El Bundesbank planea simulacros de ciberataques a bancos

El Bundesbank alemán se ha puesto manos a la obra y está trabajando en simulacros de ciberataques a los que someterá a los bancos germanos con el objetivo de ayudarles a mejorar sus sistemas de protección y protocolos de actuación contra ataques cibernéticos, para lo cual duseña pruebas de estrés informático que permitirán detectar los peligros de posibles acciones de hackers en los sistemas tecnológicos.

«La avanzada digitalización en el sector financiero también supone riesgos», advierte Andreas Dombret, responsable del control bancario del Bundesbank. «En la Internet profunda (Darknet) no solo se pueden comprar pistolas, sino también dirigir ataques contra bancos y cajas de ahorros» , señala, en la línea de preocupación que ha mostrado también el Banco Central Europeo.

Los bancos de la zona euro bajo supervisión del BCE deberán informar a la institución a partir de este verano de todos los ciberataques « significativos » que sufran, según ha anunciado la vicepresidenta del Consejo de Supervisión, Sabine Lautenschläger. El anuncio se produce un año después de que el instituto emisor llevara a cabo una fase piloto para el establecimiento de un marco de información de ciberataques y Lautenschläger ha adelantado además que, en su papel de supervisor, tiene intención de emitir sus expectativas cómo las entidades abordan los riesgos informáticos, lo que contribuirá a establecer una idea común acerca de estas amenazas entre bancos y supervisores, así como a garantizar un trato armonizado . «Esto nos ayudará a evaluar de manera más objetiva cuántos incidentes se producen y cómo evolucionan las ciberamenazas, ayudándonos también a identificar vulnerabilidades y errores comunes», ha dicho.

A nivel global, un tercio del total de los responsables de tecnología de las empresas afirma haber sufrido un ciberataque importante en los últimos 12 meses, según un estudio de KPMG . Específicamente en el sector financiero, el 26% de entidades de todo el mundo reconoce haber sido víctima de algún tipo de ciberataque , según un estudio de Capgemini,y los bancos españoles no son una excepción. El último estudio sobre cibercriminalidad en nuestro país elaborado por la Secretaría de Estado de Seguridad establece que, sólo durante el año pasado, se produjeron un total de 60.154 hechos delictivos en Internet, de los cuales el 67,9% fueron fraudes informáticos.

Las aplicaciones maliciosas Ransomware, como Wannacry, que restringen el acceso al sistema infectado, generaron 24 millones de ingresos a delincuentes cibernéticos en 2015 y produjeron 325 millones de dólares en daños indirectos, incluyendo el coste de tareas de desinfección y restauración, según cuantifica PriceWaterhouseCoopers , pero el peor de sus efectos es el de hacer sentir a los clientes de los bancos que si dinero no está a salvo.

Los expertos alemanes reconocen que en España tenemos referentes en ciberseguridad como BBWA, ejemplo de estrategia en la última conferencia RSA, y que son muchas ya las entidades que cuentan con equipo sespecializados iSOC (Integrated Security Operations Center), pero la amenaza evoluciona también rápidamente.

Las líneas de defensa en las que trabaja el Bundesbank están en conexión con investigaciones realizadas por la Comisión Europea e incluyen, por ejemplo, el traslado de los modelos matemáticos que se están aplicando con éxito en el campo de la seguridad física al campo de la seguridad cibernética . El primer objetivo de los simulacros sería obtener el perfil de un control de los riesgos en toda actividad económica realizada a través de entidades financieras, comprobar la protección de datos personales y la operatividad de las entidades en las 48 horas posteriores a un ataque.

Kirill Ilganaev, director de Kaspersky DDoS Protection, diagnostica que «lo primero que tienen que hacer los bancos es estar más preparados para los peligros que los ataques DDoS plantean a sus servicios bancarios online. Esta amenaza debería aparecer más arriba en las prioridades de seguridad de los bancos», y que en segundo lugar de prioridades deberían establecer servicios para minimizar los costes de las limpiezas informáticas y reparación de daños tras los ataques porque, en su opinión, el hecho de resultar víctima de un ataque informático debe ser considerado por los directivos de los bancos solamente como una cuestión de tiempo.

El mayor peligro es que los responsables de los bancos se limiten a considerar el peligro informático como la posibilidad de que sean robados los datos o claves de cuentas o tarjetas. Los expertos germanos insisten en que estamos viviendo una guerra cibernética y de información organizada, destinada a paralizar algunos sistemas de gestión, como los energéticos y bancarios. En la Comisión Europea existe un departamento de control del espacio de información y, para disgusto de Alemania, Federica Mogherini quiere reducir la financiación de esta unidad.