Los test del BCE contra ciberataques revelan fallos y vulnerabilidades en varios bancos
Varios bancos europeos mostraron vulnerabilidades y deficiencias en su capacidad para responder a un ciberataque simulado en una serie de pruebas realizadas por el principal regulador y supervisor. Se espera que el Banco Central Europeo (BCE) publique los resultados de su primer examen de ciberresiliencia a finales de esta misma semana.
Informes preliminares del supervisor indican que las entidades bancarias experimentaron en su mayoría problemas menos graves, según la consultora KPMG Alemania, que asesoró a más de una docena de bancos en el proceso. Sin embargo, algunos enfrentaron problemas más que significativos, como tardar demasiado en volver a levantar los sistemas y ponerlos en funcionamiento con normalidad.
También se detectaron retrasos a la hora de comunicar el ataque dentro y fuera de la organización, según explicó Peter Hertlein, director de ciberseguridad y cumplimiento de TI en servicios financieros de KPMG Alemania. Un portavoz del BCE declinó hacer comentarios sobre la cuestión.
El BCE, que anunció la prueba el año pasado cuando las tensiones con Rusia elevaron el tema en la lista de prioridades de los reguladores, la ha presentado ante el público como un ejercicio para mejorar la gestión de riesgos de los bancos en lugar de un examen que impactará directamente sus requerimientos de capital.
Desde entonces, varios ataques han involucrado a proveedores de servicios de ciberseguridad que usan los bancos. Todavía caliente están las consecuencias del fallo masivo global de Crowdstrike y Microsoft de de la semana pasada, que han subrayado las vulnerabilidades del sistema financiero global ante este tipos de incidentes.
"En algunas entidades crediticias, a menudo, no estaba claro qué responsabilidades tenía el banco y cuáles el proveedor de servicios" en caso de un ataque, aseguró Hertlein en una entrevista con Bloomberg. Se negó a identificar a cualquiera de las entidades que su firma asesoró.
Ataques simulados a 109 bancos
Las pruebas de estrés cibernético que ha desplegado el BCE han involucrado a 109 entidades crediticias europeas en total, algunas enfrentando un escrutinio más cercano que otras según su importancia para el sistema financiero.
Durante el examen, que comenzó en enero, los bancos tuvieron que superar un ataque cibernético simulado exitoso e informar de sus contramedidas ante el regulador. No se espera que el BCE haga públicos los resultados de forma individual, pero el regulador establecerá plazos para que los bancos tomen medidas para eliminar los problemas que se han hecho evidentes, según Hertlein.
Eso generalmente se maneja en evaluaciones regulares de los riesgos que enfrentan los bancos individuales. Eso significará que "los bancos tendrán que invertir", augura Hertlein. Podrían volver a desplegarse más pruebas de resistencia tecnológica como esta, no necesariamente realizadas por el BCE, sino posiblemente por las autoridades nacionales que forman parte del Eurosistema.