G. Escribano (Expansión)
Tema: Economía
El reciente robo de 7 millones de euros de un 'hacker' en la bolsa de emisiones contaminantes ha destapado las debilidades y los fallos de seguridad, así como la urgente necesidad de una regulación europea más estricta.
Un pirata que le roba caramelos a un niño pequeño. Ésa es la imagen que ha dejado el hacker que la pasada semana ha sacudido el sistema de comercio de derechos de emisión de dióxido de carbono (CO2) al sustraer siete millones de euros. No es el primer ataque informático que sufre este joven mercado y no será el último.
La bolsa de CO2 es un mecanismo para reducir la contaminación de las empresas. Cada Gobierno de la UE establece un tope de emisiones en determinados sectores productivos. Las compañías que sobrepasen este techo tienen que comprar derechos a las que no lleguen. Cada país tiene su sistema de registro, se organiza de una manera diferente e intercambia los derechos a través de plataformas paneuropeas como Bluenext. Una empresa privada se encarga de gestionar el registro, que en el caso español es Iberclear, la firma responsable del parqué y la deuda pública.
¿Cómo ha actuado el hacker? Al parecer, entraba por la fuerza en el sistema informático del gestor de emisiones de un país (República Checa) y lanzaba transferencias de derechos a las cuentas de otras regiones (Polonia, después a Estonia y a Lichtenstein, donde se perdía el rastro). El proceso era el mismo que en los ataques a los bancos: el delincuente se saltaba las barreras de seguridad a través de la web, pero transfería un intangible en lugar de dinero. No existe nada físico a lo que agarrarse en el caso de los derechos de emisión: es una sencilla operación contable que tiene el mismo efecto imán que un tesoro para los piratas.
En este último ataque, el hacker transfirió 475.000 títulos que, a precio de mercado, suman unos siete millones de euros. Los derechos fueron vendidos a toda velocidad a otros operadores y al contado, por lo que el pirata tiene el tesoro en su guarida. Durante el año pasado, esta bolsa movió 90.000 millones.
“El sistema es vulnerable como la banca online. El problema es minimizar los riesgos, algo en lo que varios países no se han esforzado desde que ocurrió el primer ataque en Rumanía el año pasado”, explica Ismael Romeo, director de Sendeco2, plataforma española de compraventa.
El mar de fondo es la falta de armonización entre los distintos países (algo que ahora se debate en la CE), las escasas exigencias de seguridad a los gestores del registro y los agujeros que dejan entre ellos, así como la indefinición de quién es el responsable en caso de delito. En resumen, la inmadurez de un mercado que entra en la edad adulta a golpes.
Los operadores de esta bolsa están preocupados por la fiabilidad de las empresas que gestionan los registros, que no parecen muy dispuestas a invertir en seguridad porque en 2013 dejarán de trabajar. Durante ese año, se creará un único registro europeo y las 27 firmas que participan ahora se quedarán en blanco. El sistema español, que no ha sufrido ataques, todavía no tiene quejas.
“La solución al problema pasa por armonizar las exigencias de seguridad y definir legal y administrativamente el sistema de registro de emisiones”, afirma Kepa Solaun, director general de Factorc CO2, consultora y bróker del mercado. “Es un problema estructural, aunque no hay que olvidar que es el primer mercado de commodities ambiental del mundo”.
Sin embargo, los operadores se preguntan si el 26 de enero, cuando la UE reactive el intercambio, los gestores habrán fortalecido su sistema de seguridad y los piratas lo tendrán más difícil.
Un pirata que le roba caramelos a un niño pequeño. Ésa es la imagen que ha dejado el hacker que la pasada semana ha sacudido el sistema de comercio de derechos de emisión de dióxido de carbono (CO2) al sustraer siete millones de euros. No es el primer ataque informático que sufre este joven mercado y no será el último.
La bolsa de CO2 es un mecanismo para reducir la contaminación de las empresas. Cada Gobierno de la UE establece un tope de emisiones en determinados sectores productivos. Las compañías que sobrepasen este techo tienen que comprar derechos a las que no lleguen. Cada país tiene su sistema de registro, se organiza de una manera diferente e intercambia los derechos a través de plataformas paneuropeas como Bluenext. Una empresa privada se encarga de gestionar el registro, que en el caso español es Iberclear, la firma responsable del parqué y la deuda pública.
¿Cómo ha actuado el hacker? Al parecer, entraba por la fuerza en el sistema informático del gestor de emisiones de un país (República Checa) y lanzaba transferencias de derechos a las cuentas de otras regiones (Polonia, después a Estonia y a Lichtenstein, donde se perdía el rastro). El proceso era el mismo que en los ataques a los bancos: el delincuente se saltaba las barreras de seguridad a través de la web, pero transfería un intangible en lugar de dinero. No existe nada físico a lo que agarrarse en el caso de los derechos de emisión: es una sencilla operación contable que tiene el mismo efecto imán que un tesoro para los piratas.
En este último ataque, el hacker transfirió 475.000 títulos que, a precio de mercado, suman unos siete millones de euros. Los derechos fueron vendidos a toda velocidad a otros operadores y al contado, por lo que el pirata tiene el tesoro en su guarida. Durante el año pasado, esta bolsa movió 90.000 millones.
“El sistema es vulnerable como la banca online. El problema es minimizar los riesgos, algo en lo que varios países no se han esforzado desde que ocurrió el primer ataque en Rumanía el año pasado”, explica Ismael Romeo, director de Sendeco2, plataforma española de compraventa.
El mar de fondo es la falta de armonización entre los distintos países (algo que ahora se debate en la CE), las escasas exigencias de seguridad a los gestores del registro y los agujeros que dejan entre ellos, así como la indefinición de quién es el responsable en caso de delito. En resumen, la inmadurez de un mercado que entra en la edad adulta a golpes.
Los operadores de esta bolsa están preocupados por la fiabilidad de las empresas que gestionan los registros, que no parecen muy dispuestas a invertir en seguridad porque en 2013 dejarán de trabajar. Durante ese año, se creará un único registro europeo y las 27 firmas que participan ahora se quedarán en blanco. El sistema español, que no ha sufrido ataques, todavía no tiene quejas.
“La solución al problema pasa por armonizar las exigencias de seguridad y definir legal y administrativamente el sistema de registro de emisiones”, afirma Kepa Solaun, director general de Factorc CO2, consultora y bróker del mercado. “Es un problema estructural, aunque no hay que olvidar que es el primer mercado de commodities ambiental del mundo”.
Sin embargo, los operadores se preguntan si el 26 de enero, cuando la UE reactive el intercambio, los gestores habrán fortalecido su sistema de seguridad y los piratas lo tendrán más difícil.
No hay comentarios:
Publicar un comentario