Descubre el futuro de las finanzas en América Latina y el Caribe

The future of finance in LatAm & the Caribbean

O futuro das finanças na América Latina e no Caribe

Los retos de la ciberseguridad financiera en Brasil

30 agosto, 2019

Katie Llanos-Small

Cybersecurity regulations

 

Las instituciones financieras están a la cabeza de asegurar la seguridad, estabilidad y resiliencia de la infraestructura, los sistemas y redes digitales. Es una gran responsabilidad. Según el World Economic Forum, el fraude, el robo de data y los ciberataques están en el ranking de los riesgos más peligrosos que enfrentan los negocios en 2019. Estas amenazas no se limitan a los países más ricos. 

Hay ejemplos en toda Latinoamérica de ciberataques cada vez más disruptivos. Muchos de ellos ni siquiera terminan en las noticias internacionales. Uno de los casos que atrajo atención global fue el ataque en 2018 al sistema de pagos SPEI del interbanco doméstico de México, en el que se robaron US$15 millones de diferentes instituciones ligadas al sistema financiero del país. 

Mientras que las firmas latinoamericanas fueron jugadores que empezaron temprano en el juego cuando se trata de digitalizar los servicios (apps, interfaces, banca móvil, fintechs), le han prestado menos atención a asegurar la data personal delicada, así como a la infraestructura relevante. Esto ha resultado provechoso para los grupos criminales, como el Lazarus Group, para atacar y explotar los puntos débiles de de las instituciones financieras de la región. La economía digital en América Latina debe estar anclada a una cultura de ciberseguridad que tenga regulaciones claras y estándares para protección de data y privacidad, para poder lidiar con amenazas emergentes. 

Brasil todavía está desarrollando una cultura de ciberseguridad en el sector financiero. En 2018,   se reportaron 676.514 incidentes, incluyendo malware, phishing y DDoS. Las instituciones financieras todavía están empezando a entender las dimensiones del panorama nacional de amenazas. Mientras que las recientes regulaciones de ciberseguridad y privacidad y las políticas deberían incentivar los cambios de conducta, muchas instituciones, en particular pequeñas y medianas empresas, enfrentan retos considerables a la hora de implementarlos. 

Las apuestas son altas. En Brasil, hay 604 startups fintech, desde pagos hasta manejo de finanzas. El sector financiero está a la vanguardia a la hora de construir una economía digital en el país y tiene responsabilidad considerable sobre activos, transacciones y la data de los clientes. En 2018, la Federación Brasileña de Bancos (Febraban) reportó que de los 78,9 billones de transacciones financieras que se registran en el país,  31,3 billones fueron hechas en banca móvil, 24% más que en 2017 y ahora son 40% de las transacciones financieras. 

Leer también: Ciberseguridad enfrenta nuevos riesgos por la transformación bancaria

 

Se necesitan nuevas estrategias de comunicación 

Cualquier intento por reforzar ciberseguridad debe incluir procesos más eficientes para compartir la información entre bancos, instituciones financieras y agencias estatales. Tener canales de comunicación claros entre sectores no solo incrementa la resiliencia de los sistemas sino que disminuye la probabilidad de los costos reputacionales asociados a los ataques. 

Establecer prácticas más eficientes para compartir la información requiere cierto nivel de confianza, normas compartidas, y medidas de responsabilidad y transparencia. Los bancos están probando nuevas soluciones. La Red Nacional de Blockchain del Sistema Nacional Financiero que lanzó en junio la Cámara Interbancaria de Pagos busca proveer un ambiente seguro para que los bancos compartan información de los dispositivos robados. La expectativa es que ayude a los bancos a desarrollar estrategias más efectivas para combatir el fraude. Por otro lado, hay preocupaciones sobre la protección de data, por el nivel delicado de la data que se comparte. 

 

Regulación y autorregulación avanzan lentamente 

Brasil ha estado trabajando por desarrollar políticas nacionales y por sector para enfrentar estos retos. Las reglas y regulaciones nacionales se han enfocado apenas recientemente en seguridad y privacidad de la data. A principios de 2018, por ejemplo, el Consejo Nacional Monetario emitió una  resolución (4658) que obliga a las organizaciones financieras reguladas por el Banco Central a desarrollar políticas internas de ciberseguridad, un plan de acción para responder ante incidentes y cumplir con ciertos estándares a la hora de contratar servicios de nube. Esta regulación es la primera en su estilo. Provisiones especiales ordenan a las instituciones a adoptar las capacidades necesarias para prevenir, detectar y reducir las debilidades para implementar programas de construcción de capacidades para los equipos internos de seguridad. Un reciente reporte de la OEA  revela que solo 56% de los bancos pequeños de Latinoamérica y el Caribe ofrecen un mecanismo para que sus clientes reporten incidentes (ataques exitosos). 

Incluso así, hay muchas señales de que los sectores financieros de la región se están planteando autorregularse para promover la ciberseguridad. Consideremos la guía de mejores prácticas de ciberseguridad publicada por Anbima, la Asociación Brasileña de Instituciones del Mercado Financiero, que quiere promover experiencias para establecer un entendimiento común de los estándares mínimos de seguridad entre sus miembros. Estos esfuerzos complementarios, pero esenciales, pueden ayudar efectivamente a combinar normas más suaves como las guías con los mecanismos regulatorios como la Resolución 4658. También podrían ayudar a establecer confianza y prácticas para compartir la información entre instituciones similares. 

Mientras tanto, una nueva Ley Nacional de Protección de Data sienta las bases para armonizar legalmente al menos  doce regulaciones que definen cómo se debe proteger la data personal y cómo la deben manejar las instituciones financieras. La ley, aprobada en 2018 y que estará vigente a partir de agosto de 2020, también establece principios claves para manejar data personal en diferentes sectores y especifica que quienes la manejan deben mantener prácticas seguras de proceso y manejo de data. 

Pero sigue siendo muy incierto: en julio, una nueva versión de la ley fue aprobada, debilitando las sanciones por no cumplirla, así como eliminando el deber de tener supervisión humana sobre los procesos automatizados de toma de decisiones. Estos cambios recientes generan preguntas importantes sobre si es factible aplicar todo esto, y sobre el refuerzo de la seguridad y los mecanismos de protección de data en las instituciones financieras, compañías privadas y instituciones del sector público de Brasil. 

Leer también: Ciberseguridad, canales digitales: Prioridades de la tecnología bancaria

Brechas significativas

Como indican estos acontecimientos, los avances tecnológicos y la aguda digitalización del sector financiero de Brasil no han sido seguidos de medidas robustas de seguridad y medidas de protección de data. Los avances son todavía incrementales, y la incertidumbre legal por la implementación de la Ley Nacional de Protección de Data deja brechas significativas en transparencia y la responsabilidad de las instituciones que implementan soluciones para compartir información. Todavía más importante, deja abierta una importante pregunta sobre qué tipo de cultura de ciberseguridad quiere construir Brasil.

Louise Marie Hurel es investigadora en el Programa de Ciberseguridad y Libertad Digital en el Instituto Igarapé, liderando el desarrollo de políticas y estrategias digitales.