España no es una excepción, en ninguno de los puntos: ni en el de los ataques ni en el de la opacidad. De hecho, nuestro país es el tercer país que más ciberataques recibe en los equipos de usuarios, por detrás de EEUU y Reino Unido? y hemos mejorado: En 2013, llegamos a ser el segundo país, superando incluso a Reino Unido.
De los 70.000 ciberataques que se registran en España, la mitad se dirigen a los bancos
De todos estos ciberataques, que las autoridades estiman en unos 70.000, la mitad van dirigidos a nuestros bancos y, sin embargo, el mantra que se repite desde arriba es que, que se sepa, la banca española no ha sufrido ningún ataque masivo? algo que resulta difícil de creer dado el volumen de bancos como el Santander o el BBVA. Según los expertos del Instituto de Estudios Bursátiles (IEB), este blindaje de nuevo sistema financiero ante los ataques se debe a que sólo en seguridad nuestra banca destina unos 14.000 millones de euros al año.
Poca más información acerca de estos ciberataques a la banca podrá encontrar, aunque la solicite, aunque sea usuario de las entidades y, en teoría, tenga derecho a saber si sus ahorros han estado en riesgo de ser robados. No olvidemos que atacar a un banco ni siquiera requiere lanzar un ciberataque directamente a sus servidores, sino que se puede dar rodeos. En este sentido, los cajeros automáticos han demostrado ser una buena puerta de entrada.
Las causas de la opacidad
No es la primera vez que abordo el tema de la opacidad en materia de brechas de seguridad pero, ¿cuáles son los motivos para tal opacidad? Tres principalmente: por un lado, la reputación. A fin de cuentas, la confianza de los clientes es la base del negocio de la banca, algo que ya de por si esta crisis se ha encargado de dinamitar. Lo último que desea un banco es mostrarse ante el mercado como una entidad vulnerable.
Lo peor de todo, no es sólo que estos ciberataques no lleguen a la opinión pública, sino que ni siquiera trascienden a otras instancias, ni siquiera a las autoridades. Así lo exponía la Fundación ESYS en uno de sus informes, admitiendo que existe una ?ausencia de comunicación de los incidentes que se producen?. El estudio reclamaba, por ejemplo, el desarrollo de una Oficina de Denuncias Cibernéticas para favorecer la denuncia de estos delitos. Eso rompería la más que alarmante falta actual de control sobre la información que manejan los CERT de los incidentes.
A diferencia de países como EEUU, en España no hay obligación legal de comunicar a las autoridades este tipo de incidencias. La Estrategia de Ciberseguridad Nacional que se presentó a finales de 2013 supuso un paso adelante, considerando que nuestro país se encontraba en el Pleistoceno a nivel legislativo, pero sigue siendo muy mejorable. Lo dicen, incluso, expertos de organismos afines al Gobierno, como es el Real Instituto Elcano, que aseguran que si algo evidencia esta Estrategia es que ?no parece que se haya terminado de entender las implicaciones del ciberespacio y nuestro horizonte de acción es más reactivo que prospectivo, lo que lastra nuestra preparación de cara al futuro?.
Como posible solución paliativa se propone en algunos ámbitos la adopción de un programa de incentivos en ciberseguridad, lo que no está exento del riesgo de que el negocio genere una burbuja en lugar de mejorar la seguridad. Hablamos de un mercado que en España, sólo ligado a la ciberseguridad en banca, mueve a unos 50.000 trabajadores y una facturación privada que supera los 6.000 millones de euros al año.
Ya en 2014 visitó España el prestigioso analista de sistemas de la Universidad de California Raj Shah y alucinó con el panorama que se encontró, llegado a sugerir que es como si en España no se produjeran los 70.000 ciberataques que en realidad sufrimos: ?No se comparte la información cuando alguien sufre un hackeo ni, por lo tanto, tampoco las medidas de seguridad que pueden evitarlo en el futuro?.
El segundo de los motivos son las reclamaciones de los clientes, que traen consigo tanto la pérdida de confianza ?y el usuario español de la banca es extraordinariamente infiel, casi ?se vende? por un juego de sartenes- como las indemnizaciones por daños. Y el tercer motivo, muy en la línea de coste económico, viene de la mano de las sanciones administrativas, especialmente a la Agencia Española de Protección de Datos.
España es uno de los país que cuenta con una de las legislación de protección de datos más estrictas y que una base de datos de clientes de un banco se vea comprometida por un ciberataque se traduciría en una sanción por no haber desplegado la protección debida.
Si quieres ampliar más información, recomiendo la descarga del informe de la Fundación ESYS. A finales de este mismo mes tendremos una nueva versión actualizada del mismo.
.
