La otra cara de la revolución digital de la banca: otro ataque es cuestión de tiempo, avisa el BCE

La semana pasada, el Banco Central Europeo (BCE) anunciaba un ataque informático a uno de sus sitios web. No será un caso aislado. La institución ya reconoce abiertamente que los bancos que adopten un sistema de almacenamiento de datos en la nube y otras tecnologías digitales corren un serio riesgo de ser atacados por piratas informáticos, y estudia exigirles medidas adicionales de seguridad, o incluso mayores colchones de capital.

“Habrá accidentes, especialmente en la nube”, avisa Korbinian Ibel, director general del brazo supervisor del BCE, en una entrevista concedida a Bloomberg. “No es que las nubes sean más vulnerables, en realidad están mejor protegidas que los sistemas internos, pero son vistas como objetivos jugosos”.

Los servidores físicos son muy caros de mantener y ofrecen menos flexibilidad, lo que explica que algunos bancos, entre ellos Deutsche Bank, se estén planteando trasladar la mayoría de sus aplicaciones a la nube. No obstante, según tranquiliza Ibel, los bancos europeos tienden a evitar poner “datos altamente confidenciales” en las nubes públicas. “Vemos los beneficios” del cloud computing, señala Ibel, pero avisa: “La regla es que el banquero es siempre responsable de sus datos y servicios”.

En ese sentido, el supervisor único de la eurozona se está planteando exigir a los bancos que adopten prácticas más arriesgadas que posean más capital, así como ordenar medidas cualitativas potencialmente costosas, como mejorar la forma en que los usuarios acceden a los sistemas informáticos.

Por el momento, los bancos han respondido a la revolución digital contratando a expertos en tecnología, a veces incluso nombrándolos para formar parte de sus órganos directivos. Pero eso podría no ser suficiente, avisa Ibel. “No basta con tener a una persona como experto en TI”. “Se necesita un entendimiento común a nivel de la junta de las necesidades y riesgos de TI”.

El BCE sufre un hackeo y posible robo de datos

Los avisos del BCE llegan apenas unos días después de que la propia institución anunciase una violación de las medidas de seguridad que protegen el sitio web de su Diccionario Integrado de Información Bancaria (BIRD), alojado por un proveedor externo. Como resultado, fue posible que los datos de contacto (pero no las contraseñas) de 481 suscriptores del boletín BIRD fueran robados. La información afectada consiste en las direcciones de correo electrónico, nombres y cargos de los suscriptores.

El BCE, que cerró BIRD, anunció que se está poniendo en contacto con las personas cuyos datos pueden haber sido afectados. La brecha logró inyectar malware en el servidor externo para ayudar a las actividades de phishing. No obstante, “ni los sistemas internos del BCE ni los datos sensibles al mercado se vieron afectados”, apuntaba la institución.

El sitio web de BIRD ofrece al sector bancario información detallada sobre cómo elaborar informes estadísticos y de supervisión. Está físicamente separado de cualquier otro sistema externo e interno del BCE. La institución ha señalado en un comunicado que “se toma muy en serio la seguridad de los datos. Hemos informado al Supervisor Europeo de Protección de Datos sobre la violación”. “El BCE está tomando las medidas necesarias para garantizar que el sitio web pueda reanudar sus operaciones de forma segura”, concluye.

Acceda a la versión completa del contenido