El riesgo de fallas en sistemas de información y/o violación de políticas o procedimientos de seguridad se conoce como riesgo de ciberseguridad (Financial Stability Board (FSB), 2018), y en su origen es una clase de riesgo operacional. Este riesgo tiene efectos reputacionales y económicos, y puede materializarse de muchas formas, tales como fraudes, errores informáticos o ciberataques. 

El avance tecnológico ha sofisticado los delitos en línea. Por tal razón, los gobiernos miran la ciberseguridad con más detención y promueven su adecuada gestión, apuntando a la ciber resiliencia. Este término apela a la continuidad operacional, la anticipación de contingencias, y a la respuesta y recuperación ante incidentes.

Ahora bien, los ciberataques existen hace décadas, pero su frecuencia y costos han crecido, especialmente en la industria financiera – por su nivel de activos y usuarios. Se estima que en este sector un 40% de los incidentes son intencionales (Aldasoro et al, 2022), y que phishing y malwares son las modalidades más comunes[1].

Desde hace tiempo que el Foro Económico Mundial lista a la ciberseguridad dentro de los diez primeros riesgos en su Reporte Global de Riesgos. En la última versión (2023) es el octavo a nivel global y el primero en la categoría de tecnología. Además, supera a algunos riesgos económicos, tales como crisis de deuda o fallas en las cadenas de suministro. A su vez, el Fondo Monetario Internacional (FMI, 2023) revisita a la ciber resiliencia por los sucesos geopolíticos actuales, la digitalización financiera y la importancia de servicios críticos en línea.

Para la industria financiera, el FSB (2018, 2023) caracteriza la ciberseguridad en la triada de preservar la confidencialidad, integridad y disponibilidad de los sistemas. Materializar este riesgo puede implicar la pérdida de información, exponer recursos, comprometer la continuidad operacional, dañar la reputación e incluso romper la confianza. Esto puede generar contagios y, en el extremo, una mala respuesta implica situaciones de inestabilidad financiera (Recuadro V.1 del IEF 2018.2). La Figura 1 resume la relación de estos factores. A nivel global, para enfrentar este riesgo, el Banco Internacional de Pagos (BIS, 2021) ha propuesto principios para la resiliencia operacional.

Figura 1
Relación del riesgo de ciberseguridad con estabilidad financiera (1)

(1) La línea punteada marca efectos que pueden implicar contagio a otras entidades del sistema financiero.

Fuente: Elaboración propia

La importancia de la ciber resiliencia aumenta con los canales digitales. Esto obliga a proveedores a tomar medidas para cuidar los datos y la calidad de su servicio. Por esa razón, entidades financieras son conminadas a adoptar estrategias para una cultura de seguridad y proteger activos críticos de información. Al mismo tiempo, los usuarios debemos protegernos más en el ciberespacio, y autoridades y empresas deben promover prácticas para todos.

Por su parte, las infraestructuras del mercado financiero (”Infraestructuras”) tienen reforzados los Principios sobre las Infraestructuras del Mercado Financiero (PFMI, en inglés) en aras de resguardar la ciber resiliencia (CPMI-IOSCO, 2016). Luego, en la industria el BIS (2018) describió prácticas para la gestión de ciberseguridad (Figura 2). En 2020 el FSB elaboró un toolkit para que entidades financieras respondan y se recuperen de ciber incidentes. Las autoridades pueden considerar estos insumos para diseñar sus marcos, observando a la gobernanza antes, durante y después de los incidentes (Figura 3). En lo más reciente, por el cambio al trabajo híbrido, el BIS (2022) publicó lineamientos para reforzar la ciber resiliencia.

Figura 2
Rango de prácticas de ciberseguridad de distintas jurisdicciones (BIS, 2018)

Fuente: Elaboración propia adaptada de BIS (2018)

Figura 3
Componentes de ciber resiliencia de FSB (2020).

Fuente: Elaboración propia adaptada de FSB (2020).

Chile muestra avances para construir ciber resiliencia. Desde 2017, el Estado cuenta con una Política Nacional de Ciberseguridad, creando en 2018 un Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT). Todo esto para fortalecer prácticas de ciberseguridad públicas y privadas. Actualmente se discute la Ley Marco de Ciberseguridad, aprobada en el Senado, que tiene propósitos como enfrentar contingencias o resguardar la seguridad de las personas en el ciberespacio, creando la Agencia Nacional de Ciberseguridad, entre otros organismos públicos. Para promover la concientización, se definió que octubre es el Mes Nacional de la Ciberseguridad.

Las autoridades financieras locales han modernizado sus marcos regulatorios sectoriales que contienen elementos de gestión, protección, respuesta y otros. Destacan por ejemplo, la normativa de la Comisión para el Mercado Financiero (CMF) para bancos RAN 20-10, además de estándares de riesgo operacional y control interno para las Infraestructuras (Circulares N° 1939 y 2020), Administradoras de Fondos (Circular N° 1869), intermediarios de valores (Circular N° 2054) y Compañías de Seguros (NCG 309 y 325). La Superintendencia de Pensiones incorporó un título específico de ciberseguridad. En la implementación de futuras normas, como los provenientes por la Ley Fintec, la ciber resiliencia será ciertamente un componente relevante.

El Banco Central, en sus últimas actualizaciones a las normas de emisión y operación de tarjetas de pago, de Infraestructuras y cambiarias, ha incorporado la perspectiva de ciber resiliencia para resguardar los activos de información y la continuidad de negocio. Adicionalmente, las Infraestructuras locales (Comder, Combanc, DCV, BCS y BCCh) acordaron un trabajo conjunto que promueve esfuerzos de ciber resiliencia. Lo anterior contempla colaborar escenarios de ciber ataque y coordinarse para la comunicación y continuidad ante eventos. Este año se espera diagnosticar las prácticas de las entidades, definir escenarios y protocolos, hacer pruebas de simulación y proseguir con seguimiento de tendencias.

A nivel institucional, el Consejo de Estabilidad Financiera (CEF) monitorea y sigue los ciber incidentes de eventual impacto sistémico. Para ello cuenta con un grupo de trabajo de continuidad operacional. En ese contexto, se realizó en 2017 una asistencia técnica del FMI para evaluar las políticas de ciberseguridad, relevando en sus recomendaciones (Figura 4) pasos clave para fortalecerla, en concordancia con acciones adoptadas por las autoridades financieras en tal ámbito.

Figura 4
Pasos para fortalecer la supervisión y regulación del riesgo de ciberseguridad en Chile, indicados en asesoría del FMI (2018)

Fuente: Elaboración propia adaptada de sitio web del Ministerio de Hacienda (2018)

En conclusión, así como la tecnología y las empresas continuamente se sofistican, nacen nuevas amenazas. La tarea de gestionar mejor la ciberseguridad adquiere más relevancia, al igual que adaptar las prácticas de ciber resiliencia. En este sentido, la cooperación entre instituciones públicas y privadas es crucial, así como entre jurisdicciones, siendo una tarea que requiere acciones de todas las partes involucradas.