INCIBE y CECA firman un convenio sobre ciberseguridad con el Reglamento DORA como telón de fondo

El Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, y CECA firman un acuerdo de colaboración para reforzar la ciberseguridad y ciberresiliencia del sector financiero, en concreto entidades privadas, que permita hacer frente a amenazas y ciberataques que pongan en riesgo su funcionamiento y disponibilidad esenciales.

En el convenio firmado por Félix Barrio, director general de INCIBE, y Raquel Cabeza, directora corporativa de CECA, se adecuarán actividades y servicios actuales en ciberseguridad mediante personalización con las necesidades concretas de las entidades privadas del sector financiero. Adicionalmente, se articularán nuevas iniciativas para con estas entidades en base a un diagnóstico preliminar de necesidades acorde con sus niveles actuales de ciberseguridad y en base a sus capacidades.

Hasta el momento, un total aproximado de 30 entidades financieras, incluidos bancos y aseguradoras, han suscrito acuerdos de confidencialidad para recibir los servicios que presta INCIBE-CERT, entre los que destacan: la ayuda y el apoyo en la gestión y respuesta a incidentes; la vigilancia y monitorización de sus activos; la participación en ciberejercicios para el entrenamiento de sus capacidades de ciberseguridad; y la medición y mejora de la ciberresiliencia.

Entre estas entidades se incluyen: BBVA, Grupo Santander, Redsys, Iberpay, Bolsas y Mercados Españoles (BME), Bankinter, CaixaBank, Bankia, Banco Sabadell, Cecabank, Banco de España (BDE), Abanca, Mapfre, AXA, etc.

En el contexto del Reglamento sobre la Resiliencia Operativa Digital (DORA) de la Unión Europea, creado para ayudar a fortalecer la ciberseguridad en el sector financiero, INCIBE-CERT es uno de los equipos de respuesta ante incidentes de referencia que, en coordinación con otros equipos tanto nacionales e internacionales, es el punto de apoyo para asegurar una respuesta efectiva y eficiente frente a ciberincidentes que puedan afectar la integridad del sistema financiero.

El Reglamento DORA establece que las entidades financieras están obligadas a reportar cualquier incidente relevante a la Autoridad de Supervisión Competente (ASC) dentro de los plazos estipulados.

INCIBE, como CSIRT de referencia para entidades privadas, mantiene un contacto directo con las Autoridades de Supervisión y Control, como el Banco de España (BdE), la Comisión Nacional del Mercado de Valores (CNMV) y la Dirección General de Seguros y Fondos de Pensiones (DGSFP), mediante el establecimiento de un procedimiento de gestión de ciberincidentes para el sector financiero.

Las entidades bancarias son las instituciones en las que más confían los españoles ante los ciberataques, según la primera encuesta de “Ciberseguridad y hábitos de uso de canales digitales”, elaborada recientemente por CECA, en la que el 84% de los españoles asegura sentirse seguro a la hora de operar con su banca digital, sin embargo, el informe elude el problema cuando hay un robo de dinero a un usuario donde es el consumidor el que tiene que demandar al banco para recuperar su dinero.

De hecho según el balance de criminalidad del año 2023, publicado por el Ministerio del Interior, el año cerró con 2.459.659 infracciones penales, de las que 1.989.271 corresponden a la delincuencia convencional (un 2,1 % más que en 2022) y 470.388 son ciberdelitos. Las estafas en el sector financiero crecieron un 50% en el 2023. De ellos, el 90 % son estafas informáticas, que crecen un 27% con respecto al año anterior.

El Ministerio del Interior destaca que en 8 años este tipo de estafas han aumentado un 508%, fruto sobre todo de la falta de políticas de prevención de empresas y organismos públicos y de la carencia de planes claros de respuesta a incidentes, en un panorama empresarial donde el tejido empresarial está formado en su totalidad por pymes, con pocos recursos.

Una colaboración necesaria

Francisco Pérez Bes, socio de derecho digital de Ecix Group y uno de los más reputados asesores de empresas en materia de ciberseguridad, destaca el acierto de suscribir este tipo de acuerdos con asociaciones que agrupan intereses colectivos, ya que, aunque lo habitual ha sido mantener desde el CERT una colaboración muy fluida con las entidades individuales (muchas de las cuales, señala, disponen de su propio CERT/CSIRT), pueden crearse sinergias interesantes a nivel sectorial.

Francisco Pérez Bes cree necesaria la colaboración preventiva entre INCIBE y CECA para mitigar el número de ciberataques. (Imagen: Ecix Group)

Pérez Bes, quien fue secretario General del INCIBE, es buen conocedor de los beneficios de la colaboración de las empresas privadas con el INCIBE-CERT y confirma la importancia de mantener canales eficaces a través de los cuales pueda comunicarse cualquier incidente de seguridad que afecte a este tipo de entidades, e intercambiar información que permita reforzar las capacidades de inteligencia del CERT.

Gracias a esta colaboración, el INCIBE-CERT mejorará sus capacidades preventivas y predictivas y, en consecuencia, la eficacia de sus servicios y competencias, tal y como las define tanto la propia Estrategia Nacional de Ciberseguridad como la Directiva NIS2. “Esta última —recuerda— ya prevé la posibilidad de monitorización proactiva y no intrusiva de los sistemas de los operadores esenciales desde el CSIRT”.

En este caso, si bien la mayoría de este tipo de organizaciones ya han comenzado su fase de adecuación a NIS2, así como también al Reglamento DORA y a la normativa de protección de operadores críticos, para CECA se trata de una buena oportunidad para reforzar la concienciación y sensibilización para las empresas del sector, y de fomentar otros aspectos tales como los relacionados con la formación, la gestión de riesgos cibernéticos, o la propia notificación de incidentes.

“En cualquier caso”, concluye, “esta colaboración no sustituye el asesoramiento especializado externo, si bien puede suponer un buen complemento en todo lo relacionado con las competencias técnicas que tienen atribuidas los CERT”.

El intercambio de información es bueno

María Vidal es socia de Protección de Datos y Nuevas Tecnologías de FinReg360, una profesional que desde está boutique legal da a apoyo a las entidades financieras que tengan incidentes, tanto a nivel práctico como en la gestión de la documentación al presentar para acreditar las buenas prácticas de dicha entidad.

María Vidal recuerda que el Reglamento DORA permite la colaboración e intercambio informativo sobre estas cuestiones. (Imagen: Finreg60)

“Las entidades bancarias han avanzado mucho en materia de ciberseguridad, el resto de entidades tienen muchos problemas y deberán hacer un esfuerzo ante la entrada del Reglamento DORA que entrará en vigor en enero del 2025”, señala Vidal.

Para esta jurista, parece claro que este acuerdo entre INCIBE y CECA, una de las patronales del sector financiero además de impulsar medidas de concienciación que siempre son necesarias, va a ayudar mucho a implementar las medidas adecuadas para que estas entidades financieras puedan cumplir DORA “una norma de aplicación inmediata como Reglamento que tiene aplicación directa en todo el perímetro financiero. Se trata que dichos operadores financieros tengan capacidad de resiliencia y activar el negocio tras un ciberataque”.

Esta experta señala que el propio Reglamento Dora, en su artículo 45, recoge “donde se muestra partidario que se fomenten los intercambios de información entre dichos operadores financieros sobre ciberamenazas. “Este articulo cree que sería bueno que se fomentase este intercambio de información y eso puede ayudar a resolver este tipo de problemas de forma más eficiente. No podemos olvidar que estamos hablando de los mismos problemas que hay en los distintos operadores financieros que hay”.

Desde DORA se insiste en que “es bueno hacer estos intercambios de información pero hay que tener en cuenta que deben protegerse ciertos activos intangibles como son los secretos comerciales, la cuestión de la protección de datos y cuestiones de políticas de competencia. Estas son las barreras que se plantean a nivel desde un punto de vista práctico pero si el propio Reglamento ha dejado abierto el citado artículo 45 de esta normativa comunitaria donde se habla de ello. Es posible que una entidad patronal como CECA podría ser un elemento para fomentar dichos acuerdos en el propio sector financiero”.

La propia norma según Vidal señala que “estos acuerdos de información deben ser comunicados a la autoridad correspondiente, a nivel regulatorio. Cualquier entidad sectorial financiera o bancaria podría ayudar a impulsar este tipo de colaboraciones. La concienciación está bien pero se puede dar un paso más en esa relación entre un partner tecnológico como INCIBE y las propias entidades que se encuentran en este momento bajo el paraguas de CECA. En este escenario no se podría descartar crear un Código de Buenas Prácticas para el sector financiero”.

La ciberseguridad es estratégica

Fernando Zunzunegui, abogado, profesor de Derecho Financiero y presidente de Finsalud, subraya que “este es un acuerdo de colaboración técnica entre una patronal bancaria y el instituto público encargado de la ciberseguridad”.

Fernando Zunzunegui muestra su preocupación por el elevado índice de ciberataques donde el consumidor tiene que litigar para recuperar su dinero. (Imagen: Finsalud)

La Fundación Finanzas y Salud (Finsalud) es una fundación de interés general cuyo fin es la mejora del bienestar en el entorno financiero, en todas sus facetas, tanto en el bienestar físico y mental como en el bienestar patrimonial vinculado a la seguridad jurídica.

Desde su punto de vista “en dentro del marco comunitario que quiere reforzar la ciberseguridad en el sector financiero, creando cauces para avisar de los incidentes más graves y contribuir a su resolución. Desde Finsalud damos la bienvenida a este tipo de convenios”.

“Las brechas de seguridad en los servicios de pagos constituyen una preocupación importante de la clientela bancaria, en particular de los mayores y personas más vulnerables. Es el Banco de España quien debe liderar los proyectos público-privados destinados a mejorar la ciberseguridad en el mercado financiero no solo por sus implicaciones para la estabilidad bancaria sino también por el daño que ocasionan a la clientela” comenta.

A su juicio “hay que proteger al cliente bancario frente al cibercrimen, con prevención y cuando se rompe la seguridad fijando reglas claras para una pronta reparación del daño ocasionado. En el mes de noviembre dedicaremos el Foro Anual Finsalud al fraude bancario en la banca digital y a las medidas que se están adoptando en la Unión Europea para proteger al consumidor”.

En todos estos casos este experto señala que “salvo que la banca pruebe la falta diligencia grave del cliente, es el banco quien debe responder de forma objetiva. De este modo se incentiva la inversión en ciberseguridad”.