El Instituto Nacional de Ciberseguridad (Incibe), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, y CECA (asociación bancaria integrada por CaixaBank, Kutxabank y Cajasur Banco, Abanca, Unicaja, Ibercaja Banco, Caixa Ontinyent, Colonya Pollença y Cecabank) han firmado un acuerdo de colaboración para reforzar la ciberseguridad y ciberresiliencia del sector financiero, en concreto operadores privados, que fomente la divulgación de las posibles amenazas y ciberataques que pongan en riesgo su funcionamiento y disponibilidad esenciales.
Así, durante los próximos cuatro años, Incibe facilitará las herramientas necesarias para llevar a cabo diversos análisis situacionales del sector en términos de ciberseguridad y participará en el diseño y puesta en marcha de nuevas iniciativas. Por su parte, CECA liderará iniciativas de divulgación y educación en materia de ciberseguridad e impulsará, en cooperación con Incibe, acciones para promover las mejores prácticas en ciberseguridad entre sus entidades asociadas.
Hasta el momento, un total aproximado de 30 entidades financieras, incluidos bancos y aseguradoras, han suscrito acuerdos de confidencialidad para recibir los servicios que presta Incibe-CERT, entre los que destacan: la ayuda y el apoyo en la gestión y respuesta a incidentes; la vigilancia y monitorización de sus activos; la participación en ciberejercicios para el entrenamiento de sus capacidades de ciberseguridad; y la medición y mejora de la ciberresiliencia. Se incluyen: BBVA, Grupo Santander, Redsys, Iberpay, Bolsas y Mercados Españoles (BME), Bankinter, CaixaBank, Banco Sabadell, Cecabank, Banco de España (BdE), ABANCA, Mapfre y AXA, entre otras.
Apuesta firme por el sector financiero desde Incibe-CERT
En la actualidad, desde Incibe se están llevando a cabo conversaciones activas, intercambiando propuestas y formando grupos de trabajo con diversas asociaciones del sector financiero, con el objetivo de establecer acuerdos de colaboración y convenios de cooperación con otras asociaciones como el Centro de Cooperación Interbancaria (CCI), la Asociación Española de Banca (AEB) y Unespa Además, se está participando en eventos y congresos relevantes del sector para dar a conocer los servicios prestados desde Incibe-CERT, como el espacio web dedicado al sector financiero, donde se facilitan contenidos específicos -avisos generales, avisos SCI, análisis de riesgos, noticias y artículos- adaptados a las necesidades de los sectores críticos de la Directiva NIS.
En el contexto del Reglamento sobre la Resiliencia Operativa Digital (DORA) de la Unión Europea, creado para ayudar a fortalecer la ciberseguridad en el sector financiero, Incibe-CERT es uno de los equipos de respuesta ante incidentes de referencia que, en coordinación con otros equipos nacionales e internacionales, se constituye como punto de apoyo para asegurar una respuesta efectiva y eficiente frente a ciberincidentes que puedan afectar a la integridad del sistema financiero.
Según DORA, las entidades financieras están obligadas a reportar cualquier incidente relevante a la Autoridad de Supervisión Competente (ASC) dentro de los plazos estipulados. Incibe, como CSIRT de referencia para entidades privadas, mantiene un contacto directo con las Autoridades de Supervisión y Control, como el Banco de España (BdE), la Comisión Nacional del Mercado de Valores (CNMV) y la Dirección General de Seguros y Fondos de Pensiones (DGSFP), mediante el establecimiento de un procedimiento de gestión de ciberincidentes para el sector financiero.
CyberEx España
Desde el año 2012, Incibe-CERT ha actuado como coordinador en la ejecución CyberEx España. Se trata de un evento integrado por tres ejercicios diferentes, que tienen la finalidad de entrenar la capacidad de respuesta de una entidad ante circunstancias que se podrían dar en situaciones reales.
Cabe destacar la implicación de las entidades financieras que han participado en alguno de los ocho ciberejercicios organizados por Incibe-CERT, donde han podido entrenar y evaluar de forma práctica su capacidad de respuesta ante circunstancias que se podrían dar al sufrir un incidente de ciberseguridad. Por ejemplo, la edición CyberEx España de 2016 se desarrolló con el sector financiero (banca y seguros) y el ejercicio consistió en pruebas personalizadas a la tipología de incidentes del propio sector.
Por otro lado, desde 2015, Incibe lleva realizando el modelo de Indicadores para la Mejora de la Ciberresiliencia (IMC) en entidades financieras. En sus ocho ediciones han participado diversas entidades financieras, a las que se les ha realizado un diagnóstico y medición de la capacidad para soportar y sobreponerse a desastres y perturbaciones procedentes del ámbito digital.
Completan los servicios, la sección específica del área de Ciudadanía con material a disposición de los usuarios de entidades financieras para la lucha contra el fraude online y la ingeniería social y la Línea de Ayuda en Ciberseguridad para atender cualquier problema de ciberseguridad de la ciudadanía y las empresas, que puedan estar afectadas por casos de fraude online.
La ciberseguridad, una responsabilidad compartida entre la entidad bancaria y el cliente
Según la primera encuesta de “Ciberseguridad y hábitos de uso de canales digitales”, publicada por CECA en febrero de 2024, las entidades bancarias son las instituciones en las que más confían los españoles ante los ciberataques. El 84% de los españoles asegura sentirse seguro a la hora de operar con su banca digital, siendo las instituciones que más confianza inspiran a los usuarios, seguidas de las administraciones públicas.
En los últimos años, los canales digitales de las entidades bancarias se han consolidado como una herramienta de gran utilidad para la operativa diaria de los clientes. Además, el estudio desvela que los españoles perciben los ciberataques como un peligro creciente. Entre las principales causas del auge de víctimas de ciberataques se encuentra la falta de formación de los usuarios de los canales digitales, donde seis de cada diez encuestados reconocen poseer conocimientos escasos en ciberseguridad, lo que se acentúa entre los mayores de 65 años.
Ante esta situación, las entidades bancarias se vuelcan en crear y divulgar contenidos bajo el firme propósito de impulsar, fomentar y ofrecer a sus clientes las herramientas necesarias para reducir su exposición a fraudes online. Así, el 85% de los encuestados reconoce recibir este tipo de comunicaciones por parte de su banco, pero -a pesar del esfuerzo de las entidades- solo el 54 % afirma prestarle atención.
En el mes de abril, cuatro asociaciones del sector financiero (CECA, AEB, Unacc y ASNEF) junto con Incibe, Guardia Civil y Policía Nacional presentaron ‘Protégete, evitar el fraude está en tus manos’, un plan para prevenir ciberestafas y fomentar la seguridad digital de los ciudadanos. La campaña, basada en vídeos, audios y folletos con consejos para ayudar a las personas a operar con seguridad y actuar ante una ciberestafa, se ha difundido a través de medios de comunicación y redes sociales, así como en oficinas y sucursales de entidades financieras.
CECA promueve la educación financiera para una mejor protección en la era digital
El sector CECA confiere a la educación financiera una prioridad absoluta y la considera una importante palanca para mejorar la vida de las personas, especialmente de los colectivos más vulnerables. Hoy más que nunca es necesario mejorar los conocimientos financieros y las habilidades digitales de la sociedad para que pueda tomar decisiones financieras sólidas y pueda no solo desenvolverse con destreza en el entorno digital, sino también hacerlo de forma segura. En este ámbito, la formación en ciberseguridad cobra especial importancia ante el incremento generalizado de las ciberestafas en los últimos tiempos.
Por este motivo, el sector financiero realiza grandes esfuerzos de concienciación de sus clientes con programas de formación, centrados en ciberseguridad y dirigidos a diferentes segmentos de la población, comunicados constantes a los clientes para alertar de los últimos mecanismos de fraude detectados y consejos prácticos para evitar, en la medida de lo posible, las ciberestafas.
Por Funds Society, Madrid
