Ciberseguridad y sector financiero, por Kurt Burneo

Lo ocurrido la semana pasada con la exposición de datos de una parte de clientes de uno de los 4 bancos más grandes del país por un acceso no autorizado levantó muchas suspicacias en ellos. Esta impresión aumentó luego de sorpresivas suspensiones del servicio en dicho banco, lo que incrementó la sensación de indefensión en ellos, a pesar de que el banco aseguraba que los fondos están protegidos habiéndose reforzado las medidas de seguridad. Lo ocurrido nos lleva a un tema poco discutido como la ciberseguridad en las instituciones financieras. Haré una primera aproximación económica financiera sobre el tema. 

¿Qué es la ciberseguridad en los bancos? Es un conjunto de medidas y prácticas diseñadas para proteger los sistemas informáticos y los datos sensibles de las instituciones financieras contra ataques cibernéticos y amenazas digitales. En la práctica es proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de potenciales afectaciones digitales. Las organizaciones tienen la responsabilidad de proteger los datos para mantener la confianza del cliente y cumplir la normativa del regulador. El uso de la tecnología en el sistema financiero facilita la vida a los usuarios, aunque también conlleva riesgos que deben enfrentarse.

De allí la importancia del concepto de ciberseguridad, que admite la posibilidad de un ciberataque. Los ciberataques podrían interrumpir, deshabilitar, destruir o controlar maliciosamente la infraestructura informática de una organización. Estos son cada vez más sofisticados y frecuentes, y podrían afectar la estabilidad del sistema financiero e interrumpir los servicios que oferta.  En el mundo actual, se observa que entidades financieras en diversas partes del mundo son afectadas por estos eventos, que originan efectos operacionales, reputacionales y hasta estratégicos. Dichos efectos están relacionados con el grado de sofisticación del ataque y la capacidad de respuesta de la entidad financiera, del sector en que opera y del país. Pero ¿qué pasó?

El banco enfrentó un ciberataque que dejó a muchos usuarios sin acceso a su app, lo cual impidió realizar transacciones bancarias digitales. Lo ocurrido también afectó a su billetera digital, que se encontraba en mantenimiento, y se restringieron algunas transacciones básicas. En los hechos, el banco informó a los usuarios sobre el inconveniente y sugirió realizar transferencias a través de la plataforma de banca móvil o intentar nuevamente más tarde. Los principales canales afectados fueron su aplicación móvil y billetera electrónica. Esta plataforma vinculada experimentó caídas que imposibilitaron la realización de transferencias, con el añadido de que agencias físicas del banco, en razón de los problemas en su sistema, suspendieron temporalmente su atención, de allí las colas de clientes que se vieron por la televisión.

El propio banco, a través de un comunicado público, buscando tranquilizar a sus usuarios —frente al riesgo de una eventual corrida de depósitos—, a pesar de existir un Fondo de Seguros de Depósitos que cubre hasta S/121.900, señalaba que ha reforzado la protección de sus sistemas y que continúa supervisando todas las operaciones para asegurar la integridad de la información. La institución garantizaba explícitamente que los fondos y productos financieros de sus clientes se mantenían seguros y que las operaciones pueden realizarse con normalidad.

Este ataque implica una suerte de reto para el banco, lo que implica la necesidad de un explícito compromiso con la seguridad de los datos de sus usuarios y el propio banco señaló que, tras detectar el acceso no autorizado, activaron de inmediato protocolos de seguridad adicionales e implementaron un monitoreo exhaustivo de sus operaciones. “Hemos identificado que algunos datos de un grupo de clientes han sido expuestos por un tercero sin nuestra autorización”, indicó la institución.

Con independencia de la posterior intervención de la SBS, Indecopi y hasta la Defensoría del Pueblo, un efecto inmediato es la afectación adversa a la confianza, más aún cuando lo que oferta un banco son servicios. Adicionalmente, se podría intuir la ocurrencia de alguna migración de clientes del banco que tuvo el problema, hacia los otros tres bancos grandes del sistema, más aún en el caso de los clientes cuyos datos fueron expuestos, sin que haya un informe de la SBS que refiera lo que pasó, estableciendo responsabilidades y acciones del banco por adoptar, para morigerar el riesgo.

En suma, la tecnología facilita la oferta de servicios financieros, pero no está exenta de riesgos, los cuales deben ser morigerados continuamente en el tiempo, y en el caso específico de las acciones preventivas en el sector financiero, por parte del regulador de la relación entidad-cliente —esto es la SBS— resulta fundamental.