Artículo de María Guilarte en Smart CIO. Publicado el 29 de enero de 2015.
Se podría decir que el 2014 fue el año de la ciberseguridad, tanto para bien como para mal. Ayer el informe de ENISA, elaborado por la Comisión Europea, definía el 2014 como el año de “las violaciones de datos”. Estudios de Oracle y Cisco también confirmaban esta realidad, los datos no están seguros en las empresas españolas.
¿Y los bancos?
Si hay unas organizaciones que debe garantizar lo máximo posible la seguridad de su información, esas son las entidades bancarias. La transformación que está viviendo el sector financiero hacia el entorno digital conlleva nuevos riesgos que antes no se contemplaban.
En este escenario, la ciberseguridad en la banca es fundamental para evitar el fraude sobre los clientes, pero también porque los sistemas tecnológicos de las entidades constituyen una de las infraestructuras críticas de la seguridad nacional de un país.
Un par de días sin la posibilidad de retirar dinero de los cajeros, o sin poder realizar pagos con tarjetas de crédito, puede provocar una situación caótica en cualquier país. Según el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal:
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Según explica Daniel A. Lopez Carballo en El Derecho:
Se debe tener en cuenta la aparición de nuevos servicios como la banca electrónica, a distancia, la contratación de productos telefónicamente o el telemarketing, en la que deberá asegurarse la prestación del consentimiento, tanto en materia de protección de datos como en la propia contratación de productos con fines probatorios y en lo referido a lo establecido en la legislación vigente y en materia de defensa del consumidor. Debe hacerse especial hincapié en lo relativo a la identificación del usuario, mediante la inclusión de un código o clave telefónica, la autenticación como control de seguridad, así como la utilización de nuevas tecnologías como la firma electrónica, certificados digitales, entre otros. En todo caso, deberá estarse a lo dispuesto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, legislación, instrucciones y recomendaciones específicas del sector y normativa europea.
La tecnología es ya un punto vital en las empresas bancarias. Los analistas de IDC elaboraron un estudio para Wincor Nixdorf en el que se desprende que los bancos invertirán en 2017 alrededor de 16.000 millones de dólares en la renovación de sus redes de sucursales (Branch Transformation) y en las nuevas tecnologías necesarias para ello.
En este sentido, los responsables del Programa de Innovación y Tecnología Financiera del IEB han elaborado un documento que recoge las claves de la ciberseguridad en la banca española:
1-. ¿Qué posición ocupa España? Es el tercer país que más ciberataques recibe mediante software malicioso o malware instalado en los ordenadores de los usuarios, solo superado por EEUU y Reino Unido. Por eso, España es uno de los países más avanzados en el desarrollo de sistemas de seguridad para la detección del fraude que, en el caso de las entidades españolas, es casi residual. En nuestra banca no se han dado todavía casos serios de ataques masivos, ruptura de la seguridad o robo de datos de clientes.
2-. ¿Cuánto gastamos en ciberseguridad? Las empresas españolas gastan 14.000 millones de euros al año en reforzar la seguridad en Internet. Unos 50.000 trabajadores se dedican a este campo y la facturación anual supera los 6.000 millones de euros.
3-. ¿Cómo se preparan las entidades? La gestión de los riesgos cibernéticos ya está incluida en la estrategia de gestión del riesgo de las entidades. Los bancos disponen de sistemas capaces de detectar en tiempo real actuaciones incoherentes de los clientes -previniendo así el fraude-, como soluciones de seguridad para afrontar los retos del Big Data, monitorización de usuarios, algoritmos predictivos, etc. Las entidades españolas también analizan cambios en los patrones de uso y navegación del cliente online, como su localización geográfica o la plataforma habitual del usuario, todos ellos cambios atípicos que podrían suponer una manifestación de accesos fraudulentos.
4-. ¿En qué ámbitos se centran los ciberataques? El sector financiero está en la diana de los cibercriminales, hasta el punto de que cerca de la mitad de los ciberataques afectan a este sector. En este ámbito, un estudio elaborado por el Banco Central Europeo señala que el 60% del volumen del fraude con tarjetas bancarias se centra en el pago no presencial con tarjeta, es decir, en compras a distancia o por Internet, un porcentaje que sigue en aumento a medida que se desarrolla el comercio electrónico.
5-. ¿Cuáles son las principales amenazas? Las amenazas y ataques que experimenta diariamente el sistema bancario ya no solo proceden de individuos deseosos de quebrar la seguridad de un banco, como los hackers, sino que se está convirtiendo en práctica habitual también de cibercriminales, que buscan lucro económico, ciberterroristas, que tratan de atentar contra la seguridad nacional, o del ciberespionaje entre Estados.
