seguridad, Economía y bolsa

Hace algo más de dos años, el 6 de mayo de 2010, durante unos segundos la bolsa de Nueva York se desplomo casi un 10%, algo que se tradujo en una pérdida de valor de un billón de dólares. ¿Qué hecatombe generó aquel movimiento?

El suceso atrajo la atención inmediata del mundo financiero pero no la de los expertos en tecnología o en seguridad informática, hasta que a los pocos días se conoció que el motivo estaba en el software utilizado para la automatización de órdenes de compra y venta de valores.

¿Se trataba de un fallo en la programación? ¿De un fallo humano en la configuración o supervisión? ¿Un ataque externo? Finalmente se determino que los controles y supervisión de ese software en varias compañías de operación bursátil no eran los correctos y los fallos en una de ellas provoco fallos en cadena en el resto.

Los expertos en seguridad informática, centrados en la seguridad de las infraestructuras críticas, muchas veces centran sus estudios e investigaciones en elementos concretos de este tipo de sistemas, como son los sistemas de control industrial, pero en la propia definición de las infraestructuras críticas que hace el Centro Nacional para la Protección de las Infraestructuras Criticas (CNPIC), dependiente del Ministerio del Interior, se incluye como una infraestructura crítica la economía y el sistema financiero.

En España, la gestión de esta infraestructura le corresponde principalmente a la empresa Bolsas y Mercados Españoles (BME) y a sus empresas filiales, y la regulación normativa y legal a la Comisión Nacional del Mercado de Valores (CMNV).

En las páginas web de las empresas del grupo BME aparece alguna información sobre cómo funciona la Bolsa española a nivel informático. El sistema informático de la bolsa, se conoce como Sibe (Sistema de Interconexión Bursátil Español), y para funcionar con él se proporciona a los operadores bursátiles un terminal desarrollado por el propio grupo BME o también se permite la conexión al sistema de un grupo de programas externos homologados por la propia BME.

La complejidad de este sistema, en el que conviven terminales desarrollados por la propia Bolsa con programas externos, que a su vez se comunican con las aplicaciones que están a disposición de los usuarios, inversores finales y clientes a través de Internet, provoca que los puntos de fallo sean muchos y puede permitir que un atacante intente aprovecharse de alguno de ellos.

Los expertos informáticos estamos habituados a ver cómo sistemas de una complejidad similar, y que necesitan muchos mecanismos de interconexión, sufren muchos ataques motivados por los diferentes niveles de seguridad en cada elemento o fallos de control en algún punto del conjunto del sistema.

Y si los delincuentes informáticos o gobiernos extranjeros han conseguido atacar sistemas tan complejos como centrales para el enriquecimiento de uranio, sistemas de control industrial en depuradoras de agua, o centros de transformación eléctrica, ¿estamos seguros que nuestros sistemas informáticos en el mundo financiero están libres de estos riesgos?

Es evidente que los sistemas informáticos de las Bolsas de todo el mundo, también los de la española, están muy protegidos y controlados. Los niveles de acceso, los mecanismos de cifrado o los requisitos para que el software este homologado son muy altos. Pero si los sucesos como los de mayo del 2010 ocurren es porque alguno de estos puntos y controles de seguridad está fallando.

El incidente de seguridad en la Bolsa de Nueva York no ha sido el único al que se han enfrentado las Bolsas de todo el mundo. En agosto del 2011, los responsables de la bolsa de Hong Kong advirtieron de un ataque realizado por ciberdelincuentes y en enero del 2012 fueron los responsables de la bolsa de Tel Aviv los que advirtieron de un incidente similar.

Más recientemente, aunque sin estar provocados por ciberdelincuentes, este mismo mes de agosto, la empresa Kinght Capital advirtió de una pérdida de 400 millones de dólares provocada por un error informático en su software de órdenes automáticas. Incluso la Bolsa de Madrid se vio afectada por un incidente en Sibe que hizo caer el sistema y cerrar la bolsa durante varias horas durante la jornada del 6 de agosto.

La enorme y rápida evolución de los sistemas informáticos en el mundo financiero y bursátil así como su dependencia de estos sistemas para su funcionamiento es tan grande que la atención con la que los expertos en seguridad informática miramos este mundo debe cambiar. Debemos prestarle más y mejor atención, y ayudar entre todos a que resulte todavía más seguro y fiable e intentar que incidentes como los que he comentado no se vuelva a producir.