Los retos que plantea la ciberseguridad solo podrán ser abordados a través de una amplia colaboración en los aspectos tecnológicos y de innovación en la industria financiera, teniendo en cuenta además la llegada de nueva legislación al respecto. En una reciente presentación en Barcelona y Madrid, CACEIS, el grupo bancario de servicios de activos de Crédit Agricole y Santander, realizó una exposición sobre la situación actual, las dificultades y también las necesidades del sector.
Los expertos de IBM estiman que el coste medio de las filtraciones de datos en el segmento financiero ascendió en 2023 en todo el mundo a 5,90 millones de dólares, explicó Eva Puerta, CISO (Chief Information Security Officer) de CACEIS Bank Spain & Latam.
En España se producen además una media de 1.252 ataques por semana, y en 7 de cada 10 casos afectan a empresas pequeñas y medianas, por lo que son este tipo de firmas las que más dificultades enfrentan, al no contar con una infraestructura adecuada para hacer frente a las amenazas.
Desde la gestora destacaron la corresponsabilidad de todos los involucrados, y la importancia de crear una comunidad de intercambio e innovación ante los desafíos cibernéticos. Para ello, organizaron la pasada semana los «Desayunos Tech» con varios de sus clientes, con el objetivo de no solo ser su banco custodio y depositario, sino también el de ser un referente para ellos y proporcionarles información, aclaración y consejos sobre cómo aplicar estos principios en su día a día.
Puerta detalló la arquitectura interna de una entidad como CACEIS, centrada en defender sus plataformas, anticipar posibles amenazas pero también mejorar, lo que incluye crear conciencia mediante formaciones tanto internas como externas a la firma acerca de la necesidad de mantenerse alerta e informado de estos riesgos.
Como respuesta a amenazas como el phishing (la suplantación de identidad de entidades o personas mediante correos electrónicos falsos) y el smishing (similar, pero a través de mensajes de texto del teléfono), la normativa europea se ha ido adaptando, pero también implica un desafío para gestoras y entidades, añadió.
Una de las principales novedades es el Reglamento de Resiliencia Operativa Digital (DORA), que deberá ser cumplido a partir de enero de 2025. Esta nueva norma aprobada por el Consejo y el Parlamento Europeo busca garantizar que el sector financiero siga funcionando en Europa incluso en caso de grave perturbación operativa. “Se trata de una normativa de la UE que comprende una serie de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea y aplica a todas las instituciones financieras, independientemente de su tamaño o complejidad”, explicó Puerta.
Otra regulación es la directiva NIS2, que introduce obligaciones más estrictas de notificación de incidentes, pero solo es de obligado cumplimiento para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros en adelante, o bien para aquellas que presten servicios esenciales.
Ante las dificultades de implementación, entre los asistentes se comentó la importancia de un diálogo fluido con la CNMV para poder concretar los pasos necesarios que implica la nueva normativa, con tan solo un año por delante para su introducción, así como la necesaria repercusión en los costes y cómo afrontarla.
Arquitectura y Blockchain
En el camino hacia la transformación digital de la industria, Ramón Parrilla, Innovation Head Spain & Latam de CACEIS, explicó algunas de las nuevas tecnologías que se están adoptando, y se centró en concreto en los servicios desacoplados o APIs (interfaces de programación de aplicaciones) a través de Internet, así como la adopción de la tecnología Blockchain.
Las APIs están cambiando el sector financiero al permitir la integración de aplicaciones antes aisladas a través de un protocolo estandarizado de comunicación entre ellas, facilitando que un tercero se conecte a un proveedor para consumir una serie de datos, o bien para acceder a funcionalidades.
Sin embargo, aunque se pueden diseñar y tener rendimientos en base a las necesidades de cada caso, Parrilla destacó la importancia de considerar la información estructurada a intercambiar o publicar, la seguridad y las posibilidades de autoservicio como elementos clave para verificar su correcta funcionalidad.
Respecto al Blockchain, explicó que se trata de una base de datos distribuida con la información almacenada en bloques y validada a través de un protocolo común sobre la base de contratos inteligentes o “smart contracts”. “La información queda registrada de manera ordenada (secuencial) en grupos de transacciones denominados bloques (“blocks”), que son validados por un grupo de actores o ‘mineros’, dependiendo del algoritmo de consenso utilizado, antes de que dicha información forme parte del repositorio (“chain”). Para esta tarea puramente técnica, dichos actores reciben una recompensa (“gas fee”) que se paga en unidades de la criptomoneda de la Blockchain en cuestión”, indicó Ramón.
En el caso concreto de la industria financiera, las principales ventajas de su uso como herramienta son la existencia de una sola versión de la verdad y la disposición inmediata de la información.
En cuanto a la regulación, en el uso de tecnología basada en Blockchain, destacan MiCA (“Market in Crypto-Assets”), que deberá estar en vigor a principios de 2024, así como el EU Pilot Regime (EU Sandbox for DLT based technology), que actualmente está vigente desde principios de este año.
Por Funds Society, Madrid
