El sector financiero debe reforzar sus defensas colectivas.
Como la mayoría de los inversionistas, el gigantesco fondo soberano de Noruega (NBIM), que posee el equivalente al 1,5 por ciento de todas las empresas que cotizan en bolsa en el mundo, tiene mucho de qué preocuparse en una era en la que las valoraciones de los mercados se tambalean, las presiones de los costos aumentan en muchos sectores y la incertidumbre geopolítica aumenta en Ucrania y Taiwán. Aun así, ¿qué encabeza su lista de preocupaciones? Los 100.000 ciberataques que enfrenta el fondo cada año, según declaró Nicolai Tangen, director general de Norges Bank Investment Management, al Financial Times.
Si, como dijo Willie Sutton, los ladrones de bancos roban los bancos “porque ahí es donde está el dinero”, no es de extrañar que los delincuentes modernos recurran a los ciberataques contra las instituciones financieras, como el NBIM, y contra la infraestructura del mercado en general. El número de ataques de malware conocidos aumentó un 11 por ciento en el primer semestre del año, hasta alcanzar los 2,8 millardos, según el Informe sobre Amenazas Cibernéticas de SonicWall de 2022, siendo el sector financiero un blanco particularmente buscado.
Algunos expertos tecnológicos habían temido un ataque cibernético aun mayor por parte de Rusia luego de su invasión de Ucrania y la imposición de sanciones de represalia por parte de muchos países occidentales; esto aun puede materializarse. El desarrollo de computadoras cuánticas potentes, que amenazan con descifrar los métodos tradicionales de encriptación, puede añadir otra dimensión a la ciberamenaza algún día.
El aspecto más escalofriante de la advertencia del fondo noruego fue que los ciberataques podrían suponer un riesgo financiero sistémico. A medida que el sector financiero consolida en línea, aumenta la superficie vulnerable a los ataques cibernéticos. La OTAN impulsó sus capacidades de defensa informática, pero la alianza militar occidental debería apuntar más a trabajar con socios del sector privado. Del mismo modo, las pruebas de resistencia cibernética de Quantum Dawn, realizadas periódicamente por el sector de títulos valores de EEUU y que involucran a más de 900 participantes de todo el sector financiero, también podrían extenderse de forma útil a empresas más pequeñas e internacionales, reguladores y bancos centrales.
La lección que se desprende de estos ejercicios es que la eficacia de la ciberdefensa depende de que se asocien de manera activa gobiernos, agencias de seguridad y empresas del sector privado. También destacan que las redes suelen ser sólo tan fuertes como el eslabón más débil de la cadena. Esto hace que cada empresa financiera, y cada individuo dentro de esas empresas, tenga la responsabilidad de desempeñar su papel en el fortalecimiento de las defensas de la industria. En este sentido, hay demasiadas empresas que se quedan atrás.
Se pueden hacer tres cosas para mejorar la resiliencia colectiva. En primer lugar, hay que invertir más en desarrollo y despliegue de tecnologías de encriptación más seguras. Por ejemplo, se está avanzando mucho en la aplicación de técnicas de lo que se denomina como “cifrado homomórfico”, que pueden mejorar tanto la privacidad como la seguridad dado que permiten realizar cálculos sobre datos cifrados.
En segundo lugar, se podría pedir a las empresas de auditoría especializadas que examinen las prácticas de almacenamiento de datos y seguridad cibernética de sus clientes. Para algunas empresas, como los fabricantes de aviones y los operadores de centrales nucleares, el éxito de los ciberataques podría poner en peligro vidas y suponer un riesgo existencial para sus negocios. Los reguladores deberían saber mucho más sobre los riesgos que corren estas empresas. En tercer lugar, los inversionistas deberían interrogar más rigurosamente a las empresas en las cuales invierten sobre las medidas que toman para asegurar sus operaciones. Los accionistas también deberían insistir en que los consejos de administración de las empresas incluyan a directores con verdadera experiencia en cibernética.
Lamentablemente, dada la escala y la prevalencia de la ciberamenaza, lo único que se puede conseguir es minimizar el riesgo y no eliminarlo. Sin embargo, si se toman precauciones prudentes, se puede ayudar a evitar que los ataques esporádicos se conviertan en un peligro sistémico.
La Junta Editorial
Derechos de Autor – The Financial Times Limited 2021.
© 2021 The Financial Times Ltd. Todos los derechos reservados. Por favor no copie y pegue artículos del FT que luego sean redistribuidos por correo electrónico o publicados en la red.
Lea el artículo original aquí.