Es necesario fortalecer los regímenes normativos y de supervisión para hacer frente al riesgo cibernético, y los esfuerzos deben centrarse en el establecimiento de prácticas de supervisión eficaces, pruebas de vulnerabilidad y recuperación, y planes de contingencia que sean realistas.
Así se expresa Christine Lagarde, directora gerente del Fondo Monetario Internacional (FMI), en un documento colgado de la web de la institución.
Según Lagarde, se debe profundizar la labor tendiente a entender cómo fortalecer la resiliencia de las instituciones e infraestructuras financieras, tanto para reducir las posibilidades de éxito de un ataque cibernético como para facilitar una recuperación rápida y sin contratiempos.
A continuación, el artículo:
Estimación del riesgo cibernético en el sector financiero
Por Christine Lagarde
El riesgo cibernético se ha convertido en una amenaza importante para el sistema financiero. Un estudio basado en modelos realizado por el personal técnico del FMI estima que, en promedio, las pérdidas anuales de las instituciones financieras causadas por ataques cibernéticos podrían llegar a varios cientos de miles de millones de dólares, lo que representa un deterioro de las ganancias bancarias y una amenaza para la estabilidad financiera.
Incidentes recientes demuestran que la amenaza es real. Ataques exitosos ya han producido filtraciones de datos que han permitido a los delincuentes acceder a información confidencial y cometer fraudes, como el robo de USD500 millones al agente de cambio de criptomoneda Coincheck. Además, existe la amenaza de que una institución atacada quede impedida de operar.
No sorprende entonces que las encuestas muestren constantemente que los gestores de riesgo y otros directivos de las instituciones financieras se preocupan principalmente por los ataques cibernéticos, como se ilustra en el siguiente gráfico.
Vulnerabilidad del sector financiero
El sector financiero es particularmente vulnerable a los ataques cibernéticos. Las instituciones financieras son blancos interesantes por su función vital en la intermediación de fondos. Un ataque cibernético exitoso contra una institución podría propagarse rápidamente a través del sistema financiero, ya que está sumamente interconectado. Muchas instituciones siguen empleando sistemas más antiguos, que podrían no resistir a los ataques cibernéticos. Además, un ataque exitoso puede tener consecuencias sustanciales directas por las pérdidas financieras causadas, pero también costos indirectos, como el perjuicio a la reputación.
Algunos casos recientes de gran notoriedad han introducido progresivamente al riesgo cibernético en el orden del día del sector oficial, e incluso de los organismos internacionales. Pero el análisis cuantitativo de este riesgo aún está en sus albores, especialmente debido a la falta de datos sobre el costo de los ataques y las dificultades para modelarlo.
Un estudio reciente del FMI provee un marco para analizar las pérdidas que pueden resultar de los ataques cibernéticos, especialmente en el sector financier.
Estimación de las posibles pérdidas
El marco del modelo usa técnicas obtenidas de las ciencias actuariales y la medición del riesgo operativo para estimar las pérdidas acumuladas como consecuencia de los ataques cibernéticos. Esto requiere evaluar la frecuencia de los ataques a las instituciones financieras y formarse una idea de la distribución de las pérdidas resultantes de estos incidentes. Luego se pueden utilizar simulaciones numéricas para estimar la distribución de las pérdidas acumuladas causadas.
Ilustramos nuestro marco empleando un conjunto de datos que incluyen las pérdidas recientes por ataques cibernéticos en 50 países. Así se ejemplifica una forma de estimar las posibles pérdidas de las instituciones financieras. Esta labor es compleja y se dificulta aún más debido a las importantes carencias de los datos sobre el riesgo cibernético. Además, afortunadamente, todavía no ha habido un ataque exitoso a gran escala contra el sistema financiero.
Por ende, nuestros resultados deben considerarse como un simple ejemplo. Si se toman en sentido literal, indican que el promedio de las posibles pérdidas anuales resultantes de los ataques cibernéticos puede ser significativo y ubicarse en el orden del 9% de los ingresos netos de los bancos a nivel mundial, es decir, unos USD 100.000 millones. En un caso hipotético de gravedad, en que la frecuencia de los ataques cibernéticos fuera dos veces superior a la registrada hasta ahora y con un mayor contagio, las pérdidas podrían ser 2½–3½ veces mayores, o sea, ascender a un monto de entre USD 270.000 millones y USD 350.000 millones.
El modelo podría usarse para analizar hipótesis extremas de riesgo que representen ataques a gran escala. La distribución de los datos que hemos reunido indica que en estas hipótesis, que representan el peor 5% de los casos, las posibles pérdidas podrían ascender en promedio a la mitad del ingreso neto de los bancos, lo que pondría en riesgo al sector financiero.
Estas pérdidas estimadas tienen una magnitud varias veces superior al tamaño actual del mercado de seguros para riesgos cibernéticos. A pesar de su crecimiento reciente, este mercado sigue siendo pequeño, con primas que en 2017 ascendieron a USD 3.000 millones a nivel mundial. La mayoría de las instituciones financieras ni siquiera cuenta con seguros de este tipo. La cobertura es limitada y las aseguradoras enfrentan dificultades a la hora de evaluar el riesgo debido a la incertidumbre sobre la exposición, la falta de datos y los posibles efectos de contagio.
El camino a seguir
Hay un amplio margen para mejorar las evaluaciones de riesgo. La recopilación por parte de los gobiernos de datos más granulares, firmes y completos sobre la frecuencia y los efectos de los ataques cibernéticos ayudaría a evaluar el riesgo para el sector financiero. Se prevé que los requisitos de declaración de filtraciones, como los considerados en el marco del Reglamento General de Protección de Datos de la UE, ayuden a tener un mayor conocimiento de los ciberataques. Se podría utilizar el análisis de casos hipotéticos para evaluar integralmente la forma de propagación de los ataques cibernéticos y para idear respuestas adecuadas de las instituciones privadas y los gobiernos.
También se debe profundizar la labor tendiente a entender cómo fortalecer la resiliencia de las instituciones e infraestructuras financieras, tanto para reducir las posibilidades de éxito de un ataque cibernético como para facilitar una recuperación rápida y sin contratiempos. Además, en muchas partes del mundo, se debe fortalecer la capacidad del sector oficial de vigilar y regular estos riesgos.
En resumen, es necesario fortalecer los regímenes normativos y de supervisión para hacer frente al riesgo cibernético, y los esfuerzos deben centrarse en el establecimiento de prácticas de supervisión eficaces, pruebas de vulnerabilidad y recuperación, y planes de contingencia que sean realistas. El FMI está brindando asistencia técnica para ayudar a los países miembros a mejorar sus regímenes normativos y de supervisión.
