Cuatro grandes operadores estadounidenses concentran la actividad de almacenamiento de datos de los bancos españoles en la nube, donde las entidades tienen ubicada parte de los datos de clientes y de los servicios que les ofrecen.
El Banco de España ha alertado sobre esta concentración en un número reducido de proveedores: se trata de Amazon, Azure (Microsoft), IBM y Google, aunque esta última tiene una capacidad para la venta más limitada, según fuentes del sector.
Amazon comenzó a vender espacio en la nube para utilizar la capacidad de computación de la que se dotó para atender las campañas de Navidad, en las que concentraba cerca del 50 % de su facturación anual y que, una vez concluida, quedaba ociosa.
Es la única compañía de las cuatro que utiliza un sistema de gestión "propietario" (de uso exclusivo en su plataforma) mientras que el resto del mercado trabaja con sistemas de código abierto, que se basan en software desarrollado en comunidades abiertas a cualquier usuario y sirven para diferentes sistemas de gestión.
El almacenaje de datos y la computación en la nube ("cloud computing") permite a los bancos, que también tienen picos de actividad potentes como los finales de mes, disponer de capacidad adicional para su operativa diaria sin tener que dimensionar sus sistemas para estas puntas de trabajo.
De momento, los bancos no tienen subidas a la nube sus unidades centrales ("mainframe" en la terminología del sector), que son las que albergan el "core" de su negocio y en las que alojan los datos sensibles de clientes.
La mayoría de estas unidades centrales de las entidades españolas han sido desarrolladas por IBM aunque son de uso exclusivo de los bancos, por lo que el proveedor no accede a la información que contienen.
El "cloud" se utiliza, sobre todo, para lo que los expertos denominan sistemas distribuidos, una capa intermedia en la que se sitúan la infraestructura, todo tipo de aplicaciones y las distintas webs, aunque la base está en los sistemas centrales de las entidades.
Los proveedores de espacio en la nube permiten también "alquilar" capacidad de cómputo adicional en momentos puntuales en los que la actividad de los bancos se dispara y que, en otro caso, les obligaría a sobredimensionar sus sistemas de forma ineficiente y costosa.
La información de las entidades puede estar en una "cloud" privada, en la que hay únicamente datos de un banco y que suele estar alojada en Centros de Proceso de Datos de uso exclusivo, o en una pública, donde hay información de más instituciones, pero es menos costosa. La tendencia creciente es usar modelos de "cloud híbrida" en los que conviven ambos entornos.
En estos entornos de "cloud" pública, en los que se aloja el desarrollo de las aplicaciones que utiliza la banca, se ubican multitud de proveedores -los desarrolladores de la propia aplicación o los expertos en reconocimiento facial, por ejemplo- que manejan información sensible, aunque no tienen acceso a la información relativa a clientes.
El Banco de España y la Autoridad Bancaria Europea permiten esta externalización pero exigen a los bancos que hagan controles sobre sus proveedores e incluyan en los contratos la posibilidad de que tanto la entidad como el supervisor puedan hacer peticiones in situ, si bien la responsabilidad última, no solo frente al supervisor, es del banco, según ha explicado a Efe el socio del sector financiero de KPMG Mariano Lasarte.
En su último Informe de Estabilidad Financiera, del 31 de octubre pasado, el Banco de España explica que la innovación tecnológica y los cambios en las expectativas de los clientes, que esperan productos personalizados y disponibilidad multicanal y continua de nuevos servicios, han forzado a las entidades a evolucionar sus sistemas tecnológicos.
Esto ha obligado con frecuencia, continúa, a adoptar tecnologías "no suficientemente probadas" y a una creciente dependencia de servicios proporcionados por terceros, lo que "difumina el perímetro de la organización que es necesario proteger" a efectos de ciberseguridad.
En el caso de los servicios en la nube se observa además que la concentración en un número reducido de proveedores, "no regulados ni supervisados", aumenta y pasan a convertirse en puntos críticos de la infraestructura financiera", concluye el Banco de España.