La banca española se prepara para un 2023 en el que el sector financiero será uno de los objetivos más codiciados por los ciberdelincuentes

En 2023, las IT especializadas en el sector financiero serán las más señaladas por los colectivos de delincuentes informáticos, según predice la compañía de origen español Panda Security. En ciberseguridad, un ataque a un eslabón compromete a toda la cadena de suministro. La banca española es consciente de ello y en 2022 ha acelerado en la adopción de medidas.

Europa ya tiene un Reglamento de Resiliencia Operativa Digital, DORA, por sus siglas en inglés. A finales de noviembre concluyó el proceso legislativo con la aprobación del texto por parte del Consejo de la Unión Europea, meses después de que el otro colegislador, la Eurocámara, hiciese lo propio. Ahora es cuestión de tiempo que la norma se transponga a cada país de la UE.

Mientras eso ocurre, las entidades financieras españolas ya están tomando nota: son conscientes de que los modelos de ciberseguridad con los que habían trabajado hasta ahora están a un paso de quedarse obsoletos. No por ineficaces, sino porque potencialmente podrían ser mucho más efectivos ante un mundo en el que el cibercrimen sigue creciendo y sofisticándose a un ritmo imparable.

CaixaBank, por ejemplo, anunciaba hace apenas unos días que se integraba en un consorcio europeo financiado con fondos Horizon para probar el despliegue de sistemas de inteligencia artificial en sus ciberdefensas. El consorcio recibe el nombre de AI4Cyber y a la entidad supone la creación de un equipo específico para estudiar en 3 años nuevas formas de responder a ciberamenazas.

Dicho equipo tendrá el foco puesto "en las oportunidades y riesgos que supone la aplicación de la inteligencia artificial" en tareas como la detección y prevención de ataques, así como a garantizar la resiliencia de sus sistemas críticos.

El reglamento DORA nace para establecer una serie de estándares y requisitos de seguridad en los sistemas de información del sector financiero y sus proveedores: desde operadores cloud a compañías de análisis de datos. 

"Crea un marco regulador sobre la resiliencia operativa digital conforme al cual todas las empresas deben asegurarse de que pueden resistir y responder a cualquier tipo de perturbación y amenaza relacionada con las tecnologías de la información, y recuperarse de ellas", resumía la propia oficina de prensa del Consejo semanas atrás.

Junto a la DORA y a iniciativas como AI4Cyber que nacen al calor de los fondos europeos, también hay que destacar los programas que pone en marcha el propio Banco Central Europeo y que replican en cada país miembro sus análogos. En el caso español, el Banco de España. TIBER-EU y TIBER-ES son marcos de trabajo que reconfiguran las estrategias de ciberseguridad fijadas en el sector.

Los programas TIBER que el BCE presentó a finales de 2021 y el Banco de España empezó a desplegar en 2022 vienen a perseguir la idea de reemplazar los ataques simulados y ensayados con Red Team. En la jerga de la seguridad informática, Red Team son los equipos de especialistas que simulan ataques a sus clientes para comprobar sus defensas.

El problema que detectaba el BCE y expertos de la industria cíber es que esos trabajos de Red Team habían acomodado a sus usuarios: a menudo, la posibilidad de entrenar la defensa de ataques muy concretos hacía que la seguridad frente a otro tipo de amenazas se viera mermada. 

La propuesta TIBER del BCE quiere que este tipo de ataques 'simulados' sean más feroces. Y, en consecuencia, más eficaces. Si un Red Team —interno o de un proveedor— se limita a atacar aquellos perímetros en los que una entidad financiera quiere auditar sus defensas, en realidad está comprobando sus fortalezas, pero ignorando sus debilidades.

Programas como TIBER-EU o TIBER-ES, o la participación de CaixaBank en el consorcio AI4Cyber, ayudarán a todo el sector financiero español y europeo a adaptarse mejor al reglamento DORA, cuya transposición podría llegar durante los próximos meses, y que eleva los requisitos de resiliencia a todo el sector.

Las ciberamenazas continúan multiplicándose, y los datos del Observatorio de Auiken Cybersecurity desgranaba hace escasas semanas cómo el sector financiero concentró 1 de cada 3 ciberataques con ransomware —cifrado y secuestro de información— que se produjeron en España a lo largo de 2022. La guerra en Ucrania ha intensificado la actividad maliciosa en la red.

Las previsiones de los expertos para 2023 no son demasiado halagüeñas en sentido, si bien el CISO global de Google Cloud avanzó que la nube seguirá transformándose en una suerte de "sistema inmune global" al que las entidades querrán conectarse. 

2022 ha mostrado cómo los ciberataques han puesto en jaque a países enteros, e incidentes como ese se verán más a menudo en los próximos meses.