+34.911735181 pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Apuntes de verano sobre seguridad informática en el sector bancario

Este es el cuarto post de un total de cuatro en los que comparto mis consideraciones sobre los principales retos para la banca:

1.- Intro sobre ciberseguridad en el sector financiero

El sector financiero y bancario se enfrenta principalmente a los desafíos derivados de los avances informáticos y, en especial, a los vinculados con fintech, blockchain y seguridad informática. En este artículo nos centraremos principalmente en detallar algunos aspectos del tercero (la seguridad informática), concluyendo con unas previsiones en las que pondremos en relación los tres desafíos.

El sector financiero trabaja actualmente para conseguir integrar y mantener medidas suficientes de seguridad informática para combatir los ataques constantes y masivos que sufre.

Estos ataques son a veces dirigidos contra las entidades con la finalidad de sustraer grandes cantidades de dinero o, aún más valioso, de secretos comerciales o datos de carácter personal; otras veces son el resultado de infecciones aleatorias sufridas por los clientes o los propios empleados de las sucursales.

Las estafas informáticas representan más del 80% de los delitos informáticos, según los últimos informes anuales publicados por la Fiscalía General del Estado, aunque hay otra gran variedad de acciones ilícitas que llegan a los tribunales. La implementación inmediata de medidas de seguridad técnicas específicas, para evitar las brechas de seguridad o las consecuencias de estas, es exigida por las diferentes normas que ya están en vigor como, por ejemplo, la NIS o el Reglamento General de Protección de Datos. La exigibilidad de esta última comenzó en 2018, con sanciones por su incumplimiento con multas de hasta 20 millones de euros o de hasta el 4% de la facturación global del año financiero anterior, eligiéndose la cifra más alta.

Ante esta situación, las empresas del sector deben tomar decisiones estratégicas de transformación digital para aprender a convivir con la nuevas fintech, convertirse en una de ellas, comprar sus proyectos o invertir en ellos; desarrollar productos basados en blockchain, usar las monedas virtuales para optimizar los tiempos y mejorar los procesos y comenzar a programar smart contracts con el objetivo de programar el dinero; y adecuarse de manera urgente a las nuevas normas en materia de seguridad informática invirtiendo en personal legal y técnico capaz de evaluar el impacto de los potenciales ataques, seleccionar las soluciones adecuadas e implementarlas de manera eficiente y resiliente.

2.- Así son algunos de los ataques informáticos que sufre el sector financiero

Los ataques informáticos que sufre el sector financiero son dirigidos o aleatorios, persistentes… Debería bastar con saber que los ataques son constantes, tanto a entidades como a clientes, que muchos de ellos son exitosos y que la mayor parte de los afectados ni siquiera se dará cuenta de haberlos sufrido hasta ver las consecuencias. Con esta información, las medidas de seguridad implementadas deberían ser suficientes, pero no lo son.

Las estafas, por poner un ejemplo, representan el 80% del total de los delitos informáticos denunciados en España, alcanzando la cifra anual de 17.328 en el periodo 2014 – 2015, según publica en su Memoria Anual de 2016 la Fiscalía General del Estado. Esta solo es la punta del iceberg o la cresta de una ola de ciberataques que nos llevaron a esta noticia: España es el país más infectado del mundo en determinadas versiones de malware, como es en el caso del ransomware CryptoLocker, que exige rescates en bitcoins a los usuarios afectados.

En el ámbito de la seguridad, el Reglamento General de Protección de Datos, que entró en vigor en 2016, exige a los bancos y las empresas fintech la implantación de medidas de seguridad acordes a los resultados de un análisis de riesgo o, en su caso, una evaluación de impacto. El cumplimiento de esta norma europea de aplicación directa, exigible a partir del 25 de mayo de 2018, indica que es ahora el momento de adecuar los procesos a lo que ya es imperativo. El Reglamento trae algunas consecuencias interesantes para los casos de incumplimiento como son, por ejemplo, estas dos: se establece una obligación, cuando se den determinadas circunstancias, para que las empresas comuniquen, incluso a través de un medio de comunicación social, los ataques informáticos que sufran y que hayan podido afectar a los datos de los usuarios, salvo si pueden comunicarse con ellos directamente; y las sanciones por incumplimiento podrán suponer multas de hasta 20 millones de euros o de hasta el 4% de su negocio global del año financiero anterior, eligiendo la cifra más alta.

Una novedad interesante, también en materia de ciberseguridad, es la lograda hace a penas unos años a través de los Tribunales españoles por la cual se obliga a un banco español a indemnizar a un usuario que sufrió un ataque informático en su ordenador. El afectado fue infectado con el troyano Citadel, que es un tipo de software malicioso que extrae contraseñas, gracias al cual le fueron sustraídos más de 55.000 euros de su cuenta bancaria. El juez ordenó al banco entregar dicha cantidad al cliente puesto que, según se indica en la sentencia, la entidad podía haber aplicado y no aplicó medidas de seguridad técnicas suficientes que impidiesen la consecuencia. Aquí es donde empresas como F5, Exclusive, ESET o VMware, principalmente, están apostando por ofrecer sistemas que permiten al banco analizar el dispositivo con el que se está conectando el usuario para detectar malware instalado, para cifrar los datos o, en los servidores del operador, para implementar sistemas de micro-segmentación con el objetivo de detener intrusiones o evitar consecuencias mayores.

3.- Previsiones de futuro para el sector financiero

Estamos en un momento de la historia en la que el avance tecnológico permite la creación de sustitutos eficientes a los operadores tradicionales.

Los nuevos operadores ofrecen sistemas basados en la economía colaborativa. Se benefician de las posibilidades que abren las redes que permiten conectar personas para que, entre ellas, se transmitan todo tipo de información digital. Hasta ahora, el mensaje era texto; ahora, el mensaje puede ser dinero.

Las entidades del sector financiero tienen la misión de aprender en poco tiempo lo que sucede a su alrededor. Si siguen mejorando lo que tienen, van a ser fagocitadas en breve por las que crean algo mejor. Pueden mantenerse estáticas para analizar la situación y actuar después, como buenas fast followers. Quizá sea suficiente, aunque quizá lo recomendable sea experimentar y convertirse en lo que se demanda o comprar a las que ya han nacido convertidas.

El surgimiento de las fintech, la innovación con blockchain y la lucha por la ciberdefensa ponen de relieve una realidad: el mundo financiero ya ha cambiado.

Para las tres tendencias referidas, los profesionales de Abanlex y SmartHC cuentan con conocimiento y experiencia con soporte en procesos de formación continua y desarrollos para clientes. El equipo, formado por abogados e informáticos, idea, implementa y mantienen soluciones legales y técnicas adecuadas para el apoyo de proyectos fintech desde el inicio y la evolución de estructuras en las que se usa blockchain, todo ello apoyado por un mantenimiento de seguridad global, que incluye tanto la física como la lógica. Ofrecemos cumplimiento y seguridad para el desarrollo de la innovación.

2 thoughts on “Apuntes de verano sobre seguridad informática en el sector bancario”

Comments are closed.

En caso de que deje un comentario, sus datos serán tratados por Pablo Fernández Burgueño con la finalidad de mantener publicado su mensaje hasta que decida suprimirlo. Tiene derecho a acceder, suprimir, rectificar los datos y otros derechos, como se explica en la política de privacidad