El Banco de España alerta de que la inteligencia artificial mermará la ‘ciberresiliencia’ de las entidades financieras

El Banco de España ha publicado un nuevo número de su Revista de Estabilidad Financiera (de periodicidad semestral). En uno de los artículos, titulado Fortaleciendo la ciberresiliencia del sector financiero. Evolución y tendencias, profundizan sobre ese término derivado de la resiliencia operacional, alertando de que la inteligencia artificial hará que los bancos estén menos protegidos ante los ciberataques. 

En primer lugar, Silvia Senabre, Iván Soto y José Munera —autores del estudio— toman prestada del Comité de Supervisión Bancaria de Basilea (BCBS, por sus siglas en inglés) la definición de resiliencia ocupacional: “La capacidad de un banco para mantener sus operaciones críticas en situaciones adversas”. Definición que, subrayan, “podría aplicarse no solo a bancos, sino también a todo tipo de compañías privadas e instituciones públicas dentro y fuera del sector financiero”.

A partir de ahí llegan al concepto de ciberresiliencia, como “un caso particular de la resiliencia operacional”, que, en el Cyberlexicon del Consejo de Estabilidad Financiera (FSB, por sus siglas en inglés) se define como “la capacidad de una organización para continuar llevando a cabo su misión, anticipándose y adaptándose a las ciberamenazas y a otros cambios relevantes en su entorno, resistiendo, conteniendo y recuperándose rápidamente ante ciberincidentes”.

La elevada exposición del sector financiero a los 'ciberdelincuentes'

Señalan en el estudio que algunas de las características intrínsecas del sector financiero, no sólo generan un elevado nivel de exposición de las entidades individuales a los ciberincidentes, sino que además facilitan que su impacto se pueda extender y amplificar hasta poner en peligro la estabilidad financiera.

Entre estas características, mencionan su fuerte dependencia de la tecnología, su atractivo para atacantes con distintas motivaciones, el alto grado de interconexiones entre sus integrantes, y una gran sensibilidad a la pérdida de la confianza de sus participantes.

Por ello, resaltan, “mejorar la ciberresiliencia del sector financiero es un elemento imprescindible para el mantenimiento de la estabilidad financiera”.

Cada vez hay más 'ciberincidentes'

Aunque algunos estudios, comentan en el texto, sugieren que el financiero es uno de los sectores críticos mejor preparados frente a los ciberriesgos, en parte debido a su elevado grado de regulación y supervisión, el nivel de ciberresiliencia de sus integrantes no es homogéneo. 

En algunos casos, las medidas de seguridad y los controles implementados por las entidades, especialmente en el caso de las más pequeñas, no resultan suficientes para gestionar los ciberriesgos que la pandemia ha exacerbado. 

No es de extrañar, por tanto, “que, entre las entidades que han sufrido un mayor incremento en el número de ciberataques recibidos, destaquen las cooperativas de crédito, las entidades de pago y las aseguradoras, pertenecientes a sectores que concentran muchas entidades de pequeño tamaño”.

Abogados, periodistas, cocineros… trabajos en peligro por la inteligencia artificial

España, detallan, se encuentra en buena predisposición para hacer frente a estos delincuentes cibernéticos: según el índice global de ciberseguridad, que anualmente publica la Unión Internacional de Telecomunicaciones —agencia especializada de las Naciones Unidas para las TIC—, es uno de los países con una mayor capacidad en dicho sentido, ya que ocupa el cuarto lugar de la lista.

A pesar de ello, los ciberincidentes no cesan en su crecimiento. En los últimos años, anotan, se han incrementado notablemente la frecuencia y la sofisticación de los ciberataques de los que ha sido víctima el sector financiero, y que han sido gestionados por el Centro Criptológico Nacional (CCN). Estas son los incidentes: 

• 2015: 18.232.
• 2016: 20.807.
• 2017: 26.472.
• 2018: 38.192.
• 2019: 42.997.

Los datos del CCN también muestran que un 64% de los incidentes que gestionaron en 2019 fueron clasificados con una peligrosidad alta, muy alta o crítica.

Respecto a los costes asociados a estos ataques, comentan que es difícil cuantificarlos con precisión, sin embargo, “hay unanimidad respecto a que el impacto negativo de los ciberincidentes, incluyendo las pérdidas económicas asociadas, se reduce en aquellas compañías que disponen de medidas adecuadas para proteger sus sistemas, detectar tempranamente los incidentes cuando ocurren y tener mecanismos de respuesta y recuperación frente a ellos”.

La inteligencia artificial afectará a la 'ciberresiliencia'

Y así llegan en el estudio a uno de los puntos más destacables, donde afirman que “la ciberresiliencia de las entidades financieras se verá particularmente afectada por la evolución de las tecnologías asociadas al campo de la inteligencia artificial”.

Se identifican, resaltan, casos de uso en los ámbitos de la ciberseguridad ofensivos y defensivos, en lo que podría considerarse una carrera tecnológica. 

En relación con la vertiente ofensiva, entre otros ejemplos, cabe subrayar el uso de soluciones de inteligencia artificial para burlar mecanismos de control de acceso tradicionales y, con mayor eficiencia aún, aquellos basados en imágenes o patrones de voz; embeber malware en aplicaciones legítimas y controlar su ejecución, o lo que se ha denominado smart malware, es decir, software malicioso que aprende patrones de uso permitidos en una organización (ya sea de usuarios o programas), los emula, y utiliza las vulnerabilidades existentes para escapar a la detección y propagarse. 

La ciberseguridad aterriza en los derechos laborales, pero los convenios de Telefónica, Mercadona, Inditex y la mayoría de empresas siguen descargando la responsabilidad en los trabajadores

Por lo que se refiere a la vertiente defensiva, destaca el modelado del comportamiento del tráfico de red de una organización. La inteligencia artificial, sostienen, permitirá la detección de patrones anómalos especialmente complejos en volúmenes ingentes de información, más allá de lo que permiten las capacidades de un analista humano o un sistema tradicional, y su integración con antivirus y sistemas de detección y prevención de intrusos. 

El resultado de la carrera por explotar las posibilidades de la inteligencia artificial dependerá, en gran medida, “de qué aplicaciones evolucionen más rápido y del ritmo de adopción de las entidades”.

Fuente: MSN