El Banco de España ha alertado de que la "ciberresiliencia" de las entidades financieras se verá afectada por la evolución de las tecnologías asociadas a la inteligencia artificial (IA). Según el artículo publicado en su última Revista de Estabilidad Financiera, aseguran que los bancos estarán menos protegidos ante los ciberataques.
El artículo, titulado 'Fortaleciendo la ciberresiliencia del sector financiero. Evolución y tendencias', define la ciberresiliencia como la "capacidad de una organización para continuar llevando a cabo su misión, anticipándose y adaptándose a las ciberamenazas y otros cambios relevantes en su entorno".
Asimismo, también describe los riesgos y tendencias que pueden afectar a la ciberresilencia, entre los que se incluye el uso de la IA tanto de manera ofensiva como defensiva, considerando que podría producirse una "carrera tecnológica" por su utilización.
En relación a los casos ofensivos, cita ejemplos de uso de IA para "burlar" mecanismos de control de acceso tradicionales y, con mayor eficiencia aún, aquellos basados en imágenes o patrones de voz; la posibilidad de un malware (softwares maliciosos) en aplicaciones legítimas y controlar su ejecución; o el uso de 'smart malware' (software maliciosos más sofisticados).
Respecto a los casos defensivos, el supervisor destaca que la IA permitirá a las entidades detectar patrones anómalos en los grandes volúmenes de información, más allá de lo que consiguen los analistas humanos o los sistemas tradicionales. Además, se integrará con los antivirus y los sistemas de detección y prevención de intrusos.
"El resultado de la carrera por explotar las posibilidades de la Inteligencia Artificial dependerá, en gran medida, de qué aplicaciones evolucionen más rápido y del ritmo de adopción de las entidades", señalan los autores del artículo Silvia Senabre, Iván Soto y José Munera.
Riegos para la estabilidad financiera
El artículo señala que las características propias del sector financiero generan un "elevado nivel de exposición" de las entidades individuales a los ciberincidentes, al tiempo que facilitan que el impacto se pueda extender y amplificar "hasta poner en peligro la estabilidad financiera".
Entre estas características, cita la "fuerte" dependencia del sector hacia la tecnología, el atractivo de la industria para los atacantes, el "alto grado" de interconexiones entre sus integrantes y una "gran sensibilidad" a la pérdida de confianza de los usuarios.
Además, resalta el uso y la contratación de servicios de terceros para acceder a innovaciones tecnológicas y para llevar a cabo la digitalización del sector, como proveedores de servicios y productos, start-ups, incubadoras o aceleradoras.
En este sentido, afirma que la resiliencia y la ciberseguridad de estas terceras partes, y en especial de los proveedores, "se han convertido en una preocupación creciente para autoridades y entidades", de forma que algunos de estos proveedores "han pasado a ser elementos vertebradores para el sector financiero".
Impacto del Covid-19 y del teletrabajo
El artículo señala que la pandemia de Covid-19 ha acelerado e impulsado la digitalización del sector, incrementando la dependencia de las entidades de proveedores de servicios tecnológicos, mientras que la implantación del teletrabajo ha creado "riesgos adicionales", como los que se pueden producir a través de accesos "insuficientemente securizados" desde dispositivos personales y redes domésticas de conexión.
"La conjunción de estos factores ha creado un entorno muy atractivo para los ciberataques, que no han perdido la oportunidad de explotarlos. Así, se ha podido observar que, durante la pandemia, el sector financiero ha sido la principal víctima de ciberataques en todo el mundo, solo superada por el sector sanitario".
Además, el artículo del Banco de España afirma que, si bien varios estudios sugieren que el sector financiero es uno de los "mejor preparados" frente a los ciberriesgos, el nivel de ciberresiliencia "no es homogéneo" entre sus integrantes. Las medidas de seguridad y de control no resultan suficientes para gestionar los "ciberriesgos" potenciados por la pandemia.
"No es de extrañar, por tanto, que entre las entidades que han sufrido un mayor incremento en el número de ciberataques recibidos, destaquen las cooperativas de crédito, las entidades de pago y las aseguradoras", resaltan al respecto.
'Zero Trust'
En cuanto a las medidas a implementar para evitar o minimizar riesgos, el Banco de España ha destacado la evolución de las entidades, que han pasado de un enfoque "centrado en la protección de sus conexiones con el exterior, perímetro, hasta otro más holístico, en el que es fundamental tener en cuenta todos los posibles vectores de amenaza, incluyendo los internos".
En este sentido, el artículo también destaca la implementación del modelo 'Zero Trust' en algunas empresas, de manera que se elimina el principio de confianza en todas las operaciones, lo que lleva a que se verifique "siempre" la identidad del usuario en cada operación relevante.
