El director del principal banco estadounidense habla de la “mayor amenaza al sistema financiero estadounidense”. Esto se refiere a los ciberataques. ¿Qué se puede hacer frente al constante bombardeo electrónico de los bancos?
A menudo, bastan unos pocos ceros y unos para paralizar una empresa.
Esta semana se celebran en Washington las reuniones de primavera del Fondo Monetario Internacional (FMI) y del Banco Mundial. La reunión es una etapa importante para discutir los problemas económicos globales a un alto nivel. Además del jefe del banco central, Thomas Jordan, participan dos consejeros federales por Suiza: la ministra de Finanzas, Karin Keller-Sutter, y el ministro de Economía, Guy Parmelin.
Los casos se han duplicado desde 2020
Desde la crisis financiera de 2008, un tema constante en las reuniones ha sido la cuestión de cómo fortalecer el sistema financiero. Durante años, la atención se ha centrado en los riesgos que surgen del aumento de la deuda y del trato con bancos de importancia sistémica. La amenaza de ciberataques a las instituciones financieras también se percibe cada vez más como un riesgo para la estabilidad financiera global.
El FMI está dedicado en su informe de estabilidad financiera actual por primera vez en ciberseguridad, y con razón. El número de ciberataques a bancos ha aumentado rápidamente en los últimos veinte años. Esto es especialmente cierto en comparación con la época anterior a la pandemia del coronavirus, cuando el teletrabajo y, por tanto, el acceso externo a la infraestructura TI de una empresa eran aún más raros. Según el FMI, los ciberataques casi se han duplicado desde 2020.
Esto demuestra que incluso los ataques aparentemente pequeños pueden tener consecuencias importantes. Un ejemplo es el ataque observado en noviembre de 2023 a la filial estadounidense del mayor banco chino, el Industrial and Commercial Bank of China. El ataque obligó a interrumpir brevemente la negociación de bonos del Estado americano. La limpieza se realizó manualmente. Y la creencia de que se puede comprar y vender en cualquier momento en el extremadamente líquido mercado de títulos del gobierno estadounidense se vio sacudida inesperadamente.
45 mil millones de eventos – por día
El sector financiero se ve más afectado por los riesgos cibernéticos que otros sectores. Según datos del FMI, casi una quinta parte de los incidentes cibernéticos reportados en las últimas dos décadas han afectado a la industria financiera, siendo los bancos los objetivos más comunes, por delante de las compañías de seguros y los administradores de activos. Las pérdidas directas reportadas por las empresas financieras debido a tales ataques han sido de casi 12 mil millones de dólares desde 2004 y 2,5 mil millones de dólares desde 2020.
El mayor banco estadounidense, JP Morgan, afirmó recientemente que registra hasta 45 mil millones de cibereventos sospechosos cada día. El director de JP Morgan, Jamie Dimon, considera que el peligro cibernético es «la mayor amenaza para el sistema financiero estadounidense». Esto a pesar de que el banco ha invertido alrededor de 15 mil millones de dólares en tecnologías relevantes. Además, emplea a 62.000 técnicos, muchos de los cuales se dedican principalmente a la ciberseguridad.
El FMI analizó 90.000 empresas de diversos sectores y 170.000 eventos cibernéticos. Esto muestra que las pérdidas directas reportadas debido a los ciberataques siguen siendo relativamente bajas. La pérdida mediana (la mitad es mayor, la mitad es menor) es de 0,4 millones de dólares, y en tres cuartas partes de todos los incidentes el total es inferior a 2,8 millones de dólares. Sin embargo, la distribución está muy distorsionada, sobre todo porque también se producen pérdidas de varios cientos de millones de dólares.
El riesgo de pérdidas extremas
Para el FMI está claro: la creciente frecuencia de los ciberataques aumenta el riesgo de “pérdidas extremas”, es decir, pérdidas de al menos 2.500 millones de dólares. Estos déficits pueden provocar rápidamente problemas de liquidez para las empresas y, posteriormente, poner en peligro su solvencia. La cantidad de pérdidas tan importantes se ha más que cuadriplicado desde 2017. Los costes indirectos, como el impacto en la reputación, ni siquiera se tienen en cuenta.
La vulnerabilidad del sector financiero parece ser particularmente grande. Si los clientes pierden la confianza en el banco debido a un ataque grave, esto puede desencadenar una corrida bancaria. El FMI escribe: “Aunque hasta la fecha no ha habido corridas cibernéticas significativas, nuestro análisis sugiere que los bancos estadounidenses más pequeños han experimentado salidas de depósitos modestas y algo sostenidas después de un ataque cibernético”.
Una mayor vulnerabilidad surge cuando los ataques apuntan a áreas críticas de la infraestructura financiera, como el sistema de pagos. En diciembre pasado, un ciberataque al banco central de Lesotho provocó que los bancos locales ya no pudieran realizar transacciones. Las cosas también se vuelven críticas cuando se ataca a proveedores de TI externos. En 2023, un ataque a un proveedor de servicios de TI en la nube provocó interrupciones en 60 cooperativas de crédito estadounidenses.
Silencio fatídico
En Suiza también está aumentando la conciencia sobre los riesgos. Eso es lo que dice en Informe de estabilidad financiera del Banco Nacional Suizo (SNB) que un ciberataque que perjudique gravemente la capacidad operativa de un banco de importancia sistémica también podría afectar a otras instituciones financieras – «debido a la interconexión de los bancos, pero también debido a una pura pérdida de confianza en el sistema financiero». El BNS también considera un riesgo las empresas tecnológicas que prestan servicios para muchos bancos al mismo tiempo.
¿Qué se puede hacer ante estos riesgos, que parecen estar en constante crecimiento como resultado de la digitalización y las crecientes tensiones geopolíticas? El FMI ve un gran potencial de mejora en la situación de los datos. Los incidentes a menudo no se denuncian o se denuncian tarde, probablemente también debido al estigma asociado a ellos. Este ocultamiento dificulta el intercambio de información. También hay demandas de que las autoridades supervisoras hagan que los jefes de los bancos sean más responsables de la gestión de la ciberseguridad.