Se atribuye al ex director del FBI, Robert Mueller, una frase con la que resume su visión del estado del mundo. “Existen – según Mueller – dos tipos de empresas: las que han sido hackeadas y las que pronto serán hackeadas”. Los permanentes ciberataques contra las infraestructuras y clientes de diferentes entidades financieras, como el que sufrió hace poco el gigante JP Morgan, y las pérdidas multimillonarias que generan a la economía mundial son descritos minuciosamente en un estudio de PwC, Threats to the Financial Services Sector, que encuentra disparidades en las cifras publicadas y plantea serias dudas acerca del celo con el que los responsables del sector afrontan esas amenazas.
A finales de agosto, varios bancos estadounidenses -entre ellos JPMorgan-sufrieron un ataque de phishing que consiguió acceder a la cuentas bancarias de sus clientes [inútil preguntarse por las consecuencias finales] y extraer gigabytes de datos confidenciales. Poco antes, el troyano Shylock diseñado para interferir las rutinas de 30.000 ordenadores con Microsoft Windows y especializado en la captación supersónica de dinero procedente de cuentas bancarias, antes de migrar a igual velocidad hacia nuevas víctimas, desencadenó una dura batalla contra sus autores por parte de la National Crime Agency británica, el FBI, Dell SecureWorks y Karspersky Lab, entre otros. En este último caso, aparentemente, ganaron los buenos.
Continuamente aparecen noticias, análisis y encuestas de diversas fuentes sobre este problema. La reiteración, y los augurios consiguientes de portavoces de la industria financiera, están sembrando la alarma acerca del peligro creciente de ciberdelitos contra las infraestructuras tecnológicas de los gestores de capitales, y reafirman la necesidad de plantear respuestas unificadas y globales a la proliferación de razias online.
Sin ir más lejos, el australiano Greg Medcraft, presidente de la International Organization of Securities Commissions (Iosco), advertía taxativamente que el “próximo crack financiero provendrá del ciberespacio”. El problema, según Medcraft, “no radica sólo en la creciente actividad de los hackers, sino en la descoordinación e inconsistencia de los esfuerzos realizados para luchar contra las amenazas virtuales”.
Banqueros y operadores de bolsa de todo el mundo temen las implicaciones de un ‘cisne negro’, metáfora con la que se define a un hecho considerado improbable pero de consecuencias imprevisibles [el éxito de Google, el atentado del 11-s o la posibilidad de que un paria llegue a ser presidente de la India].
En el mismo sentido se pronunció, la Securities and Exchange Commission (SEC) de Estados Unidos, cuando su presidenta, Mary Jo White, dijo que “las ciberamenazas son de una gravedad extraordinaria”. Argumento similar al que utiliza el socio de ciberseguridad de PwC, Richard Horner, quien trae a la memoria un viejo aserto de la industria de las TIC: “los mercados financieros están globalmente interconectados, de tal forma que el sistema es tan fuerte como lo es el punto de conexión más débil”. De lo que deduce que hace falta coordinación y consistencia en las actuaciones”.
En otras palabras, la conectividad y el acceso tienen vértices tan recónditos que motivan a los cibercriminales a evitar los radares y provocan en ocasiones el ridículo de aquellas entidades financieras que sean incapaces de percibir las incursiones hasta tiempo después de producirse el daño.
Esta realidad ha auspiciado la elaboración de numerosos estudios como el publicado recientemente por PwC, que abarca no sólo a la banca sino también a las aseguradoras, gestoras de fondos, operadores bursátiles y otras entidades privadas. Threats to the Financial Services Sector se ha desgajado del macroinforme 2014 Global Economic Crime Survey, en el que la consultora asegura que “a pesar de que el sector financiero se encuentra a la vanguardia en términos de prevención y detección del cibercrimen, podría y debería hacer mucho más para combatirlo [sic]”.
A modo de resumen, los cinco principales delitos económicos reportados por las entidades financieras son [se comparan las cifras 2014-2011]: apropiación indebida de activos (67% y 67%); cibercrimen (39% y 38%), blanqueo de dinero (24% y 24%); manipulación contable (21% y 26%) y soborno-corrupción (20% y 16%).
El cibercrimen se ha convertido, pues, en la segunda categoría global más común de delito económico en el sector financiero (39%), cifra que duplica la media en el resto de las industrias (17%). No obstante, la propia PwC desliza sus dudas sobre la validez de estos resultados, al reseñar que “el porcentaje final es alarmantemente bajo, ya que nuestra experiencia apunta a que una amplia mayoría de las organizaciones financieras, especialmente la banca minorista, sufrió ciberataques durante los dos últimos años”. Cabe preguntarse ¿quién tiene mayor interés en modular la realidad de las cifras?
Más información surge del informe elaborado por Iosco, organización que reúne a más de 120 reguladores financieros de todo el mundo. La razón se inclina del lado de las dudas: más de la mitad de los operadores de bolsa ha sido objeto de incursiones online delictivas y, para el 89% de estas entidades, el cibercrimen supone un riesgo sistémico que afecta no solo a las finanzas, sino a su reputación, con la consiguiente pérdida de confianza de la opinión pública.
Es preocupante que sólo un 41% de la muestra responda que es probable que sus organizaciones experimenten algún tipo de ciberdelito en los próximos 24 meses, y que un alarmante 54% de los CEO y un 49% de los CFO del sector financiero se manifiesten en el mismo sentido. Y todavía lo es más, a la vez que curioso, que uno de cada cinco CEO dejara sin respuesta la pregunta.
Los datos contrastan con el hecho de que los entrevistas responsables de las áreas de auditoría interna, compliance y control de riesgo creen, por mayoría, en la probabilidad de que sus organizaciones sean atacadas por ciberdelincuentes. Ya es algo, comparado con la laxitud que demuestran los departamentos más implicados en tareas ejecutivas y financieras. Lo que demostraría, según PwC, que “existe una severa desconexión en la percepción del riesgo dentro de estas organizaciones, lo que podría provocar errores de comunicación y de asunción de responsabilidades en la lucha contra este problema”.
Es ampliamente reconocido que las entidades financieras están a la vanguardia en la lucha contra el cibercrimen. Esto ya se dijo más arriba. Sin embargo, los resultados del informe sugieren que la complacencia sigue arraigada por diversas razones: quizá los gestores sientan que sus organizaciones disponen de las mejores herramientas de ciberseguridad provistas hasta la fecha, sin darse cuenta de que las amenazas siempre van un paso por delante; o puede que ciertas funciones (incluyendo las financieras) tiendan todavía a percibir la ciberseguridad como un asunto exclusivo del departamento de TI, no como un peligro que afecta al conjunto del negocio. En todo caso, advierten los autores, “todos deberían ser conscientes de que la probabilidad de que sus organizaciones sufran ciberataques aumenta y es independiente de los sistemas de seguridad interpuestos”.
No sólo crece el volumen de los ciberataques, sino que los métodos evolucionan constantemente, así como su especialización geográfica. Las ciberamenazas en Oriente Medio retrocedieron entre 2012 y 2013, pero Estados Unidos se enfrenta a un aumento de ataques DDoS (Distributed Denial of Service), retiradas de efectivo en cajeros realizadas por grupos criminales organizados y a un mayor número de incursiones dirigidas a las tarjetas de crédito y a la información confidencial de sus clientes. En otros países, como Japón, las estafas por suplantación de identidad o phishing se han dirigido a los ordenadores personales de los clientes vía virus, utilizando ventanas emergentes o correos electrónicos enmascarados para conseguir su información personal.
Los expertos en ciberseguridad también perciben un aumento de estos delitos en África, un dato que correlacionan con las iniciativas de los gobiernos de la región para impulsar la banda ancha. Diversas informaciones apuntan también a que los cibercriminales se están moviendo desde Europa a Sudáfrica como resultado del incremento en la cooperación e intercambio de información entre las agencias policiales y reguladores de la Unión Europea.
Hubiera sido pertinente que PwC publicase las cifras referentes al cibercrimen en las entidades financieras españolas; no es así, aunque un apéndice del citado macroinforme permite extrapolar comparativas sobre la industria nacional considerada en su conjunto.
Los datos de la Encuesta sobre Fraude y Delito Económico 2014: Resultados en España sitúan el ciberdelito en cuarta posición (12,5%) [la segunda a escala global] y que los tres delitos económicos que las empresas españolas esperan sufrir con más probabilidad en los próximos 24 meses son la apropiación indebida de activos (44,3%), el abuso de información privilegiada (30,4%), y la manipulación contable (24,1%). Otra aportación interesante del estudio se refiere a la disminución de la sensación de ciber riesgo en España. Un 20% de las empresas e instituciones afirmaba, en 2011, que su percepción respecto al cibercrimen había aumentado.
La cifra, no obstante,se ha reducido tres años más tarde a un 16,5%, muy pero que muy lejos de los porcentajes europeo (52,6%) y global (45,3%). Esto sugiere, según el análisis de PwC, que la actitud de la industria financiera española es demasiado contemporizadora si se compara con la del resto del mundo. Con este matiz: “es posible que la mayoría de las organizaciones españolas que afirman no haber sufrido un ciberataque, pueda haberlo experimentado sin saberlo” [o sin hacerlo público]
El estudio dedica un capítulo al análisis de las principales fórmulas de detección del crimen económico utilizadas por las empresas. A escala mundial, el método más utilizado es el análisis de transacciones sospechosas (16,3%); mientras que en el caso español, se centra en la analítica de datos (19,4%).
Según el documento, la prevención es la mejor arma de lucha contra los delitos económicos, ya que el 72% de los fraudes se cometen porque existe la posibilidad u oportunidad de hacerlo. Es decir, si la organización fuera capaz de limitar la oportunidad, podría detectarse antes de su comisión. Y es precisamente en esa línea donde los reguladores y las propias organizaciones se están concentrando. Así, el 41% de las empresas españolas afirma tener implantado un modelo de prevención y detección de riesgos en 2013, frente al 30,6% de la encuesta anterior.
Finalmente, el informe también apunta que los canales de denuncias -tanto externos como internos- constituyen una iniciativa muy eficaz para implantar estrategias de prevención en las empresas. Estos medios permiten a empleados, clientes y proveedores denunciar o comunicar comportamientos o situaciones poco éticos y, por lo tanto, identificar y detectar posibles fraudes. En España, el 22,6% de los fraudes se detectan a través de este procedimiento, un porcentaje muy similar a la media europea (21,2%) y global (23,3%).
Parece lógico que un tema tan sensible provoque desinformación, oscurantismo en las respuestas y, por lo tanto, sesgos en los estudios que afrontan el tema. Quizá por ello, a PwC le asaltan dudas sobre la validez de algunos resultados de su estudio. Quizá los más suspicaces piensen que al ser parte interesada, se preocupa por su negocio y ponga más carne de la debida en el asador. Lo único seguro es que los numerosos ataques que se están produciendo ahora mismo en todo el mundo no hacen sino dar la razón a Bill Gates cuando afirmaba que “el crimen online forma parte de la maduración del medio”.
[informe de Lola Sánchez]