El Banco de España ha alertado de que la «ciberresiliencia» de las entidades financieras se verá afectada por la evolución de las tecnologías asociadas a la inteligencia artificial (IA), según un artículo publicado en su última Revista de Estabilidad Financiera.
El artículo, titulado ‘Fortaleciendo la ciberresiliencia del sector financiero. Evolución y tendencias’, define la ciberresiliencia –«la capacidad de una organización para continuar con llevando a cabo su misión, anticipándose y adaptándose a las ciberamenazas y otros cambios relevantes en su entorno, resistiendo, conteniendo y recuperándose rápidamente ante ciberincidentes–, así como los riesgos y las tendencias que pueden afectarla, entre los que se incluye el uso de la IA tanto de manera ofensiva como defensiva, considerando que podría producirse una «carrera tecnológica» por su utilización.
Con respecto a los casos ofensivos, cita ejemplos de uso de IA para «burlar» mecanismos de control de acceso tradicionales y, con mayor eficiencia aún, aquellos basados en imágenes o patrones de voz; la posibilidad de embeber malware (softwares maliciosos) en aplicaciones legítimas y controlar su ejecución; o el uso de ‘smart malware’ (software maliciosos más sofisticados), que aprende patrones de uso permitidos en una organización, ya sea por parte de usuarios o de programas, los emula y utiliza las vulnerabilidades que perciba para «escapar a la detección y propagarse».
En cuanto a los casos defensivos, el supervisor destaca que la IA permitirá a las entidades detectar patrones anómalos en los grandes volúmenes de información, más allá de lo que consiguen los analistas humanos o los sistemas tradicionales. Además, se integrará con los antivirus y los sistemas de detección y prevención de intrusos.
«El resultado de la carrera por explotar las posibilidades de la Inteligencia Artificial dependerá, en gran medida, de qué aplicaciones evolucionen más rápido y del ritmo de adopción de las entidades», señalan los autores del artículo Silvia Senabre, Iván Soto y José Munera.
RIESGOS PARA LA ESTABILIDAD FINANCIERA
El ‘paper’ señala que las características propias del sector financiero generan un «elevado nivel de exposición» de las entidades individuales a los ciberincidentes, al tiempo que facilitan que el impacto se pueda extender y amplificar «hasta poner en peligro la estabilidad financiera».
Entre estas características, cita la «fuerte» dependencia del sector hacia la tecnología, el atractivo de la industria para los atacantes, el «alto grado» de interconexiones entre sus integrantes y una «gran sensibilidad» a la pérdida de confianza de los usuarios.
Además, resalta el uso y la contratación de servicios de terceros para acceder a innovaciones tecnológicas y para llevar a cabo la digitalización del sector, como proveedores de servicios y productos, start-ups, incubadoras o aceleradoras.
En este sentido, afirma que la resiliencia y la ciberseguridad de estas terceras partes, y en especial de los proveedores, «se han convertido en una preocupación creciente para autoridades y entidades», de forma que algunos de estos proveedores «han pasado a ser elementos vertebradores para el sector financiero».
Así, pueden constituir «puntos únicos de fallo», dado que los incidentes que pueden afectarles, incluso los no intencionados, conllevan un impacto en el conjunto del sector.
EL IMPACTO DE LA COVID-19 Y EL TELETRABAJO
El artículo señala que la pandemia de Covid-19 ha acelerado e impulsado la digitalización del sector, incrementando la dependencia de las entidades de proveedores de servicios tecnológicos, mientras que la implantación del teletrabajo ha creado «riesgos adicionales», como los que se pueden producir a través de accesos «insuficientemente securizados» desde dispositivos personales y redes domésticas de conexión.
«La conjunción de estos factores ha creado un entorno muy atractivo para los ciberataques, que no han perdido la oportunidad de explotarlos. Así, se ha podido observar que, durante la pandemia, el sector financiero ha sido la principal víctima de ciberataques en todo el mundo, solo superada por el sector sanitario», tal y como se recoge en el boletín del Banco de Pagos Internacionales (BIS, por sus siglas en inglés), ‘Covid-19 and cyber risk in the financial sector’.
Además, el artículo del Banco de España afirma que, si bien varios estudios sugieren que el sector financiero es uno de los «mejor preparados» frente a los ciberriesgos, el nivel de ciberresiliencia «no es homogéneo» entre sus integrantes.
Al respecto, resalta que las medidas de seguridad y de control, sobre todo en el caso de las entidades más pequeñas, «no resultan suficientes para gestionar los ciberriesgos» potenciados por la pandemia.
«No es de extrañar, por tanto, que entre las entidades que han sufrido un mayor incremento en el número de ciberataques recibidos, destaquen las cooperativas de crédito, las entidades de pago y las aseguradoras, pertenecientes a sectores que concentran muchas entidades de pequeño tamaño», resalta al respecto.
CIBERATAQUES CON MOTIVACIONES GEOPOLÍTICA
Otro elemento destacado por el artículo del Banco de España es el incremento de los ciberataques motivados por las tensiones geopolíticas, algunos de los cuales han sido «sumamente sofisticados» y se han dirigido contra proveedores de la cadena de suministro.
En este sentido, señala el uso del término ‘state sponsored actors’ para designar a un grupo de Estados que tienen como prioridad, junto al ciberespionaje y las operaciones de influencia, el ciberataque a las infraestructuras críticas de otros Estados, entre ellos, el sector financiero.
Por ejemplo, recoge que el Informe Anual de Seguridad Nacional 2019, realizado por el Departamento de Seguridad Nacional español, destaca que en España el 54% de los ciberataques contra infraestructuras críticas se dieron en el sector financiero y tributario.
Así, afirma que, si bien los ciberataques procedentes de Estados son «menos frecuentes», su impacto es «potencialmente superior» que los realizados por ‘hackitivistas’ o cibercriminales.
«Algunos de los grupos estatales más dañinos, como es el caso de los respaldados por Corea del Norte, son especialmente activos lanzando ciberataques que buscan la realización de transferencias fraudulentas, el robo de criptodivisas o la obtención de un rescate a cambio de devolver a sus víctimas la información cifrada por los atacantes y no divulgarla (ransomware)», añade.
El Consejo de Seguridad de las Naciones Unidades ha reconocido que estos grupos estatales «se han convertido en una fuente más de financiación para los Estados que los promocionan y en un modo práctico de esquivar, o al menos mitigar, el efecto de las sanciones económicas internacionales».
Otra vía utilizada por los atacantes es el robo de datos así como la obtención de información sensible que pueda ser de utilidad económica.
‘ZERO TRUST’
En cuanto a las medidas a implementar para evitar o minimizar riesgos, el Banco de España ha destacado la evolución de las entidades, que han pasado de un enfoque «centrado en la protección de sus conexiones con el exterior, perímetro, hasta otro más holístico, en el que es fundamental tener en cuenta todos los posibles vectores de amenaza, incluyendo los internos».
En este sentido, el artículo también destaca la implementación del modelo ‘Zero Trust’ en algunas empresas, de manera que se elimina el principio de confianza en todas las operaciones, lo que lleva a que se verifique «siempre» la identidad del usuario, en cada operación relevante y de forma explícita.