Alerta por la vulnerabilidad del sistema financiero a los ciberataques

Los reguladores deben examinar mucho más de cerca a sus proveedores de tecnología y otras empresas digitales o atenerse a nuevos riesgos, según advirtió la CFTC estadounidense.

Los operadores de derivados suelen seguir de cerca la Comisión de Comercio de Futuros de Materias Primas (CFTC, por sus siglas en inglés) de Estados Unidos los viernes. Este es el día en que la CFTC publica normalmente su informe semanal de "compromisos de los operadores", que muestra el posicionamiento general en los mercados de derivados, como los futuros del petróleo.

Este mes, sin embargo, los datos estuvieron desaparecidos en acción debido a que un pequeño grupo de bajo perfil llamado Ion Markets -con sede en Dublin, pero utilizado por docenas de operadores estadounidenses y europeos- sufrió un ataque de ransomware el 31 de enero.

Todd Conklin, subsecretario adjunto del Tesoro estadounidense, se apresuró a tranquilizar a los inversores subrayando que "el problema está actualmente aislado en un pequeño número de pequeñas y medianas empresas y no supone un riesgo sistémico para el sector financiero". Uff.

¿Qué pasó con el metaverso?

Sin embargo, el ataque obligó a los clientes de Ion a utilizar durante un tiempo los anticuados libros contables en papel, lo que impidió a la CFTC cotejar los datos de posicionamiento secuencial. Algunos operadores me dicen que esto podría haber tenido un efecto dominó en los precios.

Este incidente es un llamado de atención que los inversores no pueden permitirse ignorar. Porque lo que demuestra es que en los últimos años el sector financiero cayó en una gran dependencia de proveedores tercerizados de tecnología, tanto grandes como pequeños.

Esto "crea una importante fuente de [nuevos] riesgos", como señala Rostin Behnam, presidente de la CFTC. Eso se debe en parte a que estas entidades sólo están ligeramente supervisadas (en el mejor de los casos), ya que quedan fuera de las competencias de los reguladores financieros. Los propios clientes de los operadores también tienen escasa visibilidad de sus operaciones. (Un giro sorprendente en la saga de Ion es que la empresa no ha ofrecido actualizaciones públicas sobre los acontecimientos, aparte de una escueta declaración inicial).

La otra cuestión es que los ataques maliciosos a infraestructuras financieras y empresariales occidentales se están acelerando, tanto por parte de gobiernos hostiles, como Rusia, como de bandas criminales. "Una encuesta realizada en 2022 a 130 instituciones financieras mundiales reveló que el 74% sufrió al menos un ataque de ransomware en el último año", afirma Christy Goldsmith Romero, comisionada de la CFTC.

Además, estos ataques se han vuelto tan sofisticados que el Departamento de Justicia habla ahora del surgimiento de ransomware como servicio (RaaS), señala, (un juego de palabras irónico con el conocido término de Software as a Service, o SaaS).

¿Hay alguna solución? Reguladores y financieros barajan furtivamente algunas ideas. La CFTC dice que planea crear un "marco de ciberresiliencia para brokers y agentes", con normas que los obliguen a supervisar a sus proveedores de tecnología. Esto se hace eco de la Ley de Resiliencia Operativa Digital recientemente aprobada por el Parlamento Europeo, que también hace responsables a los grupos financieros de la seguridad de los proveedores de tecnología que utilizan.

En qué invierte Warren Buffett y por qué desconfía de uno de los mayores negocios de Microsoft

Pero estas reformas siguen pareciendo demasiado modestas para resolver el problema. Una de las razones es que las payasadas de proveedores de tecnología como Ion, pueden colarse fácilmente entre las grietas de los reguladores nacionales, sin una mejor coordinación. En cualquier caso, no parece factible ni justo esperar que las empresas financieras vigilen ellas mismas a estos proveedores de tecnología.

Así que algunos observadores están considerando ideas más radicales. Una de ellas, propuesta el año pasado por Brett Goldstein, exfuncionario de ciberseguridad del Pentágono, es que el gobierno restrinja la elección de proveedores por parte de las empresas a una lista preaprobada. Al fin y al cabo, señala, un ataque a la infraestructura financiera básica sería un problema de seguridad nacional.

Sin embargo, este férreo control estatal sería muy polémico en un país como Estados Unidos, ya que parece contradecir los principios del gobierno corporativo y el culto a la innovación del mercado. Así que otra vía, más realista, sería ampliar el perímetro regulador y pedir a los reguladores financieros que controlen ellos mismos a los proveedores de tecnología y otras empresas digitales.

El escándalo del imperio cripto envuelve a prestigiosos abogados de Wall Street

De hecho, algunos banqueros centrales ya están presionando en este sentido porque grandes grupos tecnológicos como Apple están empezando a ofrecer servicios financieros. Otro impulso es que los bancos, los agentes de Bolsa y los gestores de activos dependen cada vez más de un pequeño grupo de entidades Big Tech, como Microsoft y Amazon, para la computación en la nube.

Como señala Michael Hsu, Contralor de la Moneda en funciones, existen riesgos de 'puntos únicos de fallo' (o Spof) en los que la pérdida de un nodo afecta a todo el sistema, similar al tipo de problemas en la cadena de suministro que estallaron durante la pandemia de Covid-19.

Y lo que resulta tan alarmante de la saga de Ion es que demuestra que el problema de los Spof no se limita únicamente a las grandes tecnológicas. "Sin duda, está justificado un replanteamiento normativo", como sostiene Agustín Carstens, director del Banco de Pagos Internacionales.

Pero incluso si pensamos que la petición de Carstens es correcta, la cruda realidad es que es poco probable que esto se aplique pronto. Por un lado, es probable que las empresas tecnológicas se resistan ferozmente a una nueva supervisión; por otro, no está claro que los reguladores financieros puedan siquiera crear las capacidades adecuadas para supervisar a los grupos de software, aunque los políticos se lo permitieran. Existe una enorme brecha cultural y de competencias.

Así que la inquietante realidad es que no habrá una solución rápida para los problemas. O no, a menos que políticos, financieros, inversores y reguladores refuercen sus defensas e impulsen reformas. Sin esto, el próximo ataque podría causar daños mucho más duraderos que Ion. Es una idea aterradora.

Temas relacionados
Más noticias de Ciber ataque

Las más leídas de Financial Times

Destacadas de hoy

Noticias de tu interés

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.