martes, 23 de octubre de 2018

Cómo un ciberataque podría causar la próxima crisis financiera

Desde que la bancarrota forzada del banco de inversión Lehman Brothers desencadenó la crisis financiera hace 10 años, los reguladores, gestores de riesgos y banqueros centrales de todo el mundo se han orientado en la capacidad de los bancos para resistir los impactos financieros.
Pero la próxima crisis podría no provenir de un choque financiero. El más probable sospechoso sería un ataque cibernético que causaría problemas en las capacidades de los servicios financieros en todo el mundo, especialmente en los sistemas de pagos.

Los delincuentes siempre han buscado formas de infiltrarse en los sistemas de tecnología financiera. Ahora, el sistema financiero enfrenta el riesgo adicional de convertirse en un daño colateral de un ataque más amplio contra las infraestructuras críticas a nivel nacional. Ese tipo de ataque podría debilitar la confianza en el sistema global de servicios financieros, causando que los bancos, las empresas y los consumidores se encuentren bloqueados, confundidos o en pánico, lo que a su vez podría causar un gran impacto negativo en la actividad económica.
Según un reciente análisis realizado por nuestra compañía, los delitos informáticos por sí solos les cuestan a los países más de 1 billón de dólares en todo el mundo, mucho más del récord de 300 mil millones de dólares (casi 260 mil millones de euros) en daños ocasionados por desastres naturales en 2017. Calificamos a los ciberataques como la mayor amenaza que enfrenta el mundo empresarial hoy en día, por delante del terrorismo, las burbujas de activos y otros riesgos.
Un ataque a una red informática de procesamiento o de comunicaciones podría causar entre 50.000 y  120.000 millones de dólares (entre 43.000 y 103.000 millones de euros) en daños económicos, unas pérdidas parecidas a las de los huracanes Sandy y Katrina, según algunas estimaciones recientes. Es más, un ataque mucho más amplio y debilitante no es algo imposible. El mes pasado, el Buró Federal de Investigaciones de EE.UU. emitió una advertencia a los bancos porque esperaban un ataque a gran escala conocido como la "retirada de efectivo" de cajeros automáticos, en el que oleadas de retiradas fraudulentas y sincronizadas agotarán las cuentas bancarias. En julio, además, se reveló que los hackers que trabajaban para Rusia habían penetrado fácilmente en las salas de control de los servicios eléctricos de EE. UU. y podían haber causado apagones.
¿Cómo podría desencadenarse una crisis financiera causada por un ciberataque? Un posible escenario sería un ataque por parte de algún país que no se adhiere a las normas internacionales  o de un grupo terrorista contra instituciones financieras o infraestructuras importantes. En Corea del Norte, por ejemplo, el Grupo Lazarus, también conocido como Hidden Cobra, busca sistemáticamente formas de comprometer a los bancos y de explotar las criptomonedas. Un ataque a un banco, a un fondo de inversión, a una empresa de depósitos, a la red de cajeros automáticos, a la red de mensajería interbancaria conocida como SWIFT o a la propia Reserva Federal de EE.UU. representaría un golpe directo al sistema de servicios financieros.
Otra posibilidad sería si un así llamado hacktivista o aficionado "script kiddy" utilizara programas maliciosos para lanzar un ciberataque sin la debida consideración de las consecuencias. Ese tipo de ataque podría provocar una reacción en cadena, causando daños mucho más allá de lo imaginado al principio, porque las reglas, las normas de batalla y los principios convencionales en la mayoría de las situaciones de guerra, no existen de manera significativa en la arena digital. Por ejemplo, en 2016, un script kiddie provocó un generalizado ataque de corte de servicio que afectó a Twitter, Spotify y a otros conocidos servicios de internet ya que estos aficionados se unieron con fines maliciosos.
No importa si un gran ataque cibernético es deliberado o quizás accidental, el daño podría ser importante. La mayoría de las redes de cajeros automáticos de América del Norte podrían congelarse. La tarjeta de crédito y otros sistemas de pago podrían fallar en países enteros, como sucedió con la red VISA en Reino Unido en junio. La banca online podría volverse inaccesible: sin efectivo, sin pagos, sin información fiable sobre las cuentas bancarias. Los bancos perderían la capacidad de realizar transacciones entre ellos durante un período crítico de incertidumbre. Podría haber un pánico generalizado, aunque temporal.
Algo así quizás no causaría el tipo de crisis financiera a largo plazo que desencadenó la Gran Depresión, porque es probable que los bancos y los proveedores de pagos recuperen el dinero cuando los sistemas vuelvan a estar online. Al mismo tiempo, no está claro cómo el banco central, el bombero tradicional de una crisis financiera, podría responder a este tipo de crisis a corto plazo. Una vez resuelto el problema y detenida la crisis, surgiría una desalentadora tarea de recuperación. Sería aún más difícil si los datos fueran dañados, manipulados o inaccesibles.
¿Cómo podemos prevenir este escenario? Las empresas deben implementar sistemas que les permitan detener la propagación de un contagio de ataque cibernético y reanudar las operaciones de la manera más rápida y fluida posible. La industria de los servicios financieros debe totalmente coincidir y estar preparada para practicar estrategias coordinadas de respuesta y recuperación para evitar averías sistémicas. Los reguladores en muchos países han trabajado con diligencia para prepararse y reducir los ciberataques, pero deben mirar más allá de sus fronteras e introducir normas, leyes y marcos cooperativos conjuntamente, como la Directiva para la Seguridad de Redes y Sistemas de Información de la Unión Europea, que está diseñada para proteger una lista cada vez mayor de infraestructuras críticas desde sistemas bancarios y de atención médica a mercados electrónicos y servicios en la nube.
Muchas de estas medidas se están llevando a cabo a diversos niveles. Pero es necesario hacer más. Un ataque que debilita la confianza en esas máquinas también podría tener consecuencias prejudiciales en el flujo de dinero entre consumidores, empresas e instituciones financieras de todo el mundo.

Un artículo escrito por