Los temores de un ciberataque importante en los bancos han aumentado desde que los piratas informáticos robaron con éxito casi $ 100 millones del banco central de Bangladesh en febrero de 2016. Poco después de ese incidente, los funcionarios del banco central ruso revelaron que los piratas informáticos robaron más de $ 31 millones (dos mil millones de rublos) del país banco central y bancos comerciales. SWIFT, la red de mensajería predominante utilizada por los bancos, advirtió que este tipo de ataques cibernéticos aumentará.
Vulnerabilidades tecnológicas
La industria financiera ha luchado por mantener el ritmo de la innovación tecnológica, particularmente dada la extensa regulación que rige su operación. Si bien la tecnología heredada puede parecer un inconveniente para los consumidores, se ha convertido en un importante riesgo de seguridad para los bancos comerciales, las compañías de seguros y sus consumidores. Al mismo tiempo, los piratas informáticos se han beneficiado de las nuevas tecnologías que hacen que sea más fácil piratear estos sistemas bancarios heredados.
Por ejemplo, la llamada autenticación de dos factores es una forma casi a prueba de balas para proteger las cuentas bancarias de los consumidores. Los bancos envían un código temporal al teléfono celular del consumidor antes de permitirles iniciar sesión, lo que significa que los piratas informáticos necesitarían acceso tanto a la computadora como al teléfono celular para acceder a la cuenta. A pesar de la efectividad del método, varios bancos importantes no utilizan la autenticación de dos factores para proteger las cuentas bancarias de los consumidores.
El atraco bancario en Bangladesh también ilustró vulnerabilidades en los sistemas informáticos bancarios. Según SWIFT, se detectó malware relativamente simple en los sistemas informáticos de sus clientes (banco) dirigidos a un lector de PDF utilizado para verificar los mensajes de estado de cuenta. Los piratas informáticos utilizaron el malware para eludir los controles de riesgo primarios e iniciar procesos de transferencia de fondos irrevocables mientras manipulaban declaraciones y confirmaciones que normalmente actuarían como controles secundarios.
Impacto de los ciberataques en los bancos
Los consumidores tienen relativamente poco que perder de los ataques cibernéticos en los bancos, siempre que no fueran laxos para salvaguardar su información y notifiquen rápidamente al banco si faltan fondos. La ley federal de los Estados Unidos requiere que los bancos reembolsen a los clientes si alguien toma dinero de su cuenta sin autorización y lo notifican al banco dentro de los 60 días de las transacciones que aparecen en su extracto bancario. Sin embargo, las cuentas comerciales tienen menos protecciones y podrían estar sujetas a mayores pérdidas.
Los propios bancos tienen menos garantías del gobierno federal de que seguirían siendo solventes si se ejecutara un ciberataque importante. Según algunos expertos, el Consejo de Supervisión de Estabilidad Financiera no ha reconocido ni planeado los ataques cibernéticos que amenazan la solvencia de un banco importante. Estos ataques podrían apuntar a los sistemas de procesamiento bancario e interrumpir las transacciones financieras críticas necesarias para evitar llamadas de margen, por ejemplo, desencadenar un incumplimiento.
El académico británico Richard Benham, presidente del Centro Nacional de Gestión Cibernética, advirtió a la BBC que "un banco importante fracasará como resultado de un ataque cibernético en 2017 que provocará una pérdida de confianza y una fuga en ese banco". Muchos bancos ya ven millones de intentos de ataques cada año con pérdidas modestas resultantes, pero el precedente establecido por el truco SWIFT en los bancos centrales indica que estos ataques se están volviendo cada vez más sofisticados.
La línea de fondo
La ciberseguridad se ha convertido en una preocupación primordial para el sector bancario, pero algunos bancos han dudado en implementar medidas de seguridad muy necesarias y los reguladores han tardado en desarrollar un plan para abordar los principales ataques, siempre y cuando ocurran. Los consumidores pueden recuperar su dinero según la ley federal, pero algunos expertos están preocupados de que los ataques crecientes puedan hacer que un gran banco sea insolvente si tiene éxito, o al menos crear un pánico que conduzca a una corrida bancaria.