Las amenazas cibernéticas, exacerbadas a raíz de la guerra de Rusia en Ucrania, se han colado entre las grandes preocupaciones de la banca y del supervisor. De hecho, uno de cada cuatro grandes ataques se dirige en la actualidad al sector. Para evaluar su resiliencia frente a este peligro el Banco Central Europeo (BCE) ha dado el pistoletazo a un examen que exigirá a una treintena de entidades efectuar un simulacro de ciberataque y obligará a otro centenar a responder a una profusa batería de preguntas sobre su fortaleza tecnológica.
El ejercicio más ácido lo realizarán Santander, CaixaBank y Cajamar junto a otros grandes bancos europeos como el alemán Deutsche Bank, el francés Credit Agricole, el italiano Intesa-San Paolo o el escandinavo Nordea, según varias fuentes consultadas.
Los criterios de selección no han transcendido. Fuentes del sector los desvinculan del perfil tecnológico de las entidades y reparan en que la muestra nacional incluye a uno de los grandes bancos sistémicos mundiales y líderes en la eurozona (Santander), a la entidad con mayor cuota de mercado del país (CaixaBank) y un banco mediano que integra en su seno a varias entidades (Cajamar).
'Test de estrés' desde 2014
El presidente del BCE, Andrea Enria, desveló este ejercicio el pasado marzo tras multiplicarse los ataques después de la invasión rusa de Ucrania para obtener una mejor comprensión de dónde están las fortalezas y debilidades de los bancos.
A las entidades seleccionadas para efectuar el simulacro les ha permitido elegir el negocio y geografía para probar sus sistemas con la condición de que sea crítico en la generación de sus cuentas. La banca nacional se ha decantado por el negocio retail o con clientes particulares y empresas en España.
La metodología se publicó el 22 de noviembre y las entidades tendrán hasta el 29 de febrero para presentar los cuestionarios cumplimentados y las pruebas que lo respalden. Los resultados se conocerán en junio y el supervisor prevé utilizarlos en el examen anual sobre perfil de riesgo y solvencia que realiza a cada entidad y donde les pone deberes en materia de capital (SREP, por sus siglas en inglés de Proceso de Revisión y Evaluación Supervisora).
La iniciativa se asimila a las pruebas de resistencia que el brazo supervisor del BCE (MUS) puso en marcha en 2014 coincidiendo con la asunción de la supervisión de las entidades significativas de la eurozona. Tras una primera aproximación verificando la calidad del balance, que transparentó una ingente base de datos financieros antes desconocida o imposible de cotejar por los diferentes reportes nacionales, probó la capacidad de las entidades ante un escenario de crisis agravada y que dio por resultado una recapitalización de aquellos bancos que suspendieron el test.
El instrumento se ha quedado en su caja de herramientas y en 2019 estrenó el primer test de estrés de liquidez, en 2022 puso a rodar un examen climático similar y en 2024 estrenará el cibernético. Su simple puesta en marcha y los resultados derivados del ejercicio han acelerado la preparación de las entidades en solvencia, liquidez y gestión de los riesgos de sostenibilidad.
La aproximación seguida en todos los casos por el BCE ha ido desde un primer análisis limitado a un número reducido y representativo de entidades y más amable o menos intrusivo de versiones posteriores, donde va elevando el grado de severidad del ejercicio.
Ejercicio a dos niveles
Como en pruebas anteriores, en el ejercicio actual establece dos escalas de examen. Hasta 109 entidades supervisadas por el BCE tendrán que responder un cuestionario con 395 preguntas sobre seguridad informática y acompañarlas en la presentación al organismo con pruebas y documentación acreditativa.
La muestra seleccionada de 28 entidades abordará una prueba más incisiva. Se someterán a una simulación y deberán probar cómo responde a una grave violación de sus defensas tecnológicas o a graves fallos tecnológicos internos o por soportes de proveedores. No habrá un ataque real, pero tendrán que asumir el supuesto de que le han tumbado los sistemas para explicar de manera pormenorizada cómo los levantan, cuánto tardan en recuperarlos y el impacto de la intrusión en negocio o resultados, con los correspondientes registros y documentos que respalden el ejercicio. Su formulación se completará con una validación in situ.
Ataques reales voluntarios
A pesar de la novedad del ejercicio, la banca ya ha ido reportando información sobre sus riesgos tecnológicos al organismo y desde 2018 han tenido ocasión de probar su ciberseguridad. Hace cinco años, el BCE lanzó el programa Tiber-UE que permite a entidades financieras (bancos, aseguradoras, gestoras, etc.) someterse de forma voluntaria a ciberataques reales para detectar vulnerabilidades en sus sistemas, a escala organizativa, humana o técnica. Dichos ejercicios se realizan con el conocimiento de un equipo muy reducido en las entidades y apoyándose en expertos externos que intentan comprometer sus funciones críticas.
La normativa se ha ido sofisticando a la vez para reforzar sus murallas. En 2025 entrará, precisamente, en vigor el reglamento de Resiliencia Operativa Digital (DORA) que obliga a todas las entidades financieras a evaluar sus vulnerabilidades frente a riesgos tecnológicos, fijar controles en toda su cadena de producción (incluidos proveedores y subcontratas) y elaborar protocolos de actuación y planes de contingencia para restablecer los sistemas si caen.
La UE quiere fijar un estándar armonizado de resiliencia operativa digital que imponga en el sector financiero (bancos, aseguradoras, gestoras, etc) una gestión integral de los riesgos TI. Al supervisor le preocupan, sobre todo, los "riesgos de terceros" por el fuerte auge en la contratación de servicios y plataformas.
La banca recibe el 25% de los grandes ataques
El Instituto Nacional de Ciberseguridad (Incibe) gestionó en 2022 hasta 118.820 incidentes, un 8,8% más. El grueso, un total de 110.294, tuvieron de foco a ciudadanos y empresas (el 90% relacionados con sistemas vulnerables), pero también fueron víctimas 546 operadores estratégicos. La banca es la segunda más expuesta, con el 25,3% de los ataques a operadores críticos, detrás del sector energético (el 30,4%) y por encima de infraestructuras de agua (17,2%) y empresas, infraestructuras y proveedores de transportes (otro 17,2%).