"La capacidad de una organización para continuar desarrollando su misión, anticipándose y adaptándose a las ciberamenazas y otros cambios relevantes en su entorno, resistiendo, conteniendo y recuperándose rápidamente ante ciberincidentes" es la definición de ciberresiliencia según un artículo que bajo el título "Fortaleciendo la ciberresiliencia del sector financiero. Evolución y tendencias" ha publicado el Banco de España en su Revista de Estabilidad Financiera.
En este artículo, firmado por Silvia Senabre, Iván Soto y José Munera, el Banco de España alerta de que esta ciberresiliencia de las entidades financieras se verá afectada por la evolución de las tecnologías asociadas a la inteligencia artificial (IA) tanto de manera ofensiva como defensiva, considerando que podría producirse una "carrera tecnológica" por su utilización.
Con respecto a los casos ofensivos, cita ejemplos de uso de IA para "burlar" mecanismos de control de acceso tradicionales y, con mayor eficiencia aún, aquellos basados en imágenes o patrones de voz; la posibilidad de embeber malware en aplicaciones legítimas y controlar su ejecución; o el uso de smart malware (software maliciosos más sofisticados), que aprende patrones de uso permitidos en una organización, ya sea por parte de usuarios o de programas, los emula y utiliza las vulnerabilidades que perciba para "escapar a la detección y propagarse".
En cuanto a los casos defensivos, el supervisor destaca que la IA permitirá a las entidades detectar patrones anómalos en los grandes volúmenes de información, más allá de lo que consiguen los analistas humanos o los sistemas tradicionales. Además, se integrará con los antivirus y los sistemas de detección y prevención de intrusos.
"El resultado de la carrera por explotar las posibilidades de la Inteligencia Artificial dependerá, en gran medida, de qué aplicaciones evolucionen más rápido y del ritmo de adopción de las entidades", señalan los autores.
Un elevado alto grado de exposición a los ciberataques
Este trabajo subraya que las características propias del sector financiero generan un "elevado nivel de exposición" de las entidades individuales a los ciberincidentes, al tiempo que facilitan que el impacto se pueda extender y amplificar "hasta poner en peligro la estabilidad financiera".
Entre estas características, cita la "fuerte" dependencia del sector hacia la tecnología, el atractivo de la industria para los atacantes, el "alto grado" de interconexiones entre sus integrantes y una "gran sensibilidad" a la pérdida de confianza de los usuarios.
Además, resalta el uso y la contratación de servicios de terceros para acceder a innovaciones tecnológicas y para llevar a cabo la digitalización del sector, como proveedores de servicios y productos, startups, incubadoras o aceleradoras.
En este sentido, afirma que la resiliencia y la ciberseguridad de estas terceras partes, y en especial de los proveedores, "se han convertido en una preocupación creciente para autoridades y entidades", de forma que algunos de estos proveedores "han pasado a ser elementos vertebradores para el sector financiero".
Así, pueden constituir "puntos únicos de fallo", dado que los incidentes que pueden afectarles, incluso los no intencionados, conllevan un impacto en el conjunto del sector.
El artículo del Banco de España también afirma que, si bien varios estudios sugieren que el sector financiero es uno de los "mejor preparados" frente a los ciberriesgos, el nivel de ciberresiliencia "no es homogéneo" entre sus integrantes.
Al respecto, resalta que las medidas de seguridad y de control, sobre todo en el caso de las entidades más pequeñas, "no resultan suficientes para gestionar los ciberriesgos" potenciados por la pandemia.
"No es de extrañar, por tanto, que entre las entidades que han sufrido un mayor incremento en el número de ciberataques recibidos, destaquen las cooperativas de crédito, las entidades de pago y las aseguradoras, pertenecientes a sectores que concentran muchas entidades de pequeño tamaño", resalta al respecto.
Ataques perpetrados por Estados
Otro elemento destacado por el artículo del Banco de España es el incremento de los ciberataques motivados por las tensiones geopolíticas, algunos de los cuales han sido "sumamente sofisticados" y se han dirigido contra proveedores de la cadena de suministro.
En este sentido, señala el uso del término state sponsored actors para designar a un grupo de Estados que tienen como prioridad, junto al ciberespionaje y las operaciones de influencia, el ciberataque a las infraestructuras críticas de otros Estados, entre ellos, el sector financiero.
Por ejemplo, recoge que el Informe Anual de Seguridad Nacional 2019, realizado por el Departamento de Seguridad Nacional español, destaca que en España el 54% de los ciberataques contra infraestructuras críticas se dieron en el sector financiero y tributario.
Así, afirma que, si bien los ciberataques procedentes de Estados son "menos frecuentes", su impacto es "potencialmente superior" que los realizados por hackitivistas o cibercriminales.
"Algunos de los grupos estatales más dañinos, como es el caso de los respaldados por Corea del Norte, son especialmente activos lanzando ciberataques que buscan la realización de transferencias fraudulentas, el robo de criptodivisas o la obtención de un rescate a cambio de devolver a sus víctimas la información cifrada por los atacantes y no divulgarla (ransomware)", añade.
Otra vía utilizada por los atacantes es el robo de datos así como la obtención de información sensible que pueda ser de utilidad económica.
En cuanto a las medidas a implementar para evitar o minimizar riesgos, el Banco de España destaca la evolución de las entidades, que han pasado de un enfoque "centrado en la protección de sus conexiones con el exterior, perímetro, hasta otro más holístico, en el que es fundamental tener en cuenta todos los posibles vectores de amenaza, incluyendo los internos".
También destaca la implementación del modelo "Zero Trust" en algunas empresas, de manera que se elimina el principio de confianza en todas las operaciones, lo que lleva a que se verifique "siempre" la identidad del usuario, en cada operación relevante y de forma explícita.