Las amenazas cibernéticas al sistema financiero están creciendo, y la comunidad global debe cooperar para protegerlo.
En febrero de 2016, los piratas informáticos atacaron al banco central de Bangladesh y explotaron las vulnerabilidades en SWIFT, el principal sistema de mensajería de pago electrónico del sistema financiero mundial, tratando de robar $ 1 mil millones. Si bien la mayoría de las transacciones fueron bloqueadas, $ 101 millones aún desaparecieron. El atraco fue una llamada de atención para el mundo de las finanzas de que los riesgos cibernéticos sistémicos en el sistema financiero habían sido severamente subestimados.
Hoy en día, la evaluación de que un ciberataque importante representa una amenaza para la estabilidad financiera es axiomática, no una cuestión de si, sino de cuándo. Sin embargo, los gobiernos y las empresas del mundo continúan luchando para contener la amenaza porque no está claro quién es responsable de proteger el sistema. Cada vez más preocupadas, las voces clave están haciendo sonar la alarma. En febrero de 2020, Christine Lagarde, presidenta del Banco Central Europeo y ex directora del Fondo Monetario Internacional, advirtió que un ciberataque podría desencadenar una grave crisis financiera. En abril de 2020, el Consejo de Estabilidad Financiera (FSB) advirtió que «un incidente cibernético importante, si no se contiene adecuadamente, podría interrumpir seriamente los sistemas financieros, incluida la infraestructura financiera crítica, lo que llevaría a implicaciones más amplias para la estabilidad financiera». Los costos económicos potenciales de tales eventos pueden ser inmensos y el daño a la confianza pública significativa.
Dos tendencias en curso exacerban este riesgo. En primer lugar, el sistema financiero mundial está atravesando una transformación digital sin precedentes, que se está acelerando por la pandemia de COVID-19. Los bancos compiten con las empresas de tecnología; las empresas tecnológicas compiten con los bancos. Mientras tanto, la pandemia ha aumentado la demanda de servicios financieros en línea y ha hecho que los arreglos de trabajo desde casa sean la norma. Los bancos centrales de todo el mundo están considerando apoyar las monedas digitales y modernizar los sistemas de pago. En este momento de transformación, cuando un incidente podría socavar fácilmente la confianza y descarrilar tales innovaciones, la ciberseguridad es más esencial que nunca.
En segundo lugar, los actores maliciosos se están aprovechando de esta transformación digital y representan una amenaza creciente para el sistema financiero global, la estabilidad financiera y la confianza en la integridad del sistema. La pandemia incluso ha proporcionado nuevos objetivos para los hackers. El sector financiero está experimentando la segunda mayor proporción de ciberataques relacionados con COVID-19, solo por detrás del sector de la salud, según el Banco de Pagos Internacionales.
¿Quién está detrás de la amenaza?
Se deben esperar ataques más peligrosos y choques subsiguientes en el futuro. Lo más preocupante son los incidentes que corrompen la integridad de los datos financieros, como registros, algoritmos y transacciones; actualmente se dispone de pocas soluciones técnicas para tales ataques, que tienen el potencial de socavar la confianza y la confianza en general. Los actores maliciosos detrás de estos ataques incluyen no solo criminales cada vez más audaces, como el grupo Carbanak, que atacó a las instituciones financieras para robar más de $ 1 mil millones durante 2013-18, sino también estados y atacantes patrocinados por el estado (ver tabla). Corea del Norte, por ejemplo, ha robado unos 2.000 millones de dólares de al menos 38 países en los últimos cinco años.
Este es un problema global. Si bien los ciberataques en los países de altos ingresos tienden a aparecer en los titulares, se presta menos atención al creciente número de ataques contra objetivos más blandos en los países de ingresos bajos y medianos bajos. Sin embargo, es en esos países donde el impulso hacia una mayor inclusión financiera ha sido más pronunciado, lo que ha llevado a muchos a saltar a los servicios financieros digitales, como los sistemas de pago móvil. Aunque promueven la inclusión financiera, los servicios financieros digitales también ofrecen un entorno rico en objetivos para los hackers. El hackeo de octubre de 2020 de las redes de dinero móvil más grandes de Uganda, MTN y Airtel, por ejemplo, resultó en una importante interrupción de cuatro días de las transacciones de servicio.
La brecha de responsabilidad
A pesar de la creciente dependencia del sistema financiero global de la infraestructura digital, no está claro quién es responsable de proteger el sistema contra los ataques cibernéticos. En parte, esto se debe a que el entorno está cambiando muy rápidamente. Sin una acción dedicada, el sistema financiero global solo se volverá más vulnerable a medida que la innovación, la competencia y la pandemia impulsen aún más la revolución digital. Aunque muchos actores de amenazas se centran en ganar dinero, el número de ataques puramente disruptivos y destructivos ha ido en aumento; además, aquellos que aprenden a robar también aprenden sobre las redes y operaciones del sistema financiero, lo que les permite lanzar ataques más disruptivos o destructivos en el futuro (o vender dicho conocimiento y capacidades a otros). Esta rápida evolución del panorama de riesgos está gravando la capacidad de respuesta de un sistema por lo demás maduro y bien regulado.
Sin una acción dedicada, el sistema financiero global solo se volverá más vulnerable
a medida que la innovación, la competencia y la pandemia impulsen
aún más la revolución digital.
Una mejor protección del sistema financiero mundial es principalmente un desafío organizacional. Los esfuerzos para endurecer las defensas y endurecer la regulación son importantes, pero no son suficientes para superar los crecientes riesgos. A diferencia de muchos sectores, la mayor parte de la comunidad de servicios financieros no carece de recursos o la capacidad de implementar soluciones técnicas. El problema principal es un problema de acción colectiva: la mejor manera de organizar la protección del sistema entre los gobiernos, las autoridades financieras y la industria y cómo aprovechar estos recursos de manera efectiva y eficiente.
La fragmentación actual entre las partes interesadas y las iniciativas se deriva en parte de los aspectos únicos y la naturaleza evolutiva del riesgo cibernético. Diferentes comunidades operan en silos y abordan el problema a través de sus respectivos mandatos. La comunidad de supervisión financiera se centra en la resiliencia, los diplomáticos en las normas de comportamiento estatal, las agencias de seguridad nacional en tratar de disuadir la actividad maliciosa y los ejecutivos de la industria en los riesgos específicos de la empresa en lugar de los específicos del sector. A medida que las líneas entre las empresas de servicios financieros y las empresas de tecnología se vuelven cada vez más difusas, las líneas de responsabilidad por la seguridad también son cada vez más borrosas.
La desconexión entre las finanzas, la seguridad nacional y las comunidades diplomáticas es particularmente pronunciada. Las autoridades financieras se enfrentan a riesgos únicos de amenazas cibernéticas, sin embargo, sus relaciones con las agencias de seguridad nacional, cuya participación es necesaria para abordar eficazmente esas amenazas, siguen siendo tenues. Esta brecha de responsabilidad y la continua incertidumbre sobre los roles y mandatos para proteger el sistema financiero global alimentan los riesgos. Parte de esta incertidumbre se debe al clima geopolítico actual y a los altos niveles de desconfianza, que dificultan la colaboración entre la comunidad internacional. La cooperación en ciberseguridad se ha visto obstaculizada, fragmentada y, a menudo, limitada a los círculos de confianza más pequeños porque afecta a acciones sensibles de seguridad nacional. La cooperación internacional y de múltiples partes interesadas no es una «necesidad de tener» sino una «necesidad de tener».
Una estrategia internacional
Para lograr una protección más efectiva del sistema financiero global contra las amenazas cibernéticas, la Fundación Carnegie para la Paz Internacional publicó un informe en noviembre de 2020 titulado «Estrategia internacional para proteger mejor el sistema financiero global contra las amenazas cibernéticas». Desarrollado en colaboración con el Foro Económico Mundial, el informe recomienda acciones específicas para reducir la fragmentación mediante el fomento de una mayor colaboración, tanto a nivel internacional como entre agencias gubernamentales, empresas financieras y empresas de tecnología.
La estrategia se basa en cuatro principios: en primer lugar, se requiere una mayor claridad sobre las funciones y responsabilidades. Solo un puñado de países han establecido relaciones internas efectivas entre sus autoridades financieras, las fuerzas del orden, los diplomáticos, otros actores gubernamentales relevantes y la industria. La fragmentación existente obstaculiza la cooperación internacional y debilita la resiliencia colectiva, la recuperación y las capacidades de respuesta del sistema internacional.
En segundo lugar, la colaboración internacional es necesaria y urgente. Dada la escala de la amenaza y la naturaleza globalmente interdependiente del sistema, los gobiernos individuales, las empresas financieras y las empresas de tecnología no pueden protegerse eficazmente contra las amenazas cibernéticas si trabajan solos.
En tercer lugar, la reducción de la fragmentación liberará capacidad para abordar el problema. Se están llevando a cabo muchas iniciativas para proteger mejor a las instituciones financieras, pero siguen aisladas. Algunos de estos esfuerzos se duplican entre sí, lo que aumenta los costos de transacción. Varias de estas iniciativas son lo suficientemente maduras como para ser compartidas, mejor coordinadas y aún más internacionalizadas.
Cuarto, la protección del sistema financiero internacional puede ser un modelo para otros sectores. El sistema financiero es una de las pocas áreas en las que los países tienen un claro interés compartido en la cooperación, incluso cuando las tensiones geopolíticas son altas. Centrarse en el sector financiero proporciona un punto de partida y podría allanar el camino para una mejor protección de otros sectores en el futuro.
Entre las acciones para fortalecer la resiliencia cibernética, el informe recomienda que el FSB desarrolle un marco básico para supervisar la gestión del riesgo cibernético en las instituciones financieras. Los gobiernos y la industria deben fortalecer la seguridad compartiendo información sobre amenazas y creando equipos de respuesta a emergencias informáticas financieras (CERT), inspirados en el FinCERT de Israel.
Las autoridades financieras también deben priorizar el aumento de la resiliencia del sector financiero contra los ataques dirigidos a datos y algoritmos. Esto debe incluir bóvedas de datos seguras y cifradas que permitan a los miembros realizar copias de seguridad seguras de los datos de la cuenta del cliente durante la noche. Se deben emplear ejercicios regulares para simular ciberataques para identificar debilidades y desarrollar planes de acción.
Para reforzar las normas internacionales, el informe recomienda que los gobiernos dejen en claro cómo aplicarán el derecho internacional al ciberespacio y fortalezcan las normas para proteger la integridad del sistema financiero. Los gobiernos de Australia, los Países Bajos y el Reino Unido ya han dado un primer paso con declaraciones que indican que los ciberataques desde el extranjero pueden considerarse como un uso ilegal de la fuerza o una intervención en los asuntos internos de otro estado.
La resiliencia cibernética y el fortalecimiento de las normas internacionales pueden facilitar la respuesta colectiva a través de acciones de aplicación de la ley o una reacción multilateral con la industria. Las respuestas pueden incluir sanciones, arrestos e incautaciones de activos.
Los gobiernos pueden apoyar estos esfuerzos estableciendo entidades que ayuden a evaluar las amenazas y coordinar las respuestas. La recopilación de inteligencia debe incluir un enfoque en las amenazas al sistema financiero, y los gobiernos deben compartir dicha inteligencia con aliados y países de ideas afines.
Creación de capacidad
La estrategia integral esbozada en el informe Carnegie depende a su vez de la construcción de la fuerza laboral de ciberseguridad, la expansión de la capacidad de ciberseguridad del sector financiero y la salvaguardia de las ganancias en inclusión financiera que han resultado de la transformación digital.
El elevado desempleo debido a la pandemia brinda una oportunidad importante para capacitar y contratar personas talentosas para fortalecer la fuerza laboral de ciberseguridad. Las empresas de servicios financieros deben invertir en iniciativas para desarrollar la cartera de talentos, incluidos los programas de escuela secundaria, aprendizaje y universidades.
Desarrollar la capacidad de ciberseguridad significa centrarse en proporcionar asistencia donde sea necesario. El FMI y otras organizaciones internacionales recibieron muchas solicitudes de asistencia en materia de ciberseguridad de los Estados miembros, en particular tras el incidente de Bangladesh de 2016. Los gobiernos y los bancos centrales del G20 podrían crear un mecanismo internacional para desarrollar la capacidad de ciberseguridad para el sector financiero, con una agencia internacional como el FMI designada para coordinar el esfuerzo. La Organización de Cooperación y Desarrollo Económicos y las instituciones financieras internacionales deben hacer de la creación de capacidad en materia de ciberseguridad un elemento de los paquetes de asistencia para el desarrollo y deben aumentar significativamente la asistencia a los países necesitados.
Finalmente, mantener el progreso en la inclusión financiera requiere fortalecer las conexiones entre la inclusión financiera y la ciberseguridad. Esto es particularmente urgente en África, con muchos países en el continente experimentando una transformación significativa de sus sectores financieros a medida que amplían la inclusión financiera y se mueven hacia los servicios financieros digitales. Debería crearse una red de expertos que se centre específicamente en la ciberseguridad en África.
Ha llegado el momento de que la comunidad internacional, incluidos los gobiernos, los bancos centrales, los supervisores, la industria y otras partes interesadas relevantes, se unan para abordar este desafío urgente e importante. Una estrategia bien pensada, como la anterior, proporciona un plan para convertir las palabras en acción.