Esperando que el perro ladre

Cinco años antes de que Rusia lanzara su asalto físico a Ucrania, lanzó un asalto digital. El 27 de junio de 2017, la víspera de un importante día festivo, los ucranianos se despertaron con pantallas negras por todas partes. "No podían sacar dinero de los cajeros automáticos, pagar la gasolina en las gasolineras, enviar o recibir correo, pagar un billete de tren, comprar alimentos, cobrar o, quizá lo más aterrador de todo, controlar los niveles de radiación en Chernóbil". Eso es lo que dice Nicole Perlroth, cuyo libro sobre la ciberguerra ganó el año pasado el premio Business Book of the Year.

La causa de la interrupción fue un software llamado NotPetya. Aprovechando las vulnerabilidades de Microsoft Windows, se abrió camino a través de las redes informáticas del país, capturando contraseñas a su paso. Se introdujo en el país a través de un paquete de contabilidad utilizado por el 80% de las empresas ucranianas. A partir de ahí, una actualización rutinaria lo puso en marcha. Los usuarios del sistema eran recibidos con una petición de rescate, pero eso era sólo una treta: el motivo de NotPetya no era la codicia, sino la destrucción. "En el momento en que lo veías, tu centro de datos ya había desaparecido", dijo un experto en seguridad a Andy Greenberg, autor del libro Sandworm.

A su paso, NotPetya tumbó al menos cuatro hospitales, seis compañías eléctricas, dos aeropuertos, más de 22 bancos ucranianos, sistemas de pago en comercios y transportes, y prácticamente todas las agencias federales. Según la empresa de ciberseguridad Information Systems Security Partners, al menos 300 empresas fueron afectadas, y un alto funcionario del gobierno ucraniano estimó que el 10% de todos los ordenadores del país fueron borrados.

Los daños ni siquiera se limitaron a Ucrania. Los ordenadores de la empresa farmacéutica Merck, la naviera Maersk, la empresa de logística FedEx y la empresa de alimentación Mondelez se vieron afectados. La interrupción de Maersk provocó paradas en las terminales portuarias de todo el mundo. Maersk tuvo que reconstruir toda su red de 4.000 servidores y 45.000 ordenadores. Sumando el coste de la pérdida de negocio, los reembolsos a los clientes y la reconstrucción de la red, el presidente de la compañía cifró las pérdidas entre 250 y 300 millones de dólares. En total, se calcula que NotPetya ha causado daños por valor de más de 10.000 millones de dólares en Ucrania y otros países.

Desde entonces, los responsables políticos de todo el mundo han estado en alerta máxima, sobre todo en el sector financiero. "Diría que el riesgo que más vigilamos ahora es el ciberriesgo", dijo el gobernador de la Reserva Federal, Jerome Powell, en una entrevista el año pasado. "Ahí es realmente donde el riesgo diría que está ahora, más que en algo parecido a la crisis financiera global." Otros banqueros centrales están de acuerdo. Sus informes semestrales de estabilidad financiera citan regularmente el ciberespacio como un riesgo clave "desconocido" al que se enfrentan sus sistemas financieros.

Por eso, cuando Rusia lanzó su ofensiva el mes pasado, muchos anticiparon que iría acompañada de una serie de ciberataques. En el período previo a la invasión, Ucrania se vio efectivamente afectada. Algunos bancos y servicios gubernamentales quedaron temporalmente fuera de servicio, pero no fue nada de la magnitud de NotPetya. Un amigo, que huía de Kiev, me escribió: "Esperaba que los sistemas bancarios y móviles pudieran ser destruidos". Un mes después, todavía me envía mensajes de texto a través de una red celular funcional. Hay varias razones por las que los ciberataques pueden no haber sido más punitivos, una de ellas es que el ejército ruso utiliza las redes locales para sus propias comunicaciones.

Sin embargo, se teme cada vez más que, a medida que Rusia intensifique sus esfuerzos militares en Ucrania, incremente sus esfuerzos digitales en otros lugares en respuesta a las sanciones. Esta semana, el presidente Biden advirtió de la "evolución de la información que indica que el Gobierno ruso está explorando opciones para posibles ciberataques". Dijo que mientras el gobierno estadounidense hará lo que pueda para disuadir esos ataques, las empresas privadas deben acelerar sus esfuerzos para "cerrar sus puertas digitales".

Los bancos son especialmente vulnerables. Su papel en el sistema de pagos los convierte en un objetivo atractivo y su interconexión aumenta el riesgo general. También manejan muchos dispositivos: Citigroup reveló recientemente que maneja 740.000 dispositivos. No es de extrañar, pues, que los bancos sean objetivos de gran valor. Según Boston Consulting Group, las empresas de servicios financieros tienen 300 veces más probabilidades que otras empresas de ser objeto de un ciberataque.

Los bancos estadounidenses ya han sido víctimas de ciberataques patrocinados por el Estado. Aunque Rusia es responsable de la mayoría de los ataques patrocinados por el Estado, algo menos del 60% en 2021 según datos de Microsoft, otros Estados, en particular Corea del Norte, Irán y China, también son activos. En 2011 y 2012, piratas informáticos de Irán atacaron bancos estadounidenses como Bank of America, JPMorgan y Capital One. Los piratas informáticos secuestraron ordenadores en centros de datos de todo el mundo y los dirigieron a los bancos estadounidenses en un intento de abrumarlos con tráfico para que se colapsaran bajo la carga (los llamados ataques de "denegación de servicio distribuido"). Según una acusación presentada por el Departamento de Justicia de Estados Unidos, los servidores informáticos de los bancos recibieron hasta 140 gigabits de datos por segundo, lo que suponía hasta tres veces su capacidad operativa. Como resultado, cientos de miles de clientes no pudieron acceder a sus cuentas bancarias en línea y los bancos incurrieron en "decenas de millones" de dólares en costes de reparación.

Un ataque de este tipo puede clasificarse como un intento de comprometer la disponibilidad de los datos o sistemas de un banco. Pero ésta es sólo una de las tres categorías de ataque que los hackers pueden desencadenar. Además de comprometer la disponibilidad, los hackers pueden comprometer la confidencialidad o la integridad. Un ataque a la confidencialidad equivale a una violación de datos, en la que los piratas informáticos roban datos de propiedad; un ataque a la integridad busca modificar los datos, a veces para el propio beneficio financiero de los piratas informáticos. Estas categorías se conocen entre los profesionales de la ciberseguridad como la tríada de la CIA.

El ejemplo de mayor perfil de una violación de la confidencialidad en el sector bancario ocurrió en Capital One. En marzo de 2019, un antiguo ingeniero de software de Amazon Web Services accedió descaradamente a un servidor de AWS que almacenaba datos de tarjetas de crédito de Capital One y robó información correspondiente a 100 millones de solicitudes de tarjetas. La pillaron pregonando los datos robados en GitHub y en las redes sociales. "Básicamente me he atado con un chaleco bomba", escribió en un DM de Twitter. Su juicio se reanudó la semana pasada. Por su parte, Capital One fue condenada a pagar una multa de 80 millones de dólares por los reguladores por no proteger los datos de sus clientes. También alcanzó recientemente un acuerdo de 190 millones de dólares con los clientes.

El mejor ejemplo de violación de la integridad de los datos financieros tuvo lugar en febrero de 2016, cuando se intentó robar 1.000 millones de dólares del banco central de Bangladesh. Los hackers utilizaron la red SWIFT para enviar instrucciones fraudulentas solicitando la transferencia de fondos desde la cuenta del banco central en el Banco de la Reserva Federal de Nueva York. La mayoría de las transacciones fueron bloqueadas -debido a las sospechas que despertaron las instrucciones mal escritas-, pero cinco lograron pasar, por un importe de 101 millones de dólares. Algunos de los fondos se han recuperado, pero más de 60 millones de dólares siguen sueltos. Se supone que Corea del Norte está detrás del ataque.

Los bancos invierten mucho para protegerse de estos riesgos. "La cibernética ha sido un gran foco de atención durante mucho tiempo", dijo el director financiero de JPMorgan en un reciente evento para inversores. "Gastamos mucho dinero en ello... no es un área en la que puedas permitirte cometer errores... [pero] obviamente no es barato". Como cualquier actividad de inteligencia, suelen ser los fracasos de estas defensas los que aparecen en los titulares, más que los éxitos, lo que dificulta la evaluación de su eficacia. Sin embargo, un reciente documento del Banco de Pagos Internacionales concluye que, aunque el sector financiero está expuesto a un mayor número de ciberataques, sufre unos costes menores, característica que sus autores atribuyen a unas defensas más sólidas.

El problema, y esto es lo que preocupa a los reguladores, es lo que ocurre si los daños cibernéticos se propagan en cascada por el sistema financiero. La distribución de las pérdidas ya está muy sesgada. La media de las pérdidas cibernéticas puede ser bastante baja, pero, como demostró NotPetya, las pérdidas de cola pueden ser muy altas. Si se superpone esa distribución a un sistema financiero interconectado, podrían surgir problemas, no muy diferentes a los causados por otras pérdidas de confianza en el sector bancario.

En 2020, la Fed de Nueva York intentó modelar estos efectos. Llevó a cabo un análisis "pre-mortem" del riesgo cibernético en el sistema financiero de EE.UU. (como un post-mortem, excepto que se hace de antemano). Los investigadores examinaron la red de pagos mayoristas Fedwire y analizaron lo que sucedería si los bancos se vieran impedidos de realizar pagos. Descubrieron que un ataque exitoso a uno de los mayores bancos estadounidenses podría interrumpir entre el 5% y el 35% de los flujos de pagos diarios, lo que equivale a entre una y once veces el PIB diario.

Eso no es bueno. Afortunadamente, la Reserva Federal está ahí para proporcionar un respaldo de inyecciones de liquidez, y a diferencia de la pandemia o la actual crisis de los precios de las materias primas, es un riesgo que los responsables políticos han señalado.

Otro segmento del sector financiero que puede verse afectado es el de los seguros. Si los ciberataques causan daños en los sistemas informáticos de Estados Unidos y Europa, las compañías de seguros podrían tener que pagar la cuenta.

Pero, como ya comentamos la semana pasada en el contexto de los seguros de aviación, la guerra suele dejar sin valor a las pólizas de seguro. Después de NotPetya, varias empresas multinacionales afectadas se dirigieron a sus compañías de seguros para reclamar los daños. Fueron rechazadas alegando que el suceso se consideraba "bélico". Tanto Merck como Mondelez llevaron a sus respectivas aseguradoras a los tribunales y en enero de este año el Tribunal Superior de Nueva Jersey falló a favor de Merck; Mondelez está a la espera de la decisión de un tribunal de Illinois. Como resultado, las compañías de seguros han modificado las condiciones de sus pólizas.

Una de las compañías de seguros más implicadas es Beazley. Esta aseguradora especializada con sede en el Reino Unido es uno de los principales suscriptores de ciberseguros en Estados Unidos. Fue una de las primeras en entrar en la categoría, lanzando su producto cibernético en 2009, y ha acumulado un historial de experiencia especializada. Dado que las primas de los ciberseguros representan sólo una fracción del coste de la ciberdelincuencia, se consideró un área clave para el crecimiento.

Sin embargo, la gestión del riesgo ha resultado difícil. Esto se debe a que el ciberespacio está cambiando de forma que otras líneas de seguros no lo hacen: continuamente surgen nuevos medios de ciberataque. Hace cinco años, la mayor parte de los siniestros estaban relacionados con las violaciones de datos, que Beazley controlaba bien; después pasaron a los ataques de ransomware. Según datos del sector, la frecuencia de los siniestros por violación de datos cayó un 20% entre el primer trimestre de 2018 y finales de 2020, mientras que la frecuencia de los siniestros por ransomware aumentó un 120%. Las tasas de pérdida de Beazley se arrastraron hacia arriba.

La compañía respondió recortando la exposición y aumentando los precios. En todo el sector, los precios de los ciberataques aumentaron un 96% en el tercer trimestre de 2021, el mayor incremento desde 2015. Beazley redujo su número de pólizas aunque las primas totales aumentaron.

Gráfico, Gráfico de líneas

Descripción generada automáticamente

Fuente: Net Interest, Beazley

Para los bancos y las compañías de seguros, los próximos meses podrían suponer una verdadera prueba de su capacidad de gestión de riesgos. "Así es como me dicen que se acaba el mundo", escribe Nicole Perlroth. Esperemos estar preparados.

Contáctanos