Pero pide a la banca que mantenga la vigilancia y que se asuma que hay incidentes que van a ser "inevitables"

BILBAO, 12 (EUROPA PRESS)

El gobernador del Banco de España, Pablo Hernández de Cos, cree que el sector financiero es uno de los "mejor preparados" en ciberseguridad pero llama a mantener "la atención prioritaria" porque hay que asumir que los incidentes van a ser "inevitables" y se debe trabajar "en la ciberresilencia".

Hernández de Cos ha participado este viernes en Bilbao en una jornada sobre ciberseguridad organizada por Elkargi y El Correo, donde sus primeras palabras han estado dirigidas a felicitar al Athletic Club por su título de la Copa del Rey.

En su intervención, ha aludido a la importancia que tiene la ciberseguridad y ha señalado que el Banco de España publicará en unos días su informe de estabilidad financiera en el que habrá un capítulo específico a este tema.

En primer lugar ha subrayado que se cuenta con un sector financiero que está "fuertemente digitalizado" y ya no es solo un "elemento fundamental de apoyo al negocio", sino que todas las entidades lo entienden como "un factor diferencial y claramente competitivo".

Hernández de Cos ha afirmado que el proceso de digitalización se ha acelerado tanto por la pandemia como por la aparición de nuevos competidores -las bigtech o las fintech-, y ello ha llevado a que las empresas utilicen la tecnología ahora como "un elemento fundamental para mejorar la eficiencia de sus procesos" pero también para ofrecer a sus clientes "servicios flexibles, personalizados y accesibles de forma inmediata".

Por lo tanto, todo ello son las "buenas noticias" y tienen que ver con una "mejora de la productividad y de los servicios" pero hay "riesgos", ya que la digitalización ha incrementado la exposición a los ciberriesgos de las entidades financieras y sus clientes.

Según ha apuntado, el número de ciberincidentes no ha parado de crecer en los últimos años, sobre todo los de naturaleza maliciosa, y principalmente en el sector financiero. Además, no solo el número de ciberataques crece, también aumenta "su sofisticación e impacto potencial dañino.

Hernández de Cos ha añadido que, por tipología, se han registrado crecimientos muy significativos en aquellos casos de fraude que utilizan ingeniería social, como el 'phishing', el 'smishing' y el 'vishing', acompañados de suplantación de sitios web y aplicaciones móviles, entre otros.

Además, ha añadido que ya se están viendo pérdidas económicas asociadas a los ciberincidentes "significativas" y ha precisado que las filtraciones de información - uno de los ciberataques cada vez más frecuente- supusieron un coste medio para las empresas de 4,45 millones de dólares en 2023.

En el caso del sector financiero, además de presentar una mayor frecuencia, el coste medio de estas filtraciones fue también superior, 5,9 millones de dólares en 2023.

MEJOR PREPARADOS

Hernández de Cos ha afirmado que el sector financiero es uno de los sectores "clave mejor preparados" frente a los ciberriesgos, porque las entidades "están trabajando adecuadamente" en este ámbito.

No obstante, ha indicado que la aceleración del proceso de digitalización, el desarrollo de nuevas tecnologías, el carácter sistémico del sector y la complejidad y dinamismo del riesgo tecnológico hacen que se deba dedicar a esta cuestión una "atención prioritaria" tanto por parte de las entidades como de las autoridades supervisoras.

Asimismo, ha subrayado que se necesita incorporar a las organizaciones los perfiles técnicos necesarios porque la "competencia es feroz" y también ha destacado la importancia del intercambio de información sobre ciberamenazas y ciberincidentes para mejorar las capacidades colectivas de defensa. Además, cree que también son importantes la realización de pruebas de ciberresiliencia pero no solo a las entidades financieras sino también a los proveedores.

Pablo Hernández de Cos ha indicado que las entidades financieras individualmente consideradas tienen "entornos tecnológicos excepcionalmente complejos", donde conviven aplicaciones antiguas con otras que se apoyan en tecnologías más innovadoras, lo que genera un entorno en el que "el ciberriesgo pueda ser más dañino".

Además, en general, el sector financiero en su conjunto constituye un ecosistema también "muy complejo", formado por numerosos participantes "intensamente interconectados y dependientes entre sí". En este sentido, ha aludido a cómo se puede ver afectada la estabilidad financiera.

PRINCIPAL RIESGO

Según ha manifestado, a las interconexiones tradicionales hay que sumar la aparición de nuevos actores que ofrecen servicios financieros y la creciente dependencia de los proveedores tecnológicos -que es, en su opinión, uno de los "riesgos más importantes"- y, además, están concentrados "en un número pequeño".

"De hecho, algunos de estos proveedores constituyen puntos únicos de fallo, de manera que los ciberincidentes que les afectan, incluso los no intencionados, pueden tener un impacto en el conjunto del sector y, por tanto, resultar sistémicos", ha añadido. Por ello, las autoridades macroprudenciales de distintas jurisdicciones, incluyen este ciberriesgo entre los más importantes.

Asimismo, ha indicado que hay que pasar de un concepto de "ciberriesgo a ciberresilencia" y ha señalado que los reguladores están poniendo el énfasis en que el "ciberriesgo" y que se produzcan incidentes "va a ser inevitable" y que, por tanto, hay que incidir en que las empresas sean "resilientes y resistentes para que tengan la capacidad de retomar sus actividades de la manera más rápida posible".

"Se trata, por tanto, de un enfoque holístico, que no se centra exclusivamente en gestionar la tecnología, sino que concede la misma importancia a las personas y a los procesos de las organizaciones, y que enlaza con actividades más tradicionales, como la continuidad de negocio", ha añadido.

En este sentido, ha destacado que las entidades financieras están dando mucha importancia a la concienciación de sus empleados en materia de ciberseguridad, "con el fin de evitar que se conviertan en los vectores de entrada utilizados por los atacantes". También hay un mayor conocimiento y comprensión del ciberriesgo entre la alta dirección de las entidades, que también tratan de concienciar a sus clientes.

En este escenario, la respuesta de los reguladores y supervisores prudenciales está siendo "amplia, tanto a escala global como europea y nacional, y tanto a nivel micro como macroprudencial".

A escala global, ha subrayado que el Comité de Supervisión Bancaria de Basilea (BCBS) aprobó los Principios de Resiliencia Operacional en 2021, que establecen que los bancos deben asumir como hipótesis de trabajo que ocurrirán eventos adversos y definir su nivel de tolerancia a la disrupción.

En la Unión Europea ha destacado el reglamento de resiliencia operativa digital que tiene como objetivo mitigar los riesgos asociados a la digitalización y mejorar la resiliencia de todo el sector con distintas medidas, entre ellas la realización de pruebas sobre la resiliencia de los sistemas.

En el ámbito de la supervisión microprudencial, las autoridades financieras del sector bancario europeo han incorporado el ciberriesgo como "una de sus prioridades supervisoras".

En relación a los instrumentos más adecuados para mitigar los ciberriesgos, cree que el capital prudencial no sería "el principal elemento de resiliencia", sino que sería fundamental el capital tecnológico.