A los perpetradores de un ciberataque les toma menos de una hora entrar al sistema. Pero entre 61 y 65% de los atacados tarda semanas en descubrir el desfalco, consigna un documento de trabajo del Fondo Monetario Internacional (FMI).

En un análisis presentado en las Reuniones Anuales del FMI, detallan que tras un ataque cibernético, el impacto al sistema financiero incluye varios costos, que van desde las pérdidas ocasionadas por el incidente hasta los de la investigación forense, asistencia legal, notificación a los clientes, gastos en seguridad para los clientes y un seguro de protección, y medidas posteriores para endurecer la ciberseguridad.

En el documento, titulado “Ciberriesgos, fallas de mercado y estabilidad financiera”), esgrimen que también se presentan costos indirectos, “menos visibles pero de más largo alcance” que incluyen: el riesgo reputacional que afecta la relación entre el cliente y la marca de las instituciones afectadas, la depreciación del valor intelectual del sistema hackeado, el mayor costo de operación que tendrán las medidas de prevención futuras y un aumento en el costo de aseguramiento ante la siniestralidad del evento.

En el documento, desarrollado por investigadores del Departamento del Hemisferio Occidental, donde se encuentra México, consignan que “el verdadero costo de un ciberataque se manifiesta unos pocos años después de perpetrado” y se basan en una encuesta dirigida por Verizon el año pasado, para destacar que en Estados Unidos las pérdidas resultantes de los ciberataques representaron un tercio del costo reputacional sobre las instituciones atacadas. Es decir, los clientes de una empresa financiera atacada suelen dejarla.

Los autores destacan que hay varios tipos de ciberataques al sistema financiero: negación de servicio para extorsión, transferencia fraudulenta de fondos, fraude de tarjetas de crédito, y entre “los más peligrosos y dañinos” están los que afectan las infraestructuras financieras o sistemas de mensajes.

Los que generan la destrucción deliberada de cuentas y hardware (DarkSeoul) o las que comprometen datos y sistemas que proveen servicios (Corkow malware). En todas estas variantes, precisan, “se ha visto afectada la confianza en el sistema financiero o en las instituciones individuales”.

Consignan que dada la naturaleza criminal de los ciberataques, los reguladores tendrán que mantener acciones coordinadas por agencias de procuración de justicia. Sugieren también que los reguladores, hacedores de políticas y supervisores mantengan un contacto permanente para mejorar la resistencia del sector financiero a los ataques potenciales.

Pérdidas y casos mundiales

En el análisis, desarrollado por Emanuel Kopp; Lincoln Kaffengerger y Christopher Wilson, estiman que las pérdidas mundiales anuales por ciberataques al sistema financiero rondan entre los 250,000 millones de dólares y 1 billón de dólares.

Sólo para Estados Unidos, la cifra va de los 24,000 millones a un cuarto de billón de dólares, también anuales.

Detallan cuatro de algunos casos emblemáticos de ciberataques: en febrero del 2016, “criminales robaron 81 millones de dólares del Banco Central de Bangladesh, introduciendo un malware al sistema de servidores del SWIFT. Pero los delincuentes intentaron transferirse más de 1,000 millones de dólares, lo cual no lograron concretar por un error de dedo.

Otro ejemplo es el KfW, un banco de desarrollo alemán que en febrero del 2017 transfirió erróneamente 5,400 millones de dólares a cuatro bancos, reportando un problema técnico en transferencias únicas en varias ocasiones.

En el “ataque destructivo” contra el sistema de cómputo de Corea, perpetrado en el 2013, y llamado Dark Seoul Malware, los atacantes intervinieron las operaciones de los cajeros automáticos de los bancos de Corea del Sur, infectando 48,000 computadoras y generando pérdidas estimadas en 738 millones de dólares.

En el 2016, el Corkow Malware, criminales comprometieron el sistema de terminales de los bancos rusos utilizando un software llamado Corkow. Meses después, utilizaron un Corkow Malware para ejecutar millones de operaciones de alto valor para transferirse 400 millones de dólares. Las transferencias se dieron en 14 minutos.

Ciberseguridad, el paso siguiente

Según los investigadores, la industria financiera ha sido el foco de los ataques y el hackeo es uno de los riesgos sistémicos ejemplares, “de libro de texto”.

Consignan que “no está claro cuál puede ser la mejor respuesta de política ante el riesgo cibernético sistémico, incluida la forma de diseñar una regulación ex ante y asignar una responsabilidad ex post. Ni tampoco se tiene claro en qué niveles las empresas, los gobiernos y las instituciones financieras internacionales deben cooperar.

Sin embargo, recomiendan establecer estándares mínimos de administración de riesgo en tecnologías de la información; marcos de riesgo operativos que incluyen la cuantificación de costos operativos para un sistema de ciberseguridad que incluya medidas físicas, contratación de expertos y pago de seguros antiataques cibernéticos.

En la propensión a un ciberataque, el común denominador está en las asimetrías de información, estrategias de ciberseguridad desalineadas, exposiciones a vulnerabilidades de acceso, así como la correlación de riesgos y el contagio, esgrimen.Dada la sofisticación y cambios de la tecnología, es importante mantener al personal a la vanguardia.

ymorales@eleconomista.com.mx