Ciberataques a bancos representan pérdidas cercanas al 9% de sus ingresos netos

Según un reciente informe elaborado por el Fondo Monetario Internacional titulado “Cyber Risk for the Financial Sector: A Framework for Quantitative Assessment”, los ataques informáticos podrían representar para el sector financiero mundial pérdidas cercanas a los 100 mil millones de dólares.

Según la directora del FMI, Christine Lagarde, el ciberriesgo representa una amenaza significativa para el sistema financiero. Y prueba de esto en América Latina son los casos recientes de ataques a instituciones financieras, como el ciberataque al Banco de México en abril de este año o el ataque al Banco de Chile hace apenas un par de semanas. Y si nos remontamos más atrás en el tiempo y miramos el escenario a nivel global podemos repasar los ataques a bancos más importantes de los últimos años para entender el porqué de esta creciente preocupación.

La gestión de riesgos cibernéticos es un tema que preocupa y cada vez más. Al menos así lo demuestra el informe del FMI, donde varias encuestas, como una que realizó el Banco de Inglaterra (Bank of England) en 2017, reflejan que en la actualidad, la principal preocupación por parte de ejecutivos y gerentes de riesgo a nivel global pasa por los riesgos de ser víctimas de un ataque informático. En un segundo lugar quedaron preocupaciones como el riesgo geopolítico o el impacto de las nuevas regulaciones.

Vulnerabilidades del sector financiero

Según explica Lagarde en un artículo publicado en el blog oficial del FMI, el sector financiero es particularmente vulnerable a los ciberataques, donde la explotación de una vulnerabilidad en una sola institución puede representar la rápida propagación de una amenaza que afecte a todo el sistema interconectado. A esto se suma como problemática el uso de sistemas anticuados, que en muchos casos no son lo suficientemente seguros y resistentes ante un ciberataque, afirmó. En este sentido, datos de una encuesta publicados en el tercer informe anual sobre ciber resiliencia en las organizaciones, elaborado por el Instituto de Investigación Ponemon, refuerzan esta realidad y afirman que la inversión en el campo de la ciberseguridad en las organizaciones es una de las áreas de menor prioridad.

Es importante entender que un ataque a una institución financiera puede representar importantes perjuicios desde el punto de vista material, pero también daños indirectos muy severos como es la mala reputación, aseguró la directora del organismo.

Un gran problema que dificultad la posibilidad de realizar análisis cuantitativos radica en la falta de datos acerca del costo que representa un ciberataque, ya que las instituciones no tienen ningún tipo de incentivo para reportarlos, afirma Lagarde. Pese a eso, a través del uso de técnicas de la ciencia actuarial y la medición del riesgo operacional, el estudio logró estimar las pérdidas que suponen los ciberataques.

Estimación de las pérdidas

Para estimar el cálculo se utilizó como marco de referencia datos sobre las pérdidas provocadas por ciberataques en 50 países. Si bien las cifras son ilustrativas, sirven como punto de partida para estimar las pérdidas potenciales que puede representar un ciberataque para una institución financiera, comentó en el artículo Christine Lagarde. En este sentido, los datos sugieren que las pérdidas anuales promedio como consecuencia de un ciberataque puede representar cerca del 9% de los ingresos netos de un banco, lo que equivaldría a 100 mil millones de dólares al año. Aunque la cifra duplicaría o hasta triplicaría en un escenario más severo donde la frecuencia de los ciberataques sea mayor.

Este marco de referencia puede ser de utilidad para analizar escenarios de extremo riesgo que involucren ataques masivos, donde según los datos recolectados para el informe, ante esos escenarios que apenas representan el 5% de los casos, las pérdidas potenciales podrían llegar a suponer la pérdida de la mitad de los ingresos netos de un banco.

Según explica la directora del FMI, pese al impacto que representa un ciberataque para una institución financiera, la mayoría de las instituciones no cuentan con un seguro ante incidentes cibernéticos. Y aquellas que sí buscan una solución de este tipo se encuentran con que las coberturas en muchos casos son limitadas y que las aseguradoras tienen dificultades para evaluar los riesgos debido a la falta de datos, agregó.

Lagarde concluye que hay mucho margen para mejorar las evaluaciones de riesgo. Y es en este punto opina que la recopilación de datos más precisos y completos sobre la frecuencia y el impacto de los ciberataques por parte de los gobiernos ayudaría en gran medida para una mejor evaluación de los riesgos que supone un ciberataque para el sector financiero. En este sentido, la directora del organismo consideró que es necesario continuar trabajando para mejorar los marcos regulatorios y de supervisión, así como también en fortalecer la capacidad de resiliencia de las instituciones financieras, tanto para reducir las posibilidades de sufrir un ciberataque como también para facilitar una recuperación rápida y con el menor impacto posible en caso de sufrir un impacto de esta naturaleza.

Quizás te puede interesar:

• Aspectos a tener en cuenta para mejorar la capacidad de resiliencia ante un ciberataque
• ESET Security Report 2018: el estado de la seguridad de la información en las empresas de la región