Observaciones introductorias de Fabio Panetta, miembro del Comité Ejecutivo del BCE, en la reunión del Consejo de Ciber resiliencia del euro para las infraestructuras financieras paneuropeas
La proliferación de actores de amenazas cibernéticas combinada con un aumento en el trabajo remoto y una mayor interconexión digital está aumentando el riesgo, la frecuencia y la gravedad de los ataques cibernéticos. Cada vez más, los ciberdelincuentes están lanzando ataques de ransomware y exigiendo el pago en criptomonedas. Los ataques cibernéticos relacionados con los desarrollos geopolíticos, la agresión de Rusia contra Ucrania en particular, también se han convertido en una característica más común del panorama de amenazas cibernéticas.
El Consejo Europeo de Ciber resiliencia para las infraestructuras financieras paneuropeas (ECRB) ha desempeñado un papel clave en la protección de la seguridad e integridad del sistema financiero frente a estas amenazas. Los últimos tres años han demostrado que podemos trabajar en condiciones adversas hacia un objetivo común. Nuestras infraestructuras financieras han demostrado su resistencia a las amenazas cibernéticas. Pero esto no significa que podamos volvernos complacientes o menos vigilantes frente a las amenazas cibernéticas. Simplemente no podemos permitirnos quedarnos atrás: la ciberseguridad debe ser la columna vertebral de las finanzas digitales.
Hoy haré balance del trabajo del ECRB. Luego discutiré las amenazas cibernéticas actuales y los riesgos emergentes antes de esbozar las implicaciones para nuestro trabajo en el futuro.
La contribución del Consejo Europeo de Ciber resiliencia
El ECRB reúne a partes interesadas privadas y públicas de infraestructuras financieras paneuropeas, proveedores de servicios críticos, bancos centrales y otras autoridades. Esto ofrece un prisma único a través del cual el ECRB puede identificar y corregir cualquier debilidad que los ciberataques podrían explotar para propagarse, lo que a su vez causaría ondas sistémicas en todo el ecosistema financiero europeo.
Permítanme dar tres ejemplos de por qué el ECRB es un foro tan útil para la cooperación.
En primer lugar, en el ámbito del intercambio de información, la Iniciativa de Intercambio de Información e Inteligencia Cibernética del ECRB (CIISI-UE) Permite a los miembros intercambiar información sobre amenazas cibernéticas y mitigación en un entorno grupal seguro y confiable.
En segundo lugar, el ECRB ha establecido un protocolo de coordinación de crisis que facilita la cooperación y la coordinación, permitiendo a los miembros intercambiar y responder a las principales amenazas e incidentes cibernéticos.
En tercer lugar, en el ámbito de la formación y la sensibilización, la ECRB lleva a cabo evaluaciones conjuntas y sesiones de formación para aumentar el conocimiento y la comprensión comunes. Un pilar clave de la estrategia cibernética del BCE para las infraestructuras financieras es el marco TIBER-UE para las pruebas de penetración basadas en amenazas, también conocido como red teaming. En junio de 2022, el ECRB organizó una mesa redonda dedicada a TIBER-EU en la que los miembros compartieron su experiencia en este tipo de ejercicios.
En vista de su papel sistémico en el sistema financiero, seguiremos centrándonos en las infraestructuras financieras paneuropeas. No obstante, las infraestructuras financieras son cada vez más interdependientes a través de vínculos horizontales y verticales y participantes comunes. También dependen de la tecnología de la información y la comunicación y de proveedores de servicios externos. Como resultado, estas infraestructuras están expuestas a riesgos y vulnerabilidades comunes a través de los cuales los ciberataques podrían propagarse rápidamente si no se gestionan rigurosamente. El ECRB nos permite unir fuerzas para abordar estos riesgos a nivel sectorial.
Adaptación a un panorama de amenazas cibernéticas en constante cambio
Permítanme ahora pasar al panorama de las amenazas cibernéticas.
Las amenazas son cada vez más complejas. Los ataques recientes requieren una vigilancia constante a nivel operativo y la reevaluación continua de los marcos regulatorios y de supervisión para ver si es necesario actualizarlos. Cambios significativos pero impredecibles pueden ocurrir en cualquier momento. Por lo tanto, debemos estar preparados para comprenderlos y adaptarnos rápidamente para mitigar la susceptibilidad del ecosistema financiero a los ciberataques.
El ECRB ha identificado los ataques a la cadena de suministro y el ransomware como amenazas clave en el entorno actual, y la inteligencia artificial (IA) como una amenaza emergente. También hemos sido testigos de cómo los acontecimientos geopolíticos, más recientemente la agresión de Rusia contra Ucrania, han armado el ciberespacio. Los ejemplos más destacados son los ataques distribuidos de denegación de servicio (DDoS) contra entidades gubernamentales y financieras.
Permítanme discutir las principales amenazas actuales y emergentes con más detalle.
Ataques a la cadena de suministro
La dependencia del ecosistema financiero de productos y servicios de terceros es un riesgo clave, especialmente cuando las entidades financieras les subcontratan funciones críticas. Un ataque a estos terceros o a sus productos y servicios puede perturbar y dañar las infraestructuras financieras que dependen de ellos, con efectos indirectos a entidades interconectadas.
Cuando dichos productos y servicios de terceros se utilizan ampliamente en el ecosistema financiero, un ciberataque puede tener efectos generalizados, posiblemente sistémicos, al tener un impacto en múltiples entidades financieras a la vez. Es por eso que los actores de amenazas cibernéticas se dirigen a estos terceros. Al hacerlo, pueden comprometer a numerosas entidades financieras simultáneamente.
El reciente ataque cibernético al proveedor externo ION Cleared Derivatives muestra cómo un ataque a un proveedor de software puede caer en cascada sobre sus clientes. En este caso específico, las interrupciones en la negociación y compensación de derivados financieros siguieron siendo limitadas, pero no podemos ignorar escenarios en los que los ataques podrían haberse propagado rápidamente, perturbando el sistema financiero.
Este caso señaló la necesidad de que las entidades financieras revisen sus proveedores externos, los proveedores de estos terceros, sus niveles de resiliencia cibernética y el impacto sistémico que puede derivarse de un ataque cibernético a cualquiera de estos proveedores. En particular, es vital evaluar las dependencias de servicios críticos de productos y servicios de terceros que podrían interrumpirse o incluso terminarse como resultado de un ataque cibernético. Es necesario adoptar medidas de mitigación.
En este contexto, el G7 actualizó recientemente sus Elementos Fundamentales para la Gestión de Riesgos Cibernéticos de Terceros en el Sector Financiero. Además, el ECRB estableció un grupo de trabajo en 2022 para apoyar la gestión de riesgos cibernéticos de terceros.
Debemos tener una mentalidad de resiliencia cibernética en todo momento. La pregunta que debemos hacernos no es si ocurrirá un ataque cibernético, sino si estamos listos para responder cuando ocurra. Durante el año pasado, el ECRB ha trabajado en un modelo conceptual de cómo el ecosistema de infraestructura financiera podría manejar tal crisis si ocurriera. También ha desarrollado protocolos y redes destinados a apoyar una respuesta colectiva, coherente e integral a una crisis cibernética por parte de las partes interesadas.
Ransomware
La proliferación del ransomware es uno de los retos más importantes a los que se enfrentan actualmente las entidades financieras. Los ataques de ransomware no solo pueden provocar pérdidas financieras, sino que también pueden interrumpir gravemente las operaciones. Incluso después de pagar un rescate, no hay garantía de que la clave de descifrado realmente funcione o que los datos robados no se divulguen públicamente o se utilicen indebidamente para extorsionar a los clientes de las víctimas, por ejemplo.
Los ataques de ransomware son cada vez más sofisticados y dañinos, lo que a su vez puede permitir a los actores de amenazas de ransomware obtener aún más recursos. 2022 fue uno de los años más activos para la actividad de ransomware. Sin embargo, también fue el primer año que la mayoría de las víctimas de ataques de ransomware decidieron no pagar, lo que indica que el enfoque hacia los ataques de ransomware está cambiando.
Las autoridades de todo el mundo están intensificando sus esfuerzos para contrarrestar el ransomware. Por ejemplo, el G7 emitió los Principios fundamentales sobre la resiliencia del ransomware en octubre de 2022.
Tenemos que abordar los ataques de ransomware desde varios ángulos.
En primer lugar, todas las empresas deben estar preparadas para repeler los ataques de ransomware, ya sea mediante el uso de prácticas adecuadas de higiene cibernética o asegurando que los datos se respalden regularmente y se mantengan actualizados y a prueba de manipulaciones.
En segundo lugar, los organismos encargados de hacer cumplir la ley deben realizar análisis forenses, localizar a los atacantes y unir fuerzas para procesarlos.
En tercer lugar, los criptoactivos, especialmente los criptoactivos sin respaldo, que se utilizan para realizar pagos de ransomware debido al anonimato y las posibilidades de lavado de dinero que ofrecen. – necesitan ser estrictamente regulados. Del mismo modo, las transferencias de criptoactivos deben ser rastreables.
La propuesta de Reglamento de la UE para los mercados de criptoactivos (MiCA) y la revisión del Reglamento sobre la información que acompaña a las transferencias de fondos, que amplía la «regla de viaje» Para los criptoactivos, son pasos importantes. Sin embargo, para ser eficaz y evitar el arbitraje regulatorio, la regulación debe intensificarse a nivel mundial. Por lo tanto, la implementación de la guía del Grupo de Acción Financiera Internacional (GAFI) para los criptoactivos y su aplicación a nivel internacional son cruciales.
Además, todas las empresas deben tener el más alto nivel de controles cibernéticos para evitar que los ataques tengan éxito y para detectar y recuperarse de los ataques de ransomware. Además, las compañías de seguros pueden prestar su apoyo obteniendo garantías de sus clientes de que tienen planes de resiliencia cibernética de alto nivel antes de proporcionar pólizas de seguro de riesgo cibernético, asegurando así que estas mismas políticas no reduzcan los incentivos de las empresas para prepararse para los ataques cibernéticos.
Inteligencia Artificial (IA)
Aunque no nos demos cuenta, el uso de la inteligencia artificial (IA) ya está muy extendido. Usamos IA todos los días, incluso en nuestros teléfonos, en nuestros hogares y en el lugar de trabajo. Y las empresas lo utilizan para aprovechar el big data.
La IA puede ayudar a fortalecer la ciberseguridad, por ejemplo, mejorando la detección de ciberataques altamente sofisticados a través de su capacidad para identificar el comportamiento anormal del sistema en comparación con una línea de base establecida. Este es el tipo de potencial que necesitamos aprovechar.
Pero la IA también puede multiplicar los riesgos cibernéticos, por ejemplo, ayudando a las personas malintencionadas, incluso a aquellas que tienen habilidades técnicas limitadas o nulas, a redactar correos electrónicos de phishing muy convincentes o identificar temas que lograrán el máximo compromiso de los destinatarios. Para empeorar las cosas, la IA puede incluso crear y corregir código que se puede utilizar para explotar y comprometer el punto final. Esto abre nuevas posibilidades para que las personas malintencionadas utilicen la IA para lanzar ciberataques. Aunque las empresas de desarrollo de IA intentan instalar salvaguardas para evitar su uso poco ético, pueden ser eludidas.
Los riesgos de la IA deben entenderse claramente y abordarse a través de la regulación y la supervisión. Mediante el intercambio de información entre sus miembros y la organización de mesas redondas y formación, la ECRB se encuentra en una posición sólida para crear conciencia sobre los riesgos en una etapa temprana y acumular conocimiento de este tipo de amenazas. Por su parte, la Comisión Europea ha propuesto un Reglamento sobre inteligencia artificial que tiene como objetivo abordar algunos de los riesgos clave asociados con la IA.
Conclusión
Como nos dimos cuenta hace algunos años, las amenazas cibernéticas están aquí para quedarse. Existen muchos actores de amenazas altamente adaptables que intentarán explotar sistemáticamente cualquier debilidad o vulnerabilidad con fines ilegales. Las amenazas existentes son cada vez más peligrosas y nuevas amenazas están en el horizonte. Por lo tanto, debemos adaptar nuestros marcos operativos y de ciber resiliencia constantemente a nivel individual y colectivo a través de una estricta regulación, aplicación y enjuiciamiento. La futura cooperación entre instituciones públicas y privadas también será crucial. El ECRB puede hacer una contribución decisiva a este esfuerzo en relación con el sistema financiero.