ING, HSBC, NatWest... Los grandes fiascos tecnológicos de la banca

Esta semana, los clientes de ING Direct España sufrían un apagón de casi 24 horas durante el que fue imposible acceder a las cuentas. Los expertos consultados por Teknautas consideraron "muy improbable" que se tratara de un ciberataque, aunque la empresa no se ha pronunciado al respecto. El fallo técnico recuerda que ni siquiera un sector que invierte tanto en seguridad como es la banca se encuentra a salvo de los errores informáticos. Como suele decirse en estos casos, no hay nada cien por cien seguro, y existen numerosos precedentes internacionales.

El más reciente de ellos fue intencionado y tuvo como víctima a la multinacional británica HSBC. El pasado 29 de enero, un ataque informático fue "rechazado con éxito" según la empresa, pero provocó la caída del servicio durante varias horas en un día tan complicado como son los finales de mes. Expertos en seguridad informática especializados en banca aseguran a este periódico que en los dos últimos años se ha visto un incremento en los intentos de ataque, y que aunque la probabilidad de éxito es muy baja, a veces se consigue.

El RBS ha sufrido cinco caídas importantes en tres años, debido a actualizaciones de 'software', errores de 'hardware' y hasta un ciberataque

Para protegerse de posibles ataques de denegación de servicio, los bancos emplean múltiples redes replicadas en el mundo. "Es caro pero cada vez invierten más en ello porque no puedes atacar todas a la vez", asegura el especialista en ciberseguridad, que prefiere mantener el anonimato. A pesar de que los ataques son una realidad y resulta imposible protegerse al cien por cien, el informático considera más peligrosos los errores involuntarios: "La probabilidad de un fallo es bajísima pero el impacto es muy grande, mientras que la probabilidad de un ataque externo es altísima pero su impacto es muy bajo".

Un fallo no intencionado puede tener multitud de orígenes, y en ocasiones es complicado determinar qué ha sucedido: un cambio en el sistema, un problema en un proceso, el bloqueo de una base de datos, un parche de seguridad instalado... Si tenemos en cuenta que los bancos cada vez se apoyan más en la tecnología y que llevan a cabo modificaciones diarias, la posibilidades de error aumentan.

Ni las instituciones centrales están a salvo: el Banco de Inglaterra ha sufrido repetidas caídas en los últimos años. En 2013, un fallo técnico relacionado con el 'hardware' dejó sin servicio a los clientes durante varias horas. En 2014, un informe aseguró que el sistema de pagos de la entidad había colapsado durante nueve horas en total por fallos en el diseño. Ya en 2016, el Comité del Tesoro de Reino Unido advertía que era necesario tomar más medidas: "No podemos seguir así".

La probabilidad de un fallo es baja pero el impacto es grande, mientras que la probabilidad de un ataque externo es alta pero su impacto es bajo

Peor es el caso del Banco Real de Escocia (RBS por sus siglas en inglés), que algunos consideran el peor banco británico. En tres años ha sufrido cinco caídas importantes debido a actualizaciones de 'software', errores de 'hardware' y hasta un ciberataque. Su compañero de desdichas es el National Westminster Bank (NatWest), propiedad del grupo escocés.

Los bancos ingleses muestran cómo estos problemas son más frecuentes de lo que clientes y banqueros desearían. El especialista en ciberseguridad bancaria consultado por Teknautas asegura que esto no es prueba de un comportamiento chapucero, sino todo lo contrario. "Si no se hiciera lo que se hace pasaría todavía más. Hay mucha gente e inversión dedicadas a las telecomunicaciones y se pasan muchas auditorías internas y externas cada año. Los bancos son el sector más regulado junto a las centrales eléctricas y nucleares". Es más, el informático recuerda que cada incidente afecta al bonus de los técnicos a final de año.

Aunque existan ejemplos en otros países como EEUU y China, que los ejemplos citados en este artículo sean ingleses no es coincidencia. El especialista en seguridad informática comenta que en Reino Unido los bancos deben publicar los incidentes de seguridad, "un código ético inexistente en España". En su opinión, la mayoría de incidentes en nuestro país nunca trascienden porque no se publican: "Es algo común al resto de empresas, son reacias a decir que han tenido un fallo de seguridad porque no las deja en buen lugar".