En 2022 se registraron 2.8 mil millones de ataques de malware. La base de datos de vulnerabilidades nacional de Estados Unidos añadió 26,000 nuevas debilidades en aplicaciones e infraestructura. El ransomware, un tipo de malware que cifra archivos o restringe el acceso a sistemas, constituyó el 68% de todos los ciberataques globales.
Los ciberataques aumentaron un 38% en 2022 en comparación con 2021. El costo promedio de una brecha de datos alcanzó los 4.35 millones de dólares, representando un impacto financiero global estimado en 12.18 billones, superando el PIB de países como la República Dominicana.
Desde 2012, ataques emblemáticos han azotado al sector financiero. Bancos en Corea del Sur, Bank of America, Chase, Wells Fargo y PNC sufrieron ataques que impidieron el acceso a las cuentas de sus clientes. Incidentes como el ataque al sistema de mensajería SWIFT, la fuga de datos de JP Morgan que afectó a 83 millones de usuarios, y las acciones del grupo Carbanak, que robó más de mil millones de dólares de más de 100 bancos, son ejemplos notorios.
Otros ataques significativos incluyen el exploit de día cero en el software de Accellion, afectando a entidades como Morgan Stanley y la Reserve Bank of New Zealand, y los ataques de phishing a PayPal en 2021. Igualmente críticas fueron la filtración de datos de American Express en México y el ransomware contra Automatic Funds Transfer Services, que comprometió información financiera y fiscal.
Estos incidentes demuestran que, aunque la era digital ha incrementado la productividad y la generación de riqueza, también ha elevado los riesgos en el sector financiero. En este contexto, y como nadie puede cantar victoria permanente frente al cibercrimen, la gestión de la comunicación sobre el fenómeno en instituciones financieras no debe ser un tabú ni recurrir al ocultamiento o a la mentira, prácticas que actualmente resultan ineficaces.
Las grandes entidades comerciales y financieras, que han sido blancos de ataques por parte de cibercriminales, continúan operando y han superado sus desafíos a variados costos. Esto podría deberse a la implementación de planes de contingencia efectivos, inversiones en sistemas de protección que incrementan su resiliencia y la adopción de estrategias de comunicación eficaces para gestionar las crisis, evitando así la pérdida de credibilidad de sus marcas.
Esta nueva realidad relega a la prehistoria los asaltos bancarios a mano armada, con pasamontañas y veloces motocicletas, que inspiraron a Hollywood, y remite a la edad de piedra los atracos a diligencias de transporte de valores del Viejo Oeste, con sus versiones tropicales retardadas, como el sangriento asalto a Vimenca-Western Union en 1999.
Ante un ciberataque, las instituciones financieras deben informar rápidamente y con transparencia, equilibrando la claridad con la necesidad de no generar alarma. Aunque pueda ser tentador usar descripciones genéricas para evitar el pánico, esta estrategia a largo plazo puede dañar la reputación. La honestidad actualmente es fundamental; ocultar información puede erosionar la confianza más que admitir la verdad desde el principio.
La gestión de crisis en el ámbito digital requiere adaptar los principios básicos a las peculiaridades de este entorno, incluyendo actualizaciones regulares para reforzar la confianza. La comunicación efectiva implica un flujo de información rápido, un enfoque en la seguridad y una adecuada gestión de la percepción pública. Sin embargo, encontrar el equilibrio en la comunicación es desafiante y requiere tacto y un análisis de riesgos adecuado. Revelar demasiado puede exponer vulnerabilidades, pero la transparencia y claridad son esenciales para mantener la confianza.
En el plan de crisis es imprescindible que los protocolos de actuación ante un ciberataque no solo estén claramente delineados, sino que también se pongan a prueba mediante simulacros prácticos. Estos ejercicios son fundamentales para capacitar a los equipos clave. Además, es vital contar con portavoces bien formados en ciberseguridad, capaces de comunicar eficazmente sobre estos incidentes. Los comunicados institucionales, a menudo impersonales, deben ser más humanizados, ya que los mensajes transmitidos por personas reales tienen un mayor impacto en la audiencia.