Cómo un ciberataque podría causar la próxima crisis financiera

Ahora, el sistema financiero enfrenta el riesgo adicional de convertirse en un daño colateral de un ataque más amplio contra las infraestructuras críticas a nivel nacional

Ahora, el sistema financiero enfrenta el riesgo adicional de convertirse en un daño colateral de un ataque más amplio contra las infraestructuras críticas a nivel nacional

Desde que la bancarrota forzada del banco de inversión Lehman Brothers desencadenó la crisis financiera hace 10 años, los reguladores, gestores de riesgos y banqueros centrales de todo el mundo se han orientado en la capacidad de los bancos para resistir los impactos financieros.

Pero la próxima crisis podría no provenir de un choque financiero. El más probable sospechoso sería un ataque cibernético que causaría problemas en las capacidades de los servicios financieros en todo el mundo, especialmente en los sistemas de pagos.

Los delincuentes siempre han buscado formas de infiltrarse en los sistemas de tecnología financiera. Ahora, el sistema financiero enfrenta el riesgo adicional de convertirse en un daño colateral de un ataque más amplio contra las infraestructuras críticas a nivel nacional. Ese tipo de ataque podría debilitar la confianza en el sistema global de servicios financieros, causando que los bancos, las empresas y los consumidores se encuentren bloqueados, confundidos o en pánico, lo que a su vez podría causar un gran impacto negativo en la actividad económica.

Según un reciente análisis realizado por nuestra compañía, los delitos informáticos por sí solos les cuestan a los países más de 1 billón de dólares en todo el mundo, mucho más del récord de 300 mil millones de dólares (casi 260 mil millones de euros) en daños ocasionados por desastres naturales en 2017. Calificamos a los ciberataques como la mayor amenaza que enfrenta el mundo empresarial hoy en día, por delante del terrorismo, las burbujas de activos y otros riesgos.

Un ataque a una red informática de procesamiento o de comunicaciones podría causar entre 50.000 y 120.000 millones de dólares (entre 43.000 y 103.000 millones de euros) en daños económicos, unas pérdidas parecidas a las de los huracanes Sandy y Katrina, según algunas estimaciones recientes. Es más, un ataque mucho más amplio y debilitante no es algo imposible. El mes pasado, el Buró Federal de Investigaciones de EE.UU. emitió una advertencia a los bancos porque esperaban un ataque a gran escala conocido como la “retirada de efectivo” de cajeros automáticos, en el que oleadas de retiradas fraudulentas y sincronizadas agotarán las cuentas bancarias. En julio, además, se reveló que los hackers que trabajaban para Rusia habían penetrado fácilmente en las salas de control de los servicios eléctricos de EE. UU. y podían haber causado apagones.

¿Cómo podría desencadenarse una crisis financiera causada por un ciberataque? Un posible escenario sería un ataque por parte de algún país que no se adhiere a las normas internacionales o de un grupo terrorista contra instituciones financieras o infraestructuras importantes. En Corea del Norte, por ejemplo, el Grupo Lazarus, también conocido como Hidden Cobra, busca sistemáticamente formas de comprometer a los bancos y de explotar las criptomonedas. Un ataque a un banco, a un fondo de inversión, a una empresa de depósitos, a la red de cajeros automáticos, a la red de mensajería interbancaria conocida como SWIFT o a la propia Reserva Federal de EE.UU. representaría un golpe directo al sistema de servicios financieros.

Otra posibilidad sería si un así llamado hacktivista o aficionado “script kiddy” utilizara programas maliciosos para lanzar un ciberataque sin la debida consideración de las consecuencias. Ese tipo de ataque podría provocar una reacción en cadena, causando daños mucho más allá de lo imaginado al principio, porque las reglas, las normas de batalla y los principios convencionales en la mayoría de las situaciones de guerra, no existen de manera significativa en la arena digital. Por ejemplo, en 2016, un script kiddie provocó un generalizado ataque de corte de servicio que afectó a Twitter, Spotify y a otros conocidos servicios de internet ya que estos aficionados se unieron con fines maliciosos.

No importa si un gran ataque cibernético es deliberado o quizás accidental, el daño podría ser importante. La mayoría de las redes de cajeros automáticos de América del Norte podrían congelarse. La tarjeta de crédito y otros sistemas de pago podrían fallar en países enteros, como sucedió con la red VISA en Reino Unido en junio. La banca online podría volverse inaccesible: sin efectivo, sin pagos, sin información fiable sobre las cuentas bancarias. Los bancos perderían la capacidad de realizar transacciones entre ellos durante un período crítico de incertidumbre. Podría haber un pánico generalizado, aunque temporal.

Algo así quizás no causaría el tipo de crisis financiera a largo plazo que desencadenó la Gran Depresión, porque es probable que los bancos y los proveedores de pagos recuperen el dinero cuando los sistemas vuelvan a estar online. Al mismo tiempo, no está claro cómo el banco central, el bombero tradicional de una crisis financiera, podría responder a este tipo de crisis a corto plazo. Una vez resuelto el problema y detenida la crisis, surgiría una desalentadora tarea de recuperación. Sería aún más difícil si los datos fueran dañados, manipulados o inaccesibles.

¿Cómo podemos prevenir este escenario? Las empresas deben implementar sistemas que les permitan detener la propagación de un contagio de ataque cibernético y reanudar las operaciones de la manera más rápida y fluida posible. La industria de los servicios financieros debe totalmente coincidir y estar preparada para practicar estrategias coordinadas de respuesta y recuperación para evitar averías sistémicas. Los reguladores en muchos países han trabajado con diligencia para prepararse y reducir los ciberataques, pero deben mirar más allá de sus fronteras e introducir normas, leyes y marcos cooperativos conjuntamente, como la Directiva para la Seguridad de Redes y Sistemas de Información de la Unión Europea, que está diseñada para proteger una lista cada vez mayor de infraestructuras críticas desde sistemas bancarios y de atención médica a mercados electrónicos y servicios en la nube.

Muchas de estas medidas se están llevando a cabo a diversos niveles. Pero es necesario hacer más. Un ataque que debilita la confianza en esas máquinas también podría tener consecuencias prejudiciales en el flujo de dinero entre consumidores, empresas e instituciones financieras de todo el mundo.


por
trad. Ana Milutinovic

Paul Mee

es socio de la empresa consultora Oliver Wyman y experto en riesgo cibernético.

Related Posts
Maximizing Your Return on People

Líneas largas, líneas inferiores más pequeñas

Al decidir si unirse a una línea, los clientes se preocupan más por el tiempo que es la rapidez con que se está moviendo-un contador hallazgo a la sabiduría convencional de que una sola cola con varios servidores generalmente funciona mejor. De acuerdo con un estudio dirigido por Yina Lu, ahora un compañero de postdoctorado en la Wharton School, aumentando el número de [...]
Leer más
Desviación positiva

Reforzar

A principios de esta primavera, ya que los londinenses empezó a prepararse en serio para los Juegos Olímpicos, hice una visita a Paul Polman, CEO de Unilever, en la sede neoclásica imponentes de su compañía en el terraplén de Victoria. Polman mismo ha asignado una tarea olímpico. El holandés de voz suave, que se hizo cargo como CEO hace tres años en enero pasado, ha establecido un [...]
Leer más
Los directores ejecutivos con mejor rendimiento del mundo

Los directores ejecutivos con mejor rendimiento del mundo

El golpe en la mayoría de los empresarios es que no toman la visión a largo plazo que están fijos en el logro de metas a corto plazo para elevar su paga. Por lo cual los CEOs globales efectivamente entregadas sólidos resultados en el largo plazo? Nuestra lista de los mejores ejecutantes 2014 ofrece una respuesta objetiva. Hace Adi Ignatius unos años me senté [...]
Leer más
Maximizing Your Return on People

El cumplimiento y el factor de miedo

La gente que vio lo que en un principio pensaba que era un billete de aparcamiento en su parabrisas eran más propensos a comprar un artículo de un vendedor ambulante inmediatamente después. (Los billetes eran falsos.) Y la gente que se les preguntó “¿No te has perdido tu cartera?” - pero no tenía, de hecho, eran más propensos a estar de acuerdo en participar en una encuesta. [...]
Leer más