Lectura 3:00 min
Banca de desarrollo y Banxico, sin niveles altos de madurez ante ciberataques: ASF
La CNBV y el banco central no compartían los hallazgos en materia de riesgo tecnológico.
banjercito
Los seis bancos de desarrollo junto con el Banco de México (Banxico) todavía no cuentan en sus sistemas con los mecanismos de seguridad idóneos para alcanzar los niveles de madurez requeridos para protegerse ante ciberataques, como los que ocurrieron en el 2018 en el sistema financiero, indicó la Auditoría Superior de la Federación (ASF).
Como parte de la tercera entrega de la Cuenta Pública 2018, la ASF indicó que tanto los seis bancos de desarrollo como el Banxico, si bien han elevado sus niveles de madurez respecto a su ciberseguridad, todavía tienen deficiencias para alcanzar el nivel idóneo.
Durante el proceso de auditoría, el contralor estableció una revisión a los seis bancos de desarrollo y al Banxico, basada en cinco parámetros: identificación, protección, detección, respuesta y recuperación, de los cuales se desplegaron 65 subcategorías para establecer su nivel de madurez en cuestión de ciberseguridad.
De acuerdo con la primera revisión realizada por la ASF, se detectó que, sin especificar el nombre, dos entidades presentaron niveles muy bajos de madurez, mientras que las cinco restantes arrojaron sólo niveles bajos.
“En la (primera) revisión de la madurez de ciberseguridad, se detectó que dos entidades presentaron niveles muy bajos y las cinco restantes niveles bajos, según la metodología aplicada por la ASF y la información entregada inicialmente por las entidades auditadas”, explicó la auditoría.
Con base en estos resultados, la ASF realizó una nueva revisión donde concluyó que si bien algunas subsanaron algunas deficiencias, ninguna alcanzó los niveles altos de madurez.
Falta de coordinación.
Uno de los resultados de dicha auditoría fue la falta de coordinación entre reguladores, es decir, el Banxico y la Comisión Nacional Bancaria y de Valores, pues no compartían los hallazgos en materia de riesgo tecnológico y de seguridad de la información.
Asimismo, se concluyó que, al momento del ciberataque del que fue víctima Banjercito, el 24 de abril del 2018, no contaba con políticas, procedimientos, ni protocolos de emergencia para identificar, notificar, contener, atender, solucionar y mitigar incidentes de ciberseguridad.
También se detectó que el órgano interno de control y la dirección de Auditoría Interna no llevaron a cabo las actividades de análisis o investigación del incidente, que derivó en una extracción de 3 millones 560,000 pesos, provenientes de 11 transferencias fraudulentas que se realizaron a través del Sistema de Pagos Electrónicos Interbancarios, de los cuales se recuperaron 2 millones 574,000 pesos.
“(Banjercito) no contó con documentación relacionada con las actividades de protección y custodia de los componentes de infraestructura comprometidos”, detalló la ASF respecto al ciberataque del 2018 en el sistema financiero.
Según la ASF, este ciberataque causó un probable daño a la hacienda pública federal por 1 millón 500,000 pesos, debido al pago deducible del seguro contratado para este tipo de incidentes.