Discurso del presidente del CPMI y Miembro del Comité Ejecutivo del BCE, en la conferencia del G7: «Ciberseguridad: Coordinación de los esfuerzos para proteger el sector financiero en la economía mundial», París, 10 de mayo de 2019.
Gracias al Banco de Francia por darme la oportunidad de intervenir en esta conferencia, tanto como presidente del Comité de Pagos e Infraestructuras de Mercado (CPMI) del Banco de Pagos Internacionales como miembro del Comité Ejecutivo del Banco Central Europeo. Dado que mis comentarios se centran en la resiliencia cibernética de las infraestructuras de los mercados financieros, me gustaría aprovechar esta oportunidad para rendir homenaje a Alberto Giovannini, quien falleció hace dos semanas. Alberto combinó la visión teórica con una comprensión profunda de cómo funcionan los mercados financieros. Sus informes de 2001 y 2003 sobre los acuerdos transfronterizos de compensación y liquidación en la UE han dado forma al debate sobre las actividades post comercialización europeas. Nos habría animado a comenzar nuestra discusión desde los primeros principios y reconocer la resiliencia cibernética por lo que es: un bien público global.
El sistema financiero está cambiando rápidamente. La digitalización ha dado lugar a mejoras en el acceso a los servicios, así como en su calidad y conveniencia. En el campo de los pagos, los servicios son cada vez más instantáneos, 24/7 y disponibles a nivel mundial. Mientras tanto, los participantes no bancarios están interrumpiendo la intermediación tradicional. La inteligencia artificial y el aprendizaje automático son solo dos de las innovaciones que prometen revolucionar los servicios financieros.
Pero la revolución y la evolución suelen venir con nuevos riesgos, mientras que no eliminan todos los antiguos. Los delincuentes, por ejemplo, siempre han explotado la tecnología. En 1973, el cajero jefe de una sucursal del Unión Dime Savings Bank en Nueva York utilizó las computadoras recientemente introducidas para robar 1,5 millones de dólares de cientos de cuentas, el mayor robo registrado de una caja de ahorros en ese momento. El robo de identidad, el fraude y el robo son tan antiguos como la sociedad humana.
Sin embargo, hoy en día los ladrones, el fraude y los ladrones pueden aprovechar los sistemas financieros que son digitales y globales, lo que hace que la amenaza sea notablemente mayor. Los ciberdelincuentes a menudo se dirigen a los puntos de entrada más débiles y explotan estas vulnerabilidades para penetrar en la red financiera global. Los hackers que robaron 81 millones de dólares de la cuenta de Bangladesh Bank en Nueva York en 2016 probablemente lo hicieron desde el otro lado del mundo.
Los actores estatales sin motivación financiera y con la capacidad de causar una destrucción aún mayor también están al acecho. Y lo que es aún más preocupante, estamos viendo una nueva forma de crimen organizado. La web oscura es el hogar de una serie de redes donde se venden credenciales de acceso y herramientas de penetración, los trabajos de piratería se asignan al postor más bajo y los ingresos se lavan utilizando criptomonedas.
Las implicaciones para los responsables de la formulación de políticas son claras. Debido a que los riesgos cibernéticos no tienen fronteras, solo pueden abordarse conjuntamente a nivel mundial. Felicito al Banco de Francia por dedicar un panel completo a este tema en esta oportuna conferencia.
En mis observaciones de hoy describiré en primer lugar cómo se ve actualmente la cooperación internacional en esta área, antes de compartir algunas ideas sobre cómo esta cooperación puede funcionar tanto de arriba hacia abajo como de abajo hacia arriba. Mis observaciones deben considerarse a través de la lente tanto del trabajo político y de implementación del CPMI como del trabajo del BCE, junto con otras instituciones europeas, para poner en práctica a nivel europeo las normas acordadas internacionalmente.
Proteger el núcleo y asegurar la periferia
El CPMI, como el organismo de normalización mundial para pagos, compensación y liquidación, desempeña naturalmente un papel clave en la gobernanza mundial de las cuestiones relacionadas con la ciberseguridad. Junto con el trabajo del Grupo de Expertos Cibernéticos del G7, el Consejo de Estabilidad Financiera y otros organismos internacionales de normalización, como el Comité de Supervisión Bancaria de Basilea (BCBS) y la Organización Internacional de Comisiones de Valores (IOSCO), el trabajo del CPMI proporciona la base necesaria para que las autoridades de todo el mundo ayuden a proteger el sistema financiero contra el fraude cibernético.
La estrategia general del CPMI es, en pocas palabras, «asegurar la periferia y proteger el núcleo».
Por periferia, nos referimos a las capas externas del sistema financiero: los puntos finales y las redes a través de las cuales las instituciones financieras se conectan a los sistemas de pago mayoristas o interbancarios de importancia sistémica. Es decir, esos puntos finales explotados por los piratas informáticos para robar fondos del Banco de Bangladesh.
Para minimizar estos riesgos, el año pasado publicamos un informe que establece una forma flexible para que las partes interesadas públicas y privadas prevengan, detecten, respondan y comuniquen pagos fraudulentos y solicitudes de pago.
La otra mitad de nuestra estrategia se relaciona con el núcleo del sistema financiero: los sistemas de pago críticos y las infraestructuras del mercado financiero (IMF) que garantizan el buen funcionamiento de nuestro sistema financiero, la columna vertebral o la «plomería». Para proteger este núcleo, hace tres años el CPMI, junto con nuestros colegas de IOSCO, publicó un informe sobre la resiliencia cibernética para las IMF.
Esta fue la primera guía acordada internacionalmente sobre seguridad cibernética para la industria financiera. Hoy en día, todavía proporciona un enfoque coherente que requiere una gobernanza sólida y la supervisión de todos los aspectos de la gestión prudente del riesgo cibernético en las IMF, incluidas las pruebas sólidas, la conciencia situacional y el aprendizaje continuo.
Y nuestro enfoque no es solo para las IMF. Se puede aplicar a casi cualquier empresa financiera o no financiera. De hecho, uno de los hallazgos en el reciente informe de BCBS sobre prácticas cibernéticas es que la Guía CPMI-IOSCO es uno de los tres estándares utilizados actualmente por los supervisores bancarios.
La implementación es crucial pero desafiante
Por supuesto, la prueba del pudín está en el comer. El valor de la labor de los órganos normativos radica en su aplicación. Las autoridades de CPMI e IOSCO han estado trabajando en estrecha colaboración con las IMF en sus respectivas jurisdicciones en la implementación de la Guía CPMI-IOSCO. Ampliaré en un momento lo que el BCE ha hecho a este respecto. A nivel internacional, tenemos previsto comenzar este año un seguimiento más detallado de la aplicación.
Nuestra estrategia de pagos mayoristas, por su parte, ha sido respaldada por todos los gobernadores del BIS, quienes se han comprometido a implementarla a su debido tiempo. Para promover la aplicación más amplia posible de la estrategia y lograr la cohesión global en los estándares, yo, junto con Mark Carney, Gobernador del Banco de Inglaterra y presidente de dos grupos de bancos centrales del BPI, me dirigí recientemente a otros 100 gobernadores de bancos centrales, alentándolos a comprometerse con la estrategia y proporcionando detalles sobre cómo podemos ayudarnos mutuamente a aprender y evolucionar. Muchos ya nos han aceptado nuestra oferta de apoyo.
Más allá de esto, estamos coordinando con las partes interesadas de la industria para desarrollar las mejores prácticas para prevenir el fraude de pagos al por mayor en todo el ecosistema, y compartiendo estas mejores prácticas a través de nuestros esfuerzos de divulgación.
En septiembre pasado, copresidí aquí en el Banco de Francia la primera mesa redonda entre los directores ejecutivos de las 22 IMF más grandes a nivel mundial y regional y sus supervisores. La reunión exploró cómo colectivamente, fmis y supervisores, podríamos fortalecer la resiliencia cibernética para defendernos contra una amenaza común. Identificamos tres áreas en las que los desafíos requieren que trabajemos en estrecha colaboración para encontrar soluciones: (i) integridad de los datos; ii) intercambio de información; y (iii) proveedores de servicios externos.
La integridad de los datos es un concepto amplio, pero gran parte de nuestra discusión de hoy se centra en el objetivo de tiempo de recuperación de dos horas. Los Principios CPMI-IOSCO para Infraestructuras de Mercados Financieros requieren que las IMF puedan recuperarse de una interrupción operativa en un plazo de dos horas.
Al principio, muchos descartaron este objetivo como ilusorio. Pero desde entonces, el progreso tecnológico lo ha hecho universalmente alcanzable para las IMF más avanzadas y sistémicamente importantes. Sin embargo, sigue existiendo un riesgo crítico de que una carrera por la recuperación después de una interrupción cibernética pueda ser contraproducente en caso de que los datos subyacentes se hayan corrompido. Reiniciar un sistema con datos corruptos que rompen las herramientas de reconciliación de cada participante y siembran más discordia en el mercado sería, para decirlo sin rodeos, un desastre.
Cómo abordar este tema es uno de los temas que la industria está discutiendo en tres grupos de trabajo internacionales que surgieron de la mesa redonda de CEO. Hay varias vías posibles para explorar, incluidos los acuerdos contingentes, los libros de contabilidad segregados y las conciliaciones frecuentes. El CPMI y la IOSCO actuarán como catalizadores para estos grupos, según sea necesario, y nos mantendremos al día con su progreso.
Se planea que grupos similares exploren temas abiertos relacionados con las otras dos áreas que mencioné antes: el intercambio de información y la prestación de servicios de terceros. Para el intercambio de información, existen protocolos comunes para compartir eventos financieros. Pero para incidentes operativos, estos protocolos hasta ahora se han segregado por tipo de FMI, mercado y jurisdicción. Un protocolo internacional común para incidentes operacionales podría permitir respuestas más rápidas y mejor informadas.
Para la prestación de servicios de terceros, como los servicios en la nube, la cooperación entre las IMF puede mejorar los acuerdos de seguridad al proporcionar una visión más clara de las prácticas comunes de gestión de riesgos de los proveedores de servicios. La acción común también tiene el potencial de mejorar la eficiencia al evitar la duplicación de evaluaciones de riesgos de terceros.
La estrategia de ciber resiliencia del Eurosistema
En conjunto, el trabajo del CPMI y otros organismos normativos ha proporcionado a las IMF y otras entidades un entorno rico y diverso en el que aprender a defenderse eficazmente de los incidentes cibernéticos, que son cada vez más frecuentes y cada vez más sofisticados.
El trabajo de otras instituciones apoya estos esfuerzos en varios niveles. A nivel mundial, por ejemplo, el trabajo del Grupo de Expertos Cibernéticos del G7 establece elementos fundamentales para la gestión de riesgos y simula el impacto de los principales incidentes cibernéticos transfronterizos que involucran a las autoridades financieras del G7.
La labor a nivel regional puede contribuir a esas iniciativas mundiales e informarlas. El BCE es un buen ejemplo de cooperación internacional tanto ascendente como descendente.
Por un lado, el BCE ha tomado la iniciativa en la aplicación de las orientaciones del CPMI-IOSCO en los últimos años. El Consejo de Gobierno aprobó rápidamente la Estrategia de Ciber resiliencia del Eurosistema para las IMF, que busca poner en práctica la Guía Cibernética CPMI-IOSCO en los 19 países de la zona del euro, en marzo de 2017.
Al mismo tiempo, el BCE también ha hecho una importante contribución al establecimiento de las mejores prácticas internacionales y al desarrollo de capacidades de ciber resiliencia en los países en desarrollo y las economías de mercados emergentes.
Más concretamente, la ciber estrategia del Eurosistema se basa en tres pilares fundamentales: i) resiliencia de las IMF; ii) resiliencia del sector; y iii) el diálogo estratégico entre la industria y los reguladores. Permítanme explicar brevemente las iniciativas clave de cada pilar.
En el marco del primer pilar, la resiliencia de FMI, el BCE publicó en diciembre de 2018 sus expectativas de supervisión de la ciber resiliencia (CROE), una herramienta tanto para las IMF como para los supervisores. Estas expectativas contienen mejores prácticas detalladas para poner en práctica la Guía CPMI-IOSCO. El Eurosistema está repitiendo actualmente una encuesta cibernética entre 76 IMF para evaluar en qué medida el sector ha mejorado en términos de madurez cibernética y para evaluar las vulnerabilidades macro del sector de manera más amplia.
El año pasado, el Eurosistema también desarrolló el marco europeo para el Equipo Rojo Ético basado en Inteligencia de Amenazas (TIBER-EU). Red teaming ayuda a las instituciones a evaluar, mediante un «hacking ético» controlado, si y cómo una entidad es capaz de resistir un ciberataque.
Y debido a que TIBER-EU implica pruebas de alta gama en sistemas de producción en vivo, actualmente estamos reflexionando sobre cómo fomentar una capacidad de acreditación y certificación en la UE. Esto permitiría a los proveedores de servicios de ciberseguridad elevar los estándares en torno a la inteligencia de amenazas y las pruebas del equipo rojo y validar sus capacidades en este campo.
Tanto el CROE como el TIBER-EU son herramientas que eventualmente podrían usarse en todo el mundo. De hecho, me complace anunciar que el CROE ha sido adoptado recientemente por el Banco Mundial con miras a promover la armonización mundial y mejorar la resiliencia cibernética de las IMF en los países en desarrollo y emergentes bajo su mandato.
Y, desde su publicación, TIBER-EU ha sido adoptado por el BCE y varios países europeos. El BCE también mantiene un estrecho diálogo con otras jurisdicciones que están considerando el TIBER-UE como una herramienta para sus respectivos sectores financieros.
En el marco del segundo pilar de la ciber estrategia del Eurosistema, la resiliencia del sector, reconocemos la fuerte interconexión del ecosistema financiero y el potencial de un ciberataque coordinado para desencadenar un amplio efecto de contagio, que puede tener un impacto en el sector financiero en su conjunto.
En junio de 2018, el BCE acogió UNITAS, un ejercicio de comunicación de crisis en todo el mercado, que facilitó el debate entre las IMF activas a nivel paneuropeo. Estas discusiones se centraron en el escenario de un ataque cibernético a las infraestructuras financieras que resultó en una pérdida de integridad de los datos y efectos en cadena más amplios.
El ejercicio reveló que había debilidades a nivel europeo, que ahora se están siguiendo a través del Euro-Consejo de Ciber resiliencia para las Infraestructuras Financieras Paneuropeas (ECRB), que es un elemento clave del tercer pilar de la estrategia cibernética del Eurosistema: un diálogo estratégico entre la industria y el regulador.
Al igual que la mesa redonda de CEO del CPMI, el ECRB se estableció el año pasado para facilitar un diálogo cibernético estratégico entre las IMF paneuropeas y las autoridades europeas. No es un diálogo clásico entre los reguladores y la industria. Como dijo un miembro, «todos somos víctimas y tenemos que abordar el desafío cibernético juntos».
Sobre la base de los resultados de la primera ronda de nuestra encuesta cibernética y del ejercicio UNITAS, el ECRB se está centrando en cinco áreas clave: (i) intercambio de información; ii) gestión europea de crisis; iii) formación y sensibilización; iv) la recuperación de los ecosistemas y la reconciliación coordinada; y (v) riesgo de terceros.
El trabajo sobre el intercambio de información puede alimentarse directamente en el debate mundial celebrado a nivel de CPMI-IOSCO. El ECRB ha establecido un grupo de trabajo con el mercado para diseñar los componentes básicos para un intercambio efectivo de información, que pondremos en funcionamiento a finales de 2019.
En cuanto a la gestión paneuropea de crisis, un grupo de trabajo determinará lo que se considera una crisis, las partes interesadas clave que deben participar en situaciones de crisis y cuándo deben activarse dichos acuerdos de gestión de crisis. La ambición es tener una gama de escenarios de libro de jugadas que se probarán regularmente a nivel colectivo.
En cuanto a la formación y la sensibilización, el ECRB también organizará un taller de la industria en la segunda mitad de 2019, intercambiando las mejores prácticas para aumentar la conciencia cibernética general entre el personal de todos los niveles con el fin de cambiar su comportamiento a la luz de las amenazas cibernéticas reales y percibidas.
Finalmente, también en la segunda mitad de 2019, el ECRB se hará eco de iniciativas similares a nivel CPMI-IOSCO y centrará su atención en la recuperación del ecosistema y la reconciliación coordinada, y el riesgo de terceros. En otras palabras, se centrará en cómo responder a un incidente cibernético importante o prevenir un incidente derivado de nuestra cadena de suministro en constante expansión.
Este trabajo está dirigido ahora por mi colega Sabine Lautenschläger, que ha asumido la responsabilidad de los pagos y la supervisión de la infraestructura de mercado en el Comité Ejecutivo del BCE.
Conclusión
En los últimos años se ha avanzado mucho en el fortalecimiento de la resiliencia cibernética, gracias en gran parte a la interacción fluida entre los organismos mundiales de normalización, las autoridades regionales y las partes interesadas de la industria.
Pero debido a que la naturaleza del panorama de amenazas está cambiando constantemente, el riesgo de un incidente cibernético importante sigue siendo real y, con toda probabilidad, está aumentando. La falta de protección adecuada contra los ataques cibernéticos puede afectar la confianza en la estabilidad del sistema financiero y tener repercusiones de mayor alcance en la economía en general.
Para evitar estos riesgos, y para mantenernos por delante de aquellos que intentan dañar nuestro sistema financiero, necesitamos aprovechar las herramientas y las mejores prácticas que ya existen y fortalecer la cooperación multilateral para promover ideas innovadoras, soluciones prácticas e intercambio de experiencias. Al hacerlo, necesitamos encontrar soluciones a los problemas relacionados con la privacidad, la protección de datos y las preocupaciones de reputación para que podamos mantener nuestro sistema financiero seguro.
Gracias.