finanzas y tecnología

El Banco de España inspeccionó a cuatro entidades por riesgo de ciberataques

El supervisor español, en su primer año bajo el mandato del BCE, ha reforzado su equipo de inspectores 'cibernéticos'.

Sede del Banco de España en Madrid.

Sede del Banco de España en Madrid. Reuters

  1. Ciberseguridad
  2. INCIBE (Instituto Nacional de Ciberseguridad)
  3. Banca
  4. Internet

Es un tema tabú en el sector financiero, que tradicionalmente vive de la confianza de sus clientes a la hora de ‘guardar’ su dinero. Es en lo que se basa su modelo de negocio. Por eso, cualquier señal de inseguridad se convierte en su tarea prioritaria a resolver para los bancos y en objeto de máxima vigilancia para los supervisores. Este miércoles, un grupo anónimo tumbó la web del Banco de Grecia tras lanzar un ataque de DDoS (denegación masiva por saturación de tráfico). No es el primero de los ‘crackeos’ a la banca, ni será el último. De hecho, cada día se suceden cientos de ellos y algunos también en España.

El Banco Central Europeo (BCE) y el Banco de España lo han convertido en una prioridad absoluta en el primer año de actividad del Mecanismo Único de Supervisión (MUS), debido al creciente número de ciberataques en el sector. Por primera vez, el instituto que gobierna Luis María Linde detalla el número de auditorías de ciberseguridad y sistemas tecnológicos realizadas en España. En 2015 fueron dos las entidades españolas que recibieron la visita del equipo especial de inspectores del Banco de España para verificar la resiliencia de sus sistemas informáticos y otros dos bancos están siendo auditados ahora por este motivo, según consta en la Memoria de Supervisión del instituto emisor.

“Tras los ciberataques sufridos por dos bancos finlandeses a finales de 2014, el MUS consideró el ciberriesgo como uno de sus objetivos supervisores (...) En este contexto, el personal del Banco de España experto en esta materia ha finalizado en 2015 dos actuaciones 'in situ' sobre este riesgo y ha comenzado otras dos revisiones temáticas de ciberseguridad, que terminarán en 2016”, explica el Banco de España, que declinó identificar a las cuatro entidades financieras ya que tiene el anonimato por norma. No obstante, sí confirmó que es la primera vez que se detalla este tipo de actuaciones del supervisor en materia tecnológica. En este sentido, matizan a este diario que los bancos auditados por riesgo cibernético fueron seleccionados de forma “aleatoria” y no porque tuviesen “mayor o menor riesgo” de ciberataques.

En este sentido, los encargados de realizarlas son, desde la puesta en marcha del MUS, los llamados equipos conjuntos de supervisión (Joint Supervisory Teams o JST), que están dirigidos por personal del BCE y de los que forma parte el Banco de España. Son 14 equipos distintos compuestos por unos 220 inspectores y técnicos, de los que el 70% los aporta el supervisor español. Según se explica en la memoria, los objetivos de estas auditorías son tres: gobernanza, carteras de financiación y riesgo cibernético.

Sobre este último, el Banco de España esboza cómo es su protocolo de actuación para poner a prueba los sistema tecnológicos bancarios. En primer lugar, los inspectores evalúan el perfil de riesgo de la entidad ante amenazas externas por medios informáticos y su capacidad para hacer frente a estas amenazas. Segundo, tratan de identificar las buenas prácticas en el MUS (Mecanismo de Supervisión) entre entidades similares; y tercero, construyen las acciones correctoras.

“Como resultado de esta revisión, se pusieron de manifiesto algunas debilidades en la seguridad, en particular en aquellas entidades que han estado inmersas en procesos de fusión. Además, se pusieron en marcha inspecciones 'in situ' que condujeron a la emisión de recomendaciones. Toda la información obtenida tras esta revisión servirá para un posterior desarrollo de la metodología que se aplicará en la revisión del riesgo cibernético”, apunta el supervisor.

Seguridad y créditos

La banca, inmersa en un proceso de digitalización que le ha llevado a abrir parte de sus sistemas a sus clientes finales y, con ello, ha abierto la puerta a los ‘ciberamigos de lo ajeno’. “Puedes cerrar todas las puertas, poner todos los cortafuegos del mundo y tener los mejores equipos, pero basta con que un empleado o cliente abra un email con un archivo malware para que tus sistemas queden expuestos”, señaló en una conferencia sectorial el responsable de seguridad de un gran banco.

El Instituto de Ciberseguridad (Incibe), que depende del Gobierno, contabilizó el año pasado más de 45.000 incidentes relacionados con vulnerabilidades en empresas y bancos, a razón de 123 cada día. Una tarea que, para algunos responsables de sistemas y seguridad, a veces se convierte en tarea imposible mantener a buen través de empleados o clientes se han convertido en prioridad absoluta para la banca y también para los supervisores.

Las auditorías sobre ciberseguridad forman parte un grupo más amplio de actuaciones del Banco de España en 2015 en otras áreas. En total, se realizaron 35 inspecciones ‘in situ’ de entidades financieras, de las que 32 fueron lideradas por personal de Banco de España, y las 3 restantes, por un responsable del BCE. De entre las más destacadas, el supervisor destaca sus actuaciones en materia de transparencia en la concesión de créditos hipotecarios y la revisión de las llamadas ‘cláusulas suelo’, que limitan el abaratamiento de los préstamos pese a que las condiciones de mercado así lo estipulen.

En este sentido, el Banco de España abrió en 2015 hasta ocho inspecciones ‘in situ’ a entidades de crédito, que representaban casi dos de cada tres (61,14%) de las hipotecas en España. “Al cierre del ejercicio 2015, dichas inspecciones estaban en pleno desarrollo y, dados el amplio alcance y los diversos aspectos de verificación que implican, su duración se ha prolongado, en algunos casos, hasta el segundo trimestre de 2016”, explica el Banco de España.