Diálogo a fondo

Fondo Monetario Internacional

Estimación del riesgo cibernético en el sector financiero

Por Christine Lagarde

(Versión en English)

El riesgo cibernético se ha convertido en una amenaza importante para el sistema financiero. Un estudio basado en modelos realizado por el personal técnico del FMI estima que, en promedio, las pérdidas anuales de las instituciones financieras causadas por ataques cibernéticos podrían llegar a varios cientos de miles de millones de dólares, lo que representa un deterioro de las ganancias bancarias y una amenaza para la estabilidad financiera.

Incidentes recientes demuestran que la amenaza es real. Ataques exitosos ya han producido filtraciones de datos que han permitido a los delincuentes acceder a información confidencial y cometer fraudes, como el robo de USD 500 millones al agente de cambio de criptomoneda Coincheck. Además, existe la amenaza de que una institución atacada quede impedida de operar.

No sorprende entonces que las encuestas muestren constantemente que los gestores de riesgo y otros directivos de las instituciones financieras se preocupan principalmente por los ataques cibernéticos, como se ilustra en el siguiente gráfico.

Vulnerabilidad del sector financiero

El sector financiero es particularmente vulnerable a los ataques cibernéticos. Las instituciones financieras son blancos interesantes por su función vital en la intermediación de fondos. Un ataque cibernético exitoso contra una institución podría propagarse rápidamente a través del sistema financiero, ya que está sumamente interconectado. Muchas instituciones siguen empleando sistemas más antiguos, que podrían no resistir a los ataques cibernéticos. Además, un ataque exitoso puede tener consecuencias sustanciales directas por las pérdidas financieras causadas, pero también costos indirectos, como el perjuicio a la reputación.

Algunos casos recientes de gran notoriedad han introducido progresivamente al riesgo cibernético en el orden del día del sector oficial, e incluso de los organismos internacionales. Pero el análisis cuantitativo de este riesgo aún está en sus albores, especialmente debido a la falta de datos sobre el costo de los ataques y las dificultades para modelarlo.

Un estudio reciente del FMI provee un marco para analizar las pérdidas que pueden resultar de los ataques cibernéticos, especialmente en el sector financier.

Estimación de las posibles pérdidas

El marco del modelo usa técnicas obtenidas de las ciencias actuariales y la medición del riesgo operativo para estimar las pérdidas acumuladas como consecuencia de los ataques cibernéticos. Esto requiere evaluar la frecuencia de los ataques a las instituciones financieras y formarse una idea de la distribución de las pérdidas resultantes de estos incidentes. Luego se pueden utilizar simulaciones numéricas para estimar la distribución de las pérdidas acumuladas causadas.

Ilustramos nuestro marco empleando un conjunto de datos que incluyen las pérdidas recientes por ataques cibernéticos en 50 países. Así se ejemplifica una forma de estimar las posibles pérdidas de las instituciones financieras. Esta labor es compleja y se dificulta aún más debido a las importantes carencias de los datos sobre el riesgo cibernético. Además, afortunadamente, todavía no ha habido un ataque exitoso a gran escala contra el sistema financiero.

Por ende, nuestros resultados deben considerarse como un simple ejemplo. Si se toman en sentido literal, indican que el promedio de las posibles pérdidas anuales resultantes de los ataques cibernéticos puede ser significativo y ubicarse en el orden del 9% de los ingresos netos de los bancos a nivel mundial, es decir, unos USD 100.000 millones. En un caso hipotético de gravedad, en que la frecuencia de los ataques cibernéticos fuera dos veces superior a la registrada hasta ahora y con un mayor contagio, las pérdidas podrían ser 2½–3½ veces mayores, o sea, ascender a un monto de entre USD 270.000 millones y USD 350.000 millones.

El modelo podría usarse para analizar hipótesis extremas de riesgo que representen ataques a gran escala. La distribución de los datos que hemos reunido indica que en estas hipótesis, que representan el peor 5% de los casos, las posibles pérdidas podrían ascender en promedio a la mitad del ingreso neto de los bancos, lo que pondría en riesgo al sector financier.

Estas pérdidas estimadas tienen una magnitud varias veces superior al tamaño actual del mercado de seguros para riesgos cibernéticos. A pesar de su crecimiento reciente, este mercado sigue siendo pequeño, con primas que en 2017 ascendieron a USD 3.000 millones a nivel mundial. La mayoría de las instituciones financieras ni siquiera cuenta con seguros de este tipo. La cobertura es limitada y las aseguradoras enfrentan dificultades a la hora de evaluar el riesgo debido a la incertidumbre sobre la exposición, la falta de datos y los posibles efectos de contagio.

El camino a seguir

Hay un amplio margen para mejorar las evaluaciones de riesgo. La recopilación por parte de los gobiernos de datos más granulares, firmes y completos sobre la frecuencia y los efectos de los ataques cibernéticos ayudaría a evaluar el riesgo para el sector financiero. Se prevé que los requisitos de declaración de filtraciones, como los considerados en el marco del Reglamento General de Protección de Datos de la UE, ayuden a tener un mayor conocimiento de los ciberataques. Se podría utilizar el análisis de casos hipotéticos para evaluar integralmente la forma de propagación de los ataques cibernéticos y para idear respuestas adecuadas de las instituciones privadas y los gobiernos.

También se debe profundizar la labor tendiente a entender cómo fortalecer la resiliencia de las instituciones e infraestructuras financieras, tanto para reducir las posibilidades de éxito de un ataque cibernético como para facilitar una recuperación rápida y sin contratiempos. Además, en muchas partes del mundo, se debe fortalecer la capacidad del sector oficial de vigilar y regular estos riesgos.

En resumen, es necesario fortalecer los regímenes normativos y de supervisión para hacer frente al riesgo cibernético, y los esfuerzos deben centrarse en el establecimiento de prácticas de supervisión eficaces, pruebas de vulnerabilidad y recuperación, y planes de contingencia que sean realistas. El FMI está brindando asistencia técnica para ayudar a los países miembros a mejorar sus regímenes normativos y de supervisión.

Enlaces relacionados:
La ciberdefensa debe ser mundial

COMENTARIOS

No hay comentarios.

DEJE SU COMENTARIO

La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.


No se lee? Cambie el texto.


TODOS los blogs


Menos face más book

Rafael Zavala Batlle

Visiones para el desarrollo

CAF –Banco de Desarrollo de América Latina

Te lo cuento fácil

Alumnos de la Universidad del Pacífico

Más allá del efectivo

Felipe Rincón

Mujer, ejecutiva y trasgresora

Zendy Manzaneda Cipriani

Revolución digital

Pablo Bermudez

Economía desde el campus

Grupo Económica

Síntesis legislativa

José Ignacio Beteta Bazán

La parábola del mudo

Javier Dávila Quevedo

Arturo Goga

Arturo Goga

Sumando Valores

Superintendencia del Mercado de Valores

@infraestructura

Rosselló Abogados

Minería 2021

Instituto de Ingenieros de Minas del Perú (IIMP)

Conciencia Corporativa

Silvia Noriega

Agenda Legal

Estudio Echecopar

Perspectiva Forestal

Comité Forestal SNI y Comité de Madera e Industria de la Madera ADEX

Pensando laboralmente

César Puntriano

Auditoria del Siglo 21

Karla Barreto

Economía conductual

Bertrand Regader

Cultura financiera

Walter Eyzaguirre

Triple enfoque

Cecilia

Gestiona tus Finanzas

Giovanna Prialé Reyes

Corrupción bajo la lupa

Eduardo Herrera Velarde

Pablo O'Brien

Pablo O'Brien

El cine es un espejo

Raúl Ortiz Mory

Ruarte's - Washington Capital

R. Washington Lopez

Atalaya Económica

Manuel Romero Caro

Terapia de Pareja

Luciana Olivares

Próspero Perú

Gladys Triveño

Herejías Económicas

Germán Alarco

Inversión e Infraestructura

Director FRI-ESAN Sergio Bravo Orellana

Blog Universitario

Blog Universitario

Juegomaniáticos

Juan Pablo Robles

Gestión del Talento

Ricardo Alania Vera

Tacos Fuertes

Ana Romero

Millennials

Pamela Romero Wilson

Reglas de Juego

PIERINO STUCCHI

Humor S.A.

Jaime Herrera

Bitácora bursátil.

Equipo de Análisis de Intéligo SAB

Vivir Seguro

Asociación Peruana de Empresas de Seguros

El deporte de hacer negocios

Luis Carrillo Pinto

Zona de Intercambio

Julio Guadalupe

Innovar o ser cambiado

Andy Garcia Peña

Economía aplicada

Juan Mendoza

El Vino de la Semana

José Bracamonte

Carpeta Gerencial

IE Business School

Desafíos para el progreso

Banco Interamericano de Desarrollo

Innovación y Emprendimiento Tecnológico

Franklin Marcelo, CEO de Interfono

Diálogo a fondo

Fondo Monetario Internacional

Predio legal

Martín Mejorada

e-strategia

José Kusunoki Gutiérrez

Vinos, piscos y mucho más

Sommelier Giovanni Bisso

Evidencia para la gestión

Videnza Consultores

Palabra de Gestión

Julio Lira Segura

Impacto ambiental

Lorenzo de la Puente

Inversiones Globales

Carlos Palomino Selem

Moda Inc.

Daniel Trelles

Divina Ejecutiva

Fiorella

Menú Legal

Oscar Sumar

Analizando tus inversiones

Diego Alonso Ruiz

Reformas incompletas

Instituto Peruano de Economía

Empresa&Familia

Pablo Dominguez

Hoy sí atiendo provincias

Félix Villanueva - Aurum Consultoría y Mercado

Smart money

Luis Ramírez

Consumer Psyco

Cristina Quiñones

Gestión de servicios

Otto Regalado Pezúa

Marketing 20/20

Michael Penny

Mercados&Retail

Percy Vigil Vidal

CAFÉ TAIPÁ

Milton Vela

Anuncias, luego existes

Alexander Chiu Werner

Marcas & Mentes

Lizardo Vargas Bianchi

Riesgos Financieros

Gregorio Belaunde

Economía para todos

Carlos Parodi

De regreso a lo básico

Paúl Lira Briceño