Los ciberataques acechan a la banca, el sector preferido de los ciberdelincuentes

Madrid, 5 abr (EFE).- Las amenazas y ataques cibernéticos acechan a la banca y la protección frente a ellos es un coste cada vez más importante, aunque estos esfuerzos no le restan atractivo para los ciberdelincuentes, para los que sigue siendo el principal objetivo de sus ataques en España.

Los ciberataques subieron un 26 % el año pasado en España, donde el Instituto Nacional de Ciberseguridad (Incibe) registró 122.223 incidentes de seguridad en la red, y detectó y notificó 237.028 sistemas vulnerables relevantes, susceptibles de ser explotados por ciberdelincuentes, según el balance anual de este organismo.

El sector más afectado fue la banca, con el 34 % de los incidentes, el doble que el que le sigue, el transporte, con el 14 %, en tanto que las infraestructuras de mercados sufrieron el 7 %, y las aseguradoras y fondos de pensiones, el 6 %.

Los ciberataques y fallos tecnológicos son unos de los principales riesgos que vigilan los supervisores y reguladores bancarios para preservar la estabilidad financiera.

Desde enero de 2025, en la Unión Europea está en vigor el reglamento de Resiliencia Operativa Digital (DORA) y en enero de 2027, con la implementación de Basilea III, se reforzarán los requisitos de gestión de riesgos operativos y de ciberseguridad.

Los bancos de toda Europa ya se han sometido a pruebas de estrés para evaluar cómo los ciberataques u otras interrupciones tecnológicas pueden afectarles, evaluando qué requisitos de capital serían necesarios para hacer frente a la inestabilidad financiera generada por riesgos cibernéticos.

En el verano de 2025 se añadieron nuevas normas técnicas que complementan los requisitos de DORA y exigen pruebas de penetración basadas en amenazas para ciertas entidades financieras.

Además, el Banco Central Europeo (BCE) ha puesto en marcha el marco TIBER-EU para probar la resiliencia del sector financiero frente a ciberataques a través de ataques controlados, simulando un ciberataque a funciones críticas y a los sistemas que las soportan.

Unos 'hackers éticos', proveedores externos autorizados, simulan ciberataques actuando como actores maliciosos, aunque sin causar daños reales.

La vulnerabilidad de los bancos a ciberataques obedece a diferentes factores, como a sistemas que deben actualizarse para prevenir, detectar y recuperarse de amenazas, o a la dependencia de proveedores externos.

Según Fortinet, empresa estadounidense de desarrollo de software y dispositivos de ciberseguridad, el 96 % de los bancos europeos se habían visto afectados por una brecha de seguridad en un socio externo y el 97 % sufrió incidentes relacionados con un proveedor externo.

DORA, el reglamente europeo, establece que los bancos deben contar con planes para rescindir sus relaciones con proveedores de servicios, si estos cometen incumplimientos normativos o del servicio.

La inteligencia artificial (IA) está introduciendo nuevas vulnerabilidades, al amplificar las amenazas cibernéticas y permitir más y mayor variedad de ciberataques.

El último informe de 'Ciberseguridad de la banca europea" de Fortinet señala que con la IA se automatizan y amplían las operaciones delictivas, haciéndolas más difíciles de detectar y existe el riesgo de que datos manipulados afecten a los modelos de IA utilizados.

Un estudio de SAS, compañía de soluciones de datos e IA, señala que un 47 % de los bancos infrautiliza la IA porque no confían suficientemente en ella, y solo el 11 % tienen sistemas fiables.

La criptografía cuántica, que puede revolucionar la criptografía de clave pública que permite transacciones seguras en la red, podría introducir nuevos riesgos con ataques del tipo "cosechar ahora, descifrar después", según Fortinet.

La Reserva Federal de Estados Unidos analizó en un documento los riesgos potenciales de la criptografía cuántica para las redes de pago y examinó posibles impactos de un ataque en la red bitcóin. EFE