Ciberseguridad en el sector financiero: “No hay que preguntarse si nos van a atacar, sino cuándo”

Posted on por
Ciberseguridad en el sector financiero: “No hay que preguntarse si nos van a atacar, sino cuándo”

Estas fueron las palabras de Roberto Romero, director de la unidad de ciberseguridad de Scalian Spain, durante una mesa redonda celebrada en la CMS Finance Week. Romero explicó que, para proteger a las entidades financieras, sus empleados y clientes, “el punto de partida debe ser muy pesimista”, ya que “los malos son muy buenos haciendo su trabajo, por lo cual nosotros tenemos que ser muy buenos, también ante ellos”.

Esta visión fue compartida por otros expertos presentes, como Francisco Zarallo de Akamai Technologies y Wiktor Nykiel, director ejecutivo de Ginsec Ciberinteligencia. Tanto ellos como sus clientes miran al 17 de enero de 2025, fecha en que las autoridades de la Unión Europea comenzarán a supervisar la implementación de la directiva DORA en ciberseguridad.

Esta normativa busca asegurar la operatividad digital de las organizaciones financieras y se complementa con otras como la directiva SRI2, PCI, NIS y la SOX, esta última para empresas cotizadas en EE. UU.

Aunque el sector financiero está cada vez más regulado, el incremento de las normativas no ha evitado los hackeos y suplantaciones de identidad, situaciones que generan una percepción de inseguridad en los clientes, quienes temen por la seguridad de sus fondos.

Empleados y proveedores de banca, principales vías de entrada para los hackers

La percepción de vulnerabilidad se sustenta en datos concretos. Según un estudio de Grant Thornton, el 80% de los ciberataques en la banca tienen como objetivo a los empleados. Además, los proveedores son otra vía de acceso a información sensible.

El Centro Criptológico Nacional informa que entre octubre de 2023 y julio de 2024 se registraron cerca de 950.000 cibercrímenes, un 21,5% más que el año anterior. Romero señaló que esta situación supone un aumento de costes y un “choque de trenes” entre seguridad y operatividad, ya que los recursos y el tiempo necesarios para implementar sistemas avanzados y cumplir con las normativas son “muy altos”.

Francisco Zarallo coincidió, resaltando la carga de recursos físicos, humanos y presupuestarios que implica la adopción de nuevas normas y sistemas de seguridad.

Zero trust en ciberseguridad bancaria

La estrategia fundamental para combatir el cibercrimen en este contexto es la “política de confianza cero” (zero trust), que supone considerar a todos los usuarios dentro de la organización como sospechosos. Según Romero, “nadie puede hacer nada, no me fío de ti por definición, aunque suene mal decirlo, y si accedes a algo es porque puedes hacerlo en base a una serie de criterios de segregación funcional previamente definidos”. Esto implica otorgar permisos únicamente para funciones específicas y revocarlos si el rol del empleado cambia.

Además, es esencial llevar un control exhaustivo de la actividad de los empleados, incluso de aquellos con privilegios en diversas áreas. Desde Akamai Technologies subrayan la importancia de verificar la identidad de quienes acceden a la información y supervisar los dispositivos desde los que se accede para asegurar que solo se consulten los datos permitidos.

Desde Scalian, la recomendación es combinar una buena segregación funcional con un modelo de control de accesos centralizado mediante ABAC (Attributed Based Access Control), lo que facilita el cumplimiento normativo sin sacrificar agilidad y versatilidad en entornos complejos.

Se trata de enfrentar los desafíos que imponen las nuevas normativas de ciberseguridad, alcanzando el equilibrio entre operatividad y seguridad sin comprometer los recursos de la empresa. Como concluye Roberto Romero, en el entorno actual, “no se trata de si se va a sufrir o no un ciberataque, sino de cuándo se va a producir ese ataque”.

También te puede interesar: