"El principal foco de los supervisores está en asegurar la ciberseguridad de estos entornos y, en última instancia, en garantizar la ciberresiliencia de las entidades a los ataques que están sufriendo y que, de esta forma, el impacto hacia sus clientes sea el menor posible", explica a Invertia el socio responsable de Ciberseguridad de KPMG en España, Marc Martínez.

La banca lleva años inmersa en un proceso de digitalización que llega cada vez a más resquicios de su operativa con el objetivo de responder a las nuevas necesidades de los clientes, que son cada vez más digitales y menos analógicos. Esta evolución, con todo, entraña riesgos y vulnerabilidad.

Fachada del Banco de España en una imagen de archivo. Europa Press

Como apunta el experto de KPMG, "cuanto mayor es la migración de procesos de negocio desde entornos on-premise a entornos abiertos y colaborativos, los riesgos de afección al servicio aumentan exponencialmente".

De hecho, la vulnerabilidad de las entidades ante ciberataques externos ha aumentado durante la pandemia. El confinamiento de los primeros meses obligó a las entidades financieras a adaptarse a marchas forzadas a trabajar en remoto. Todo ello "sin considerar en exceso los nuevos riesgos que esto suponía". 

También obligó a las entidades a recurrir a nuevos proveedores, mover ciertos procesos a la nube o abrir nuevos canales de venta online, nuevas fórmulas que "implican nuevos riesgos que hay que identificar, valorar y mitigar", añade Martínez.

"El confinamiento y la tendencia al teletrabajo han sido un gran caldo de cultivo para los ciberataques", apunta a Invertia, por su parte, Patricio Barrios, vicepresidente de Servicios Financieros de NEORIS España.

Procesos críticos

Según explica, la suplantación de identidad con la intención de hacerse con las claves de la banca móvil o web de los usuarios ha sido el ataque más común, pero también se han producido otros más sofisticados, como la clonación de la tarjeta del móvil. "Y, aunque la tendencia de los ataques se redujo a partir del verano de 2020, las amenazas siguen siendo muy reales para el sector", añade.

Estas circunstancias han hecho saltar las alarmas de los supervisores. La subgobernadora del Banco de España, Margarita Delgado, advertía hace unos días de que las entidades cada vez utilizan más o, al menos, se plantean usar la nube para todo tipo de procesos, "incluso algunos que son críticos para la continuidad de su negocio".

"Los beneficios que promete esta tecnología (escalabilidad, flexibilidad o facilidad de aprovisionamiento) no deben hacernos olvidar los riesgos que entraña, como la pérdida de control o, incluso, de conocimiento de los propios procesos", apuntaba la número dos de la institución.

Para Martínez, de KPMG, el uso de servicios en la nube, por sí mismo, "no debería suponer que los bancos sean más vulnerables". "Incluso en algunos casos debería permitir gozar de unos niveles de seguridad más elevados pues, en general, los proveedores de servicios Cloud se preocupan de forma importante de que sus sistemas sean seguros", añade el experto.

Un cajero automático (Pixabay).

Eso sí, lo que está garantizando la regulación en el sector es que, de forma previa a cualquier migración a un proveedor de servicios en la nube, "se haga un exhaustivo análisis de riesgos y, por tanto, se determine cómo se van a minimizar los riesgos de que el negocio y sus clientes se vean impactados por esta migración", añade Martínez.

La subgobernadora del Banco de España señaló también como riesgo del elevado uso de la innovación el hecho de que es difícil captar y retener a los profesionales especializados en ciertas tecnologías, lo que hace que en ocasiones los bancos se vean obligados a depender de terceros.

Delgado también destacó el riesgo derivado del uso de soluciones inmaduras y el ciberriesgo, haciendo hincapié en que las campañas de phising se han incrementado durante la pandemia. De hecho, ya en la primavera del pasado año los bancos se esforzaron en intensificar sus campañas contra el fraude ante el aumento de los ataques.

El Banco de España no es el único supervisor que está atento a estos nuevos riesgos. La CNMV apunta en su Plan de Actividades para este año, presentado la pasada semana, que "resulta esencial prestar atención a los riegos que las nuevas tecnologías pueden entrañar en la prestación de servicios y desarrollar procesos para su gestión".

Avances regulatorios

El supervisor del mercado de valores tiene previsto entre sus actividades para 2021 redactar un informe de conclusiones sobre la supervisión del riesgo tecnológico, para lo que previamente recabará información de las entidades financieras a través de un cuestionario digital.

Esta iniciativa se enmarca en los nuevos avances regulatorios en relación con el riesgo tecnológico de las entidades financieras. Precisamente, este año verá la luz el Reglamento europeo sobre resiliencia operativa (DORA) para el sistema financiero, que será de aplicación tanto a bancos como a plataformas de criptoactivos y todo tipo de actores del sector y que pretende mitigar los riesgos tecnológicos en la actividad financiera.

Una regulación que se suma a las directrices que ESMA, el supervisor del mercado de valores europeo, ya publicó a finales del año pasado sobre el tema.

"El perímetro del sector financiero siempre ha estado perfectamente definido por los reguladores. Pero en un tiempo en el que nuevos players entran en el ecosistema financiero (neobancos, fintech, grandes tecnológicas) y en el que la velocidad de cambio e irrupción de nuevas tecnologías aumenta constantemente, existe el riesgo de que ciertos procesos clave se estén realizando sin el mismo rigor regulatorio que antes y muchas veces esto se debe a que la tecnología va más rápido que la norma", añade Barrios, de NEORIS España.

En este sentido, el experto destaca la conveniencia de la puesta en marcha del sandbox financiero, que se encuentra ya en pleno desarrollo de su primera edición, para la que ha recibido 67 solicitudes. Esta iniciativa ayudará a los reguladores a estar más al día en el uso de nuevas tecnologías en la banca y, con toda probabilidad, tener más armas para luchar contra el ciberriesgo financiero.