Cómo un ciberataque podría provocar la próxima crisis financiera

Desde que la quiebra forzosa del banco de inversiones Lehman Brothers provocó la crisis financiera hace 10 años, los reguladores, los gestores de riesgos y los banqueros centrales de todo el mundo se han centrado en apuntalar la capacidad de los bancos para resistir las crisis financieras. Pero puede que la próxima crisis no se deba en absoluto a una crisis financiera. El culpable más probable: un ciberataque que provoque interrupciones en las capacidades de los servicios financieros, especialmente en los sistemas de pago, en todo el mundo. Los delincuentes siempre han buscado formas de infiltrarse en los sistemas de tecnología financiera. Ahora, el sistema financiero se enfrenta al riesgo añadido de convertirse en un daño colateral en un ataque más amplio contra la infraestructura nacional crítica. Un ataque de este tipo podría debilitar la confianza en el sistema mundial de servicios financieros y provocar que los bancos, las empresas y los consumidores se sintieran obstaculizados, confundidos o entraran en pánico, lo que a su vez podría tener un importante impacto negativo en la actividad económica. Se están tomando muchas medidas para protegerse contra ese escenario. Pero hay que hacer más. Un ataque que socave la confianza en esas mismas máquinas también podría tener consecuencias debilitantes en el flujo de dinero entre los consumidores, las empresas y las instituciones financieras de todo el mundo.

••• Desde que la quiebra forzosa del banco de inversiones Lehman Brothers provocó la crisis financiera hace 10 años, los reguladores, los gestores de riesgos y los banqueros centrales de todo el mundo se han centrado en apuntalar la capacidad de los bancos para resistir las crisis financieras. Pero puede que la próxima crisis no se deba en absoluto a una crisis financiera. El culpable más probable: un ciberataque que provoque interrupciones en las capacidades de los servicios financieros, especialmente en los sistemas de pago, en todo el mundo. Los delincuentes siempre han buscado formas de infiltrarse en los sistemas de tecnología financiera. Ahora, el sistema financiero se enfrenta al riesgo añadido de convertirse en un daño colateral en un ataque más amplio contra la infraestructura nacional crítica. Un ataque de este tipo podría debilitar la confianza en el sistema mundial de servicios financieros y provocar que los bancos, las empresas y los consumidores se sintieran obstaculizados, confundidos o entraran en pánico, lo que a su vez podría tener un importante impacto negativo en la actividad económica. La ciberdelincuencia por sí sola costó a los países más de 1 billón de dólares en todo el mundo, mucho más que el récord de 300 000 millones de dólares en daños debido a los desastres naturales en 2017,[según un análisis reciente realizado por nuestra empresa](https://www.oliverwyman.com/our-expertise/insights/2018/jun/cyber-risks-that-hide-in-plain-sight.html). Clasificamos los ciberataques como la mayor amenaza a la que se enfrenta el mundo empresarial en la actualidad, por delante del terrorismo, las burbujas de activos y otros riesgos. Un ataque a una red de procesamiento o comunicación de un ordenador podría causar entre 50 000 y 120 000 millones de dólares en daños económicos, una pérdida que se sitúa entre las de los huracanes Sandy y Katrina,[según estimaciones recientes](https://www.weforum.org/agenda/2018/01/our-exposure-to-cyberattacks-is-growing-we-need-to-become-cyber-risk-ready/). Sin embargo, un ataque mucho más amplio y debilitante no es descabellado. El mes pasado, la Oficina Federal de Investigaciones [emitió una advertencia](https://www.bankinfosecurity.com/fbi-warns-pending-large-scale-atm-cashout-strike-a-11329) a los bancos sobre un ataque pendiente a gran escala conocido como huelga de «retiro de efectivo» en los cajeros automáticos, en el que oleadas de retiros fraudulentos sincronizados agotan las cuentas bancarias. Mientras tanto, en julio, fue[revelado](https://www.wsj.com/articles/russian-hackers-reach-u-s-utility-control-rooms-homeland-security-officials-say-1532388110) que los hackers que trabajaban para Rusia habían penetrado fácilmente en las salas de control de las empresas eléctricas estadounidenses y podrían haber provocado apagones. ¿Cómo podría desarrollarse una crisis financiera provocada por un ciberataque? Un escenario probable sería un ataque de una nación rebelde o un grupo terrorista contra instituciones financieras o infraestructuras importantes. En Corea del Norte, por ejemplo, el Grupo Lazarus, también conocido como Hidden Cobra[, de forma rutinaria](https://www.us-cert.gov/HIDDEN-COBRA-North-Korean-Malicious-Cyber-Activity) busca formas de comprometer a los bancos y explotar las criptomonedas. Un ataque a un banco, un fondo de inversión, una empresa de custodia, una red de cajeros automáticos, la red de mensajería interbancaria conocida como SWIFT o la propia Reserva Federal representaría un ataque directo al sistema de servicios financieros. Otra posibilidad sería si un supuesto hacktivista o[«guion para niños»](https://en.wikipedia.org/wiki/Script_kiddie) aficionado utilizó programas maliciosos para lanzar un ciberataque sin tener debidamente en cuenta las consecuencias. Un ataque de este tipo podría tener una reacción en cadena y causar daños mucho más allá de la intención original, porque las reglas, las normas de batalla y los principios que son sabiduría convencional en la mayoría de las situaciones de guerra, pero que no existen de manera significativa en el ámbito digital. Por ejemplo, en 2016, un chico de guiones provocó un amplio ataque de denegación de servicio que afectó a Twitter, Spotify y otros servicios de Internet conocidos, cuando los aficionados se unieron para hacer travesuras[propósitos](https://www.dailymail.co.uk/sciencetech/article-3914950/Were-script-kiddies-massive-hack-floored-Amazon-Twitter-Reddit-Experts-claim-code-used-DNS-attacks-simple-written-high-school-student.html). Si un ciberataque importante es deliberado o[algo accidental](https://threatpost.com/dyn-confirms-ddos-attack-affecting-twitter-github-many-others/121438/), los daños podrían ser importantes. La mayoría de las redes de cajeros automáticos de Norteamérica podrían congelarse. Las tarjetas de crédito y otros sistemas de pago podrían fallar en países enteros, [como le ocurrió a la red VISA en el Reino Unido en junio](https://www.parliament.uk/documents/commons-committees/treasury/Correspondence/2017-19/visa-response-150618.pdf). La banca en línea podría resultar inaccesible: sin efectivo, sin pagos, sin información fiable sobre las cuentas bancarias. Los bancos podrían perder la capacidad de realizar transacciones entre sí durante un período crítico de incertidumbre. Podría producirse un pánico generalizado, aunque sea temporal. Tal resultado podría no provocar el tipo de crisis financiera latente que provocó la Gran Recesión, ya que es probable que el dinero se devuelva a los bancos y los proveedores de pagos una vez que los sistemas vuelvan a estar en funcionamiento. Al mismo tiempo, no está claro cómo un banco central, el tradicional bombero de crisis financieras, podría responder a este tipo de crisis con poca antelación. Una vez que se solucione el problema y se detenga la crisis, se avecina una abrumadora tarea de recuperación. Sería aún más difícil si los datos se dañaran, manipularan o hicieran inaccesibles. ¿Cómo podemos evitar ese escenario? Las empresas deben implementar sistemas que les permitan detener la propagación del contagio de un ciberataque y reanudar las operaciones de la manera más rápida y fluida posible. El sector de los servicios financieros tiene que ponerse de acuerdo plenamente en las estrategias coordinadas de respuesta y recuperación y estar preparado para ponerlas en práctica a fin de evitar las crisis sistémicas. Los reguladores de muchos países han sido [trabajando diligentemente](https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016L1148&from=EN) para prepararse para los ciberataques y reducirlos, pero tienen que mirar más allá de sus propias fronteras e introducir reglamentos, leyes y marcos de cooperación al unísono, como la Directiva de seguridad de las redes y la información de la Unión Europea, que está diseñada para proteger una lista cada vez mayor de infraestructuras críticas, desde los sistemas bancarios y de salud hasta los mercados en línea y los servicios en la nube. Muchas de estas medidas se están llevando a cabo en diversos grados. Pero hay que hacer más. Un ataque que socave la confianza en esas mismas máquinas también podría tener consecuencias debilitantes en el flujo de dinero entre los consumidores, las empresas y las instituciones financieras de todo el mundo.