DORA: Bruselas blinda a la banca para protegerla de un ciberataque como el de Air Europa

«Si recibes una llamada sospechosa pidiendo tus claves o información bancaria, ¡desconfía! No compartas tus datos y ponte en contacto con nosotros». Tras el ciberataque de la semana pasada a la aerolínea Air Europa, varias entidades bancarias enviaron comunicaciones vía SMS o correo electrónico a sus clientes recordando que estrechen las precauciones.

Entre la información que habría sido sustraída por parte de los piratas informáticos a cerca de 100.000 clientes de la aerolínea se encontraba no solo el número de tarjeta o la fecha de caducidad, sino también el CVV, el código numérico de tres letras que se encuentra en la parte posterior del plástico con el objetivo de fortalecer la seguridad de las transacciones.

Se trata de un material sensible que encendió las alarmas entre los expertos. Más aún tras la reciente oleada de ciberataques sufridos por diferentes instituciones coincidiendo con la cumbre de jefes de Estado y de Gobierno de la UE en Granada, y cuyo origen, según diversas fuentes, se sitúa en Rusia. Todo ello ha derivado en un refuerzo de los sistemas de vigilancia y protección por parte de las empresas y los operadores esenciales, afirman desde el Instituto Nacional de Ciberseguridad, Incibe.

«El cibercrimen es un negocio que mueve mucho dinero», explica a El Debate Pablo Zarco, responsable del área de Procesos de Secure&IT. «Cualquier empresa, independientemente de su tamaño o del sector al que pertenezca, puede ser víctima de un ciberataque. De hecho, las empresas del sector financiero, así como la sanidad o la educación, se encuentran en el punto de mira de los ciberdelincuentes debido a la gran cantidad de información que manejan y el alto interés que suscita ya que pueden tratarse de ataques muy lucrativos».

En el caso concreto del ciber ataque a Aire Europa, además, «hay que tener en cuenta que los ciberdelincuentes también están aprovechando el ataque para suplantar la identidad de algunos bancos, con el objetivo de conseguir los datos de los afectados», apunta Zarco.

Bruselas ha puesto el foco precisamente en incrementar la protección de los principales sectores económicos. Entre ellos la banca, que a partir del 17 de enero de 2025 quedará bajo el paraguas de la Ley de Resiliencia Operativa Digital o Ley DORA. El gran reto de la nueva normativa es unificar los diferentes estándares existentes hasta ahora.

«La digitalización y los riesgos cibernéticos se consideran actualmente elevados y muestran una tendencia creciente para el sector financiero. En el sector bancario, tanto los bancos como los supervisores consideran que los riesgos cibernéticos son muy altos. Los sectores de seguros, banca y mercados también permanecen en alerta máxima», alertaba en su último informe el comité conjunto de entidades supervisoras, formado por la Autoridad Bancaria Europea (EBa), el supervisor de Seguros y Pensiones EIOPA y la autoridad europea del mercado de valores, Esma. El enemigo potencial, de nuevo, sería Rusia y sus aliados, alertaban los reguladores europeos.

Aunar esfuerzos

«DORA provocará que las entidades financieras y proveedores aúnen esfuerzos y facilitará las cosas, ya que será una normativa más detallada en cuanto a criterios», aunque también destacaba que «dará mucho trabajo a los actores del sector, ya que aumentará el número de exigencias», adelantaba Miriam Fernández, directora de Riesgos de Tecnología y Operaciones del Banco Santander, durante el reciente congreso Revolution Banking.

Banca, Educación, Sanidad y Administración Pública son precisamente los sectores más expuestos a un ataque informático, según la empresa especializada IPM. En 2022 se produjeron 55.000 ataques informáticos en España, siendo el tercer país del mundo más afectado por el robo y la filtración de datos. De todos ellos, 71 tuvieron un impacto «devastador». Los expertos también han constatado un incremento de los costes derivados de dichos ataques: aumentaron un 43 % el año pasado, según Hiscox Iberia.

«Si se lanza un ataque a gran escala contra el sector financiero europeo, estaremos preparados para ello», valoraba Zbyněk Stanjura, ministro de Hacienda de Chequia, tras la aprobación por parte del Consejo de la UE del nuevo reglamento.

Una normativa, no obstante, que está aún pendiente de que las autoridades supervisoras europeas desarrollen las normas técnicas de regulación RTS que la desarrollen. Las Autoridades Europeas de Supervisión (AES) pertinentes, como la Autoridad Bancaria Europea (ABE), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), son las que están elaborando dichas normas técnicas, que deberán cumplir todas las entidades de servicios financieros, desde la banca hasta las aseguradoras y los gestores de activos. Las respectivas autoridades nacionales competentes supervisarán el cumplimiento y la aplicación del Reglamento cuando sea necesario.