Si hablamos de los sectores económicos con mayor regulación en el ámbito de la ciberseguridad, uno de los que aparecen en las primeras posiciones de esta clasificación es el bancario y financiero. Claro está que no es ninguna sorpresa y es comprensible que las autoridades se fijen mucho en cómo están protegidos sus datos, activos financieros y los de sus clientes. También que estén atentos a que se cumplan los estándares más altos en esta materia. Sin embargo, la llegada de la nueva directiva europea de seguridad de la información y las redes (NIS2, por sus siglas en inglés), amplía y actualiza a su predecesora, la NIS1, volviendo aún más rigurosas las exigencias.
Por recapitular, con la aplicación de la NIS2, las entidades bancarias y financieras deben adoptar medidas de gestión de la ciberseguridad, mecanismos para notificar incidentes de ciberseguridad, mecanismos de detección temprana de ataques cibernéticos, y medidas para minimizar el impacto de estos incidentes, de manera tal que las entidades sean ágiles y resilientes ante situaciones que comprometan la seguridad de los sistemas de información. En este sentido, y por extensión, las entidades exigirán a sus proveedores de servicios de la información críticos la adopción de medidas similares, o bien, aportar certificaciones en materia de Seguridad de la Información, Plan de Continuidad de Negocio, o ciberseguridad (ej. Esquema Nacional de Seguridad).
Esta normativa, de obligatoria trasposición en los países miembros de la Unión Europea desde octubre del pasado año, aún es un anteproyecto de Ley en España, la Ley de Coordinación y Gobernanza de la Ciberseguridad, y le queda por pasar el trámite del Congreso de los Diputados. No obstante, los cambios exigidos son profundos y el tiempo apremia. Las instituciones bancarias y financieras, especialmente las más desfasadas en el campo de la ciberseguridad, deben invertir en tecnologías más sofisticadas de prevención de fraude (ej. para evitar ataques como el phishing, el ransomware), inteligencia artificial y análisis de comportamiento para garantizar que las transacciones sean seguras sin afectar la experiencia del usuario.
La inteligencia artificial jugará un papel crucial en la nueva era de la ciberseguridad financiera, permitiendo el análisis en tiempo real de volúmenes masivos de datos. Su capacidad para detectar patrones anómalos con rapidez facilita la identificación de intentos de fraude y otras actividades sospechosas. Además, la agilidad en el reentrenamiento de modelos garantiza una adaptación continua frente a las tácticas en evolución de los ciberdelincuentes.
Asimismo, la implementación de Strong Customer Authentication (SCA), combinando factores de posesión resistentes al phishing con biometría como factor de inherencia, fortalecerá la seguridad en la verificación de identidad y el acceso a sistemas críticos.
Finalmente, la detección proactiva de amenazas será un pilar fundamental, apoyándose en tecnologías como User and Entity Behavior Analytics (UEBA) para identificar anomalías en los comportamientos de usuarios y entidades, así como en la implementación de honeypots, diseñados para atraer y neutralizar ataques previniendo activamente su impacto.
A ello se le debe sumar, indudablemente, la integración de la ciberseguridad como prioridad estratégica de las entidades, ya que NIS2 convierte la ciberseguridad en algo que va más allá del departamento de IT e impone responsabilidades directas a la alta dirección. Así, directivos, ejecutivos y miembros de los consejos de administración deben asumir un papel activo en la supervisión y gestión de la seguridad digital. Por ello, será necesario impartir formación a directivos y consejos de administración e incorporar verdaderamente esta materia a la estrategia corporativa, con sus correspondientes indicadores de cumplimiento y un seguimiento periódico.
Es cierto que NIS2 trae consigo cambios significativos en materia de ciberseguridad para las entidades financieras, lo que supondrá un reto en la implementación de nuevas estrategias y sistemas para cumplir con sus exigencias. Sin embargo, más allá del cumplimiento normativo, esta directiva representa una oportunidad para generar un entorno financiero más seguro, proteger mejor los activos de la población y reforzar la confianza de clientes, socios e inversores. Aquellas entidades que adopten un enfoque proactivo y vayan más allá de las mínimas obligaciones legales no solo minimizarán riesgos, sino que también se diferenciarán en un mercado cada vez más digital y exigente.
Tribuna de Miguel Santos Luparelli, Product Innovation Director en Facephi
Por Funds Society, Madrid