Es urgente reducir riesgos sistémicos de ciberseguridad

FT View© 2022 The Financial Times Ltd.

Al igual que la mayoría de los inversionistas, el gigantesco fondo soberano de Noruega —que posee el equivalente al 1,5% de todas las empresas que cotizan en bolsa en el mundo— tiene mucho de qué preocuparse en una era de valoraciones de mercado cambiantes, presiones de costos crecientes en muchas industrias y una mayor incertidumbre geopolítica sobre Ucrania y Taiwán. Pero, ¿qué encabeza su lista de preocupaciones? Los 100.000 ataques cibernéticos que enfrenta el fondo cada año.

No sorprende que los delincuentes modernos estén recurriendo a ciberataques contra instituciones financieras como NBIM, así como contra la infraestructura del mercado en general. La cantidad de ataques de malware que se conocen aumentó un 11% en la primera mitad del año a 2,8 mil millones, según el Informe de amenazas cibernéticas de SonicWall de 2022, y el sector financiero es un blanco particularmente activo.

“Las instituciones financieras, y la infraestructura del mercado en general, se han vuelto un blanco particularmente activo de ataques cibernéticos y deben reforzar sus defensas colectivas”.

Algunos expertos cibernéticos temían un ataque cibernético aún mayor por parte de Rusia después de su invasión de Ucrania y la imposición de sanciones de represalia por parte de muchos países occidentales, y eso aún puede materializarse. El desarrollo de poderosas computadoras cuánticas, que amenazan con descifrar los métodos de encriptación tradicionales, un día puede agregar otra dimensión a la amenaza cibernética.

El aspecto más escalofriante de la advertencia del fondo noruego fue que los ataques cibernéticos podrían representar un riesgo financiero sistémico.

La ciberdefensa eficaz depende de una asociación activa entre gobiernos, agencias de seguridad y empresas del sector privado. Eso pone la responsabilidad en cada firma financiera, y cada individuo dentro de esas firmas, de desempeñar su papel en el refuerzo de las defensas de la industria. Demasiadas empresas no están al día con respecto a sus medidas de seguridad.

Se pueden hacer tres cosas para mejorar la resiliencia colectiva. En primer lugar, se debe invertir más en el desarrollo y la implementación de tecnologías más seguras de cifrado. Por ejemplo, se han realizado grandes logros en la implementación de técnicas de cifrado homomórfico, que pueden mejorar tanto la privacidad como la seguridad al permitir que se realicen cálculos sobre datos cifrados.

Segundo, se podría pedir a las firmas de auditoría especializadas que analicen las prácticas de almacenamiento de datos y seguridad cibernética de sus clientes. Para algunas empresas, como los fabricantes de aviones y los operadores de plantas de energía nuclear, los ataques cibernéticos exitosos podrían poner en peligro vidas y ser un riesgo existencial para sus negocios.

Tercero, los inversionistas deberían interrogar a las empresas en las que invierten de forma más rigurosa sobre qué medidas están tomando para asegurar sus operaciones.

Lamentablemente, dada la escala y la prevalencia de la amenaza cibernética, todo lo que se puede lograr es minimizar el riesgo en lugar de eliminarlo. Pero las precauciones prudentes aún pueden ayudar a evitar que los ataques esporádicos se conviertan en un peligro sistémico.