frente a un ataque digital tras realizarles una prueba de resistencia

Las entidades deben contar con protocolos de respuesta y recuperación ante un ataque que ponga en riesgo los sistemas centrales

La presidenta del Banco Central Europeo (BCE) Christine Lagarde, durante una rueda de prensa, el pasado 4 de julio.FRIEDEMANN VOGEL (EFE)

El Banco Central Europeo (BCE) pide a la banca que mejore aún más sus defensas ante ciberataques. Las estafas digitales son cada vez más sofisticadas y más habituales, y por ello el supervisor europeo ha realizado unas pruebas de resistencia para evaluar la capacidad de los bancos para responder ante un ataque grave, pero que podría llegar a producirse.

Para ello, el BCE elaboró un escenario en el que todas las medidas preventivas de los bancos fallaban y un ciberataque afectaba gravemente a las bases de datos de los sistemas centrales. En ese sentido, el examen pretendía comprobar cómo respondían las entidades ante un ataque y cómo se recuperaban, en lugar de cómo lo prevenían. Según detalla el propio BCE, examinó a 109 bancos y en general los resultados mostraron que las entidades cuentan con marcos de respuesta y recuperación, pero que aún quedan “áreas por mejorar”.

Todos los bancos respondieron a un cuestionario y tuvieron que presentar documentación para que los supervisores la analizaran. Además, el BCE les sometió a 28 a unas pruebas más exigentes en las que se tuvieron que enfrentarse a un simulacro de recuperación informática en tiempo real y tuvieron que aportar pruebas de que la habían superado.

Por un lado, para demostrar su respuesta a un escenario de crisis, los bancos tuvieron que activar sus planes de respuesta, comunicarse con todas las partes afectadas (clientes, proveedores de servicios y supervisores), realizar un análisis para identificar qué servidores se habían visto dañados y poner en marcha medidas de alivio que permitan operar al banco durante el tiempo necesario hasta recuperar los sistemas. Por otra parte, para demostrar la capacidad de recuperación, los bancos tuvieron que iniciar la restauración de datos, garantizar que las áreas afectadas se recuperaran y volvieran a funcionar y aplicar las lecciones aprendidas, revisando sus planes de respuesta.

El BCE señala que ya ha enviado comentarios individuales a los bancos sobre los resultados de las pruebas y harán un seguimiento para comprobar que han mejorado las deficiencias detectadas, aunque también destaca que algunas entidades ya las han subsanado o tienen planes para hacerlo durante este año. “Los bancos deben ser capaces de cumplir sus propios objetivos de recuperación, evaluar adecuadamente las dependencias de proveedores externos de servicios críticos informáticos y estimar adecuadamente las pérdidas directas e indirectas derivadas de un ciberataque”, explica en el informe de resultados el supervisor.

La protección de los bancos frente a ataques cibernéticos es una de las prioridades supervisoras del Mecanismo Único de Supervisión (MUS) para el periodo 2024-26, debido al aumento de los incidentes detectados en los últimos años y que los propios bancos han reportado al supervisor. La continua digitalización de los negocios y los procesos han provocado que un ataque a un banco pueda provocar daños en cuanto a la información que los delincuentes obtienen y puedan poner en riesgo la estabilidad financiera. “Dada la naturaleza interconectada de las redes bancarias actuales, un incidente en una institución puede tener efectos en cascada en múltiples sectores, como vimos con la reciente interrupción global del servicio CrowdStrike”, advirtió el BCE tras presentar los resultados de sus exámenes.

En ese sentido, el objetivo del BCE, más allá de que los bancos eviten los ataques, puedan responder a un ataque y operar mientras se recuperan. Por ello, el supervisor ha pedido que los bancos prioricen la inversión en ciberseguridad. “Deben ser capaces de mantener operaciones bancarias críticas para garantizar la continuidad del negocio y mantener la confianza de sus clientes, incluso en condiciones adversas”, añadió.

El BCE señala que los resultados de estas pruebas de resistencia se incorporarán a la evaluación anual que mide el perfil de riesgo de las entidades (SREP, por sus siglas en inglés) y establece unos determinados niveles de capital mínimos con los que debe contar en todo momento. Eso sí, detalla que estas pruebas de estrés cibernético no afectará a las exigencias de capital de los bancos.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días

Sobre la firma

Más información

Archivado En