El BCE insta a los bancos a mejorar su ciberresiliencia: se detecta margen de mejora

El Banco Central Europeo insta a los bancos a mejorar su preparación y recuperación ante grandes ciberataques. En su primera prueba para evaluar la vulnerabilidad del sector financiero ante la creciente amenaza de los hackers, el BCE encontró importantes oportunidades de mejora en la capacidad de los bancos para responder a tales escenarios. La prueba de estrés del BCE reveló que, aunque ya existen marcos de respuesta y recuperación altamente desarrollados, todavía queda margen para mejoras. Así lo subrayó Anneli Tuominen, miembro del consejo de supervisión del BCE, que supervisa las principales instituciones financieras de la zona euro. En los últimos dos años, los bancos occidentales en particular han experimentado un aumento de ciberataques. Esto se debe en parte a hackers rusos que actúan en respuesta a las sanciones impuestas como consecuencia de la guerra en Ucrania. Además, el uso de la inteligencia artificial ha aumentado la cantidad y la complejidad de los ataques. Tuominen destacó la importancia de la ciberresiliencia y se refirió a una falla global de TI en CrowdStrike, que demostró cómo los incidentes en una institución pueden afectar a múltiples sectores. El BCE enfatizó que su prueba evaluó la respuesta de los bancos ante un ataque de hackers exitoso y no su capacidad de prevención. Participaron en la prueba 109 bancos, cuyos niveles de respuesta ante ciberataques severos fueron evaluados mediante cuestionarios y requisitos de documentación. En 28 de los bancos, que representaban un corte transversal del sector, se realizaron pruebas adicionales, incluidas pruebas de recuperación de TI y visitas in situ por parte de oficiales de supervisión del BCE. Los resultados de la prueba se incorporarán al proceso anual de revisión y evaluación supervisora del BCE, que evalúa los riesgos de cada banco y establece los requisitos de capital. Sin embargo, no se espera que tenga un impacto directo en la cantidad de capital requerida. Además de la planificación de la gestión de crisis y la continuidad del negocio dentro de los bancos, también se evaluó su capacidad de comunicación con partes externas, como clientes, autoridades policiales y proveedores de servicios. Estos debían demostrar que podían implementar medidas de contingencia y recuperar datos críticos, así como colaborar con proveedores terceros importantes. El BCE señaló que los supervisores han proporcionado comentarios individuales a cada institución y continuarán acompañándolas en consecuencia. Algunos bancos ya han iniciado medidas para corregir las deficiencias identificadas en la prueba. La detección y corrección de vulnerabilidades en la resiliencia operativa de los bancos, especialmente en lo referente a los riesgos cibernéticos, sigue siendo una tarea prioritaria para la supervisión bancaria del BCE durante los próximos dos años, tras haberse constatado un notable aumento en la cantidad y sofisticación de los ataques de hackers. En octubre, Lloyd's of London advirtió que un ataque cibernético significativo a un sistema de pagos global podría costar a la economía mundial 3,5 billones de dólares. A principios de año, el mayor banco de España, Santander, fue golpeado por un ciberataque que afectó a datos de clientes en España, Chile y Uruguay. Unas semanas después, datos de millones de clientes y empleados, incluidos números de cuenta y de tarjetas de crédito, fueron puestos a la venta en un foro de hackers. Según la empresa de ciberseguridad Sophos, la cantidad de ataques de ransomware en la industria financiera aumentó un 64 por ciento el año pasado en comparación con el año anterior. En noviembre, la sucursal neoyorquina del mayor banco de China, ICBC, fue objetivo de un ataque de ransomware que perturbó el mercado de bonos del Tesoro estadounidense de 25 billones de dólares.