La resiliencia, como la confianza, solo se percibe cuando falta
La resiliencia digital de un banco protege también a competidores y contrapartes, creando un bien parcialmente público que genera infrainversión sistemática. El test de resiliencia cibernética del BCE en 2024 logró aumentar inversión en ciberseguridad un 81% en bancos rezagados mediante escrutinio intensivo sin capital regulatorio.
- Inversión en ciberseguridad creció 45% en la banca europea tras el anuncio del test del BCE en marzo de 2023
- Bancos rezagados aumentaron inversión 81% adicional tras el escrutinio supervisor intensivo
- 109 entidades significativas de la zona del euro participaron en el Cyber Resilience Stress Test de 2024
- El 75% de directores de riesgos en banca global identifica ciberseguridad como principal preocupación
La ciberseguridad financiera genera externalidades positivas que desincentivan la inversión privada óptima. El escrutinio supervisor sin sanciones de capital demostró aumentar inversión en ciberseguridad un 45% en la banca europea.
Hace poco más de tres años, una conferencia sobre amenazas híbridas y estabilidad financiera habría parecido un ejercicio puramente académico. Ya no. Una supervisora del BCE lo expresó sin ambages al abrir uno de esos encuentros en Fráncfort: los riesgos que solíamos considerar improbables, los eventos extremos que la teoría reservaba para los márgenes de la distribución, se han convertido en la línea base de la realidad. Los incidentes cibernéticos notificados por los bancos al regulador se multiplicaron en 2024. Una encuesta reciente de EY y el Institute of International Finance sitúa la ciberseguridad como la preocupación principal del 75% de los directores de riesgos en la banca global, impulsada sobre todo por las tensiones geopolíticas. Pero la pregunta económica verdadera no es por qué el riesgo ha crecido. Es otra, raramente formulada con claridad: si todos lo saben, ¿por qué los bancos no invierten lo suficiente?
La respuesta toma forma de un fallo de mercado clásico aplicado a un terreno relativamente nuevo. La ciberseguridad de una institución financiera no es un bien puramente privado. Cuando un banco refuerza sus defensas, no se protege solo a sí mismo: protege también a sus contrapartes, a sus proveedores, a los clientes que comparten infraestructuras de pago, a otras entidades que dependen del mismo proveedor de servicios en la nube. La interconexión convierte la resiliencia individual en un bien parcialmente público. Donde existen externalidades positivas, el agente privado captura apenas una fracción del beneficio social de su inversión. El resultado es predecible en cualquier manual de microeconomía: infrainversión sistemática respecto al óptimo social.
El problema radica en que las herramientas prudenciales tradicionales no están preparadas para corregir esta distorsión específica. Los requerimientos de capital, calibrados durante décadas con datos de riesgos de crédito o mercado, encajan mal con un riesgo que evoluciona en semanas, que no se mapea naturalmente en activos ponderados, y para el cual carecemos aún de modelos robustos de pérdida esperada. La disciplina de mercado mediante transparencia, tan eficaz en otros ámbitos bancarios, plantea aquí un dilema incómodo: publicar las vulnerabilidades concretas de una entidad equivale a entregar un mapa operativo a quienes la atacan. La pregunta interesante para un supervisor es si existe un instrumento intermedio, algo que mueva el comportamiento bancario sin sancionar vía capital y sin exponer información sensible al exterior.
El test de resiliencia cibernética realizado por el BCE en 2024, conocido como Cyber Resilience Stress Test o CyRST, ofrece una oportunidad casi de laboratorio para responder a esa pregunta. Por su diseño, el ejercicio reunió tres rasgos que rara vez coinciden: no estuvo vinculado mecánicamente a requerimientos de capital, no se publicaron resultados individuales sino solo agregados en julio de 2024, y se apoyó en una interacción supervisora intensiva con cada una de las 109 entidades significativas de la zona del euro, incluyendo inspecciones in situ y simulaciones de recuperación. Un estudio reciente publicado en la serie académica del BCE, realizado junto con investigadores del FMI, el BIS y universidades europeas, utilizó el anuncio del ejercicio en marzo de 2023 como experimento natural para medir si ese escrutinio, aislado del capital y de la disciplina de mercado, modificaba por sí solo la inversión bancaria en ciberseguridad.
Los resultados fueron nítidos. En el conjunto del sistema, la inversión en ciberseguridad creció alrededor del 45% tras el anuncio. Más revelador aún fue la heterogeneidad. Los investigadores identificaron ex ante, usando únicamente datos previos al anuncio, un subconjunto de bancos rezagados: entidades que, controlando por su perfil de riesgo, complejidad operativa y gobierno corporativo, venían invirtiendo menos de lo que su exposición justificaba. Tras el anuncio, esos bancos elevaron su inversión en torno al 81% adicional respecto a sus pares no rezagados. El efecto se concentró en los más severamente rezagados y en aquellos que recibieron atención supervisora más intensa. Y no se limitó al gasto: los bancos en cuestión también redujeron dependencias críticas con terceros, retuvieron especialistas internos en ciberseguridad y recalibraron sus coberturas de ciberseguro. No solo gastaron más; gestionaron de manera distinta.
La lectura económica es relevante. El escrutinio supervisor, aislado de las palancas tradicionales del capital y la transparencia pública, puede disciplinar comportamientos privados en un dominio donde esas palancas son inefectivas. Lo hace además de forma eficiente, concentrando el efecto en quienes más se apartaban del óptimo. La supervisión bancaria europea ha señalado que este tipo de escrutinio puede aumentar de forma medible la inversión en ciberseguridad incluso cuando los mecanismos formales no se activan. Es una afirmación importante que sugiere que el toolkit prudencial es más rico de lo que el debate público suele reconocer.
Esta conversación se sitúa en un marco europeo más amplio. El informe Draghi sobre el futuro de la competitividad identificó la resiliencia operacional como condición, no como freno, de la autonomía estratégica europea. La inversión en ciberseguridad no es un coste defensivo en el balance de pérdidas y ganancias; es un componente estructural de la competitividad europea en un entorno fragmentado. El BCE instó recientemente a la banca de la zona del euro a prepararse frente a ciberataques que podrían lanzarse con ayuda de Mythos, un modelo de inteligencia artificial de frontera al que las entidades europeas ni siquiera tienen acceso. No es un riesgo nuevo: es un cambio de tecnología sobre un riesgo conocido.
La inteligencia artificial está produciendo un desplazamiento estructural en la curva del atacante. Capacidades que antes exigían tiempo, recursos y especialización avanzada se están abaratando, acelerando y democratizando. La tecnología también es accesible al defensor, pero que se traduzca en un refuerzo proporcional de la capacidad defensiva no es automático: depende del gobierno corporativo, de las decisiones de inversión, de la madurez de ingeniería y de la disciplina operativa. Una organización compleja, un banco, una infraestructura crítica, se adapta más despacio que un atacante individual. Ese desfase, mientras dura, es el riesgo. La resiliencia, como la confianza, solo se percibe cuando falta. Por eso es tan difícil de pagar a precio de mercado, y por eso conviene exigirla antes. Lo que parecía un coste defensivo es ya, en realidad, una condición de la continuidad del propio negocio.
Notable Quotes
Los riesgos que hasta hace poco situábamos en el extremo de la distribución se han instalado en la línea base— Miembro del Consejo de Supervisión del BCE
Resiliencia y crecimiento son dos caras de la misma moneda— Presidencia del Consejo de Supervisión del BCE
The Hearth Conversation Another angle on the story
¿Por qué un banco que invierte en ciberseguridad está, en cierto sentido, invirtiendo para proteger a sus competidores?
Porque los bancos no operan en silos. Cuando uno refuerza sus defensas, reduce el riesgo sistémico que afecta a toda la red. Si tu proveedor de servicios en la nube es atacado, el daño se propaga a todos los clientes que usan esa infraestructura. La resiliencia de uno es resiliencia de todos.
Entonces el mercado, dejado a su lógica, invierte menos de lo que sería óptimo para la sociedad.
Exactamente. Un banco captura solo una fracción del beneficio de su inversión en ciberseguridad. El resto se dispersa en la red. Así que desde el punto de vista privado, la inversión parece cara. Desde el punto de vista social, es barata.
¿Y cómo logró el BCE mover el comportamiento sin usar capital regulatorio ni publicar resultados individuales?
Con escrutinio intensivo. Inspecciones in situ, simulaciones de recuperación, conversaciones directas con cada entidad significativa. No fue una sanción formal, fue atención. Los bancos rezagados aumentaron su inversión un 81% adicional después del anuncio del test.
¿Eso significa que la supervisión cualitativa es más efectiva que los números?
En este caso, sí. El capital regulatorio está calibrado para riesgos que evolucionan lentamente y que podemos modelar. La ciberseguridad cambia en semanas. El escrutinio directo puede adaptarse a esa velocidad. Mide resiliencia demostrada, no apariencia formal de control.
¿Qué cambia con la inteligencia artificial?
Que los atacantes se vuelven más rápidos y más baratos. Capacidades que antes exigían especialistas y tiempo ahora se democratizan. Los defensores tienen acceso a la misma tecnología, pero una organización compleja se adapta más lentamente que un atacante individual. Ese desfase temporal es el riesgo.
¿Esto va más allá de la banca?
Debería. Las redes eléctricas, las telecomunicaciones, los sistemas hospitalarios comparten la misma lógica de interconexión y externalidades. Si el escrutinio focalizado funcionó en un sector tan regulado como la banca, conviene preguntarse si puede replicarse en infraestructuras críticas.