Delinean entrega de información ante ciberataques a fintech

Cuando una institución de tecnología financiera (fintech) sea víctima de un ciberataque, deberá informar inmediatamente a la autoridad y a sus clientes los detalles del evento sucedido, así como si existieron pérdidas por tal suceso, según las nuevas disposiciones de la ley que hace algunos días se publicaron en la Comisión Nacional de Mejora Regulatoria (Conamer) y que próximamente estarán publicadas en el Diario Oficial de la Federación.

La Comisión Nacional Bancaria y de Valores (CNBV) publicó en la Conamer una serie de disposiciones secundarias relativas a la ley fintech, así como modificaciones y adiciones a la misma, el primer ajuste a esta normativa en la administración de Andrés Manuel López Obrador.

Dentro del paquete de disposiciones publicado en la Conamer destacan las relativas a la información que deberá entregar una institución de fondeo colectivo autorizada bajo la normativa, en caso de que sea víctima de un ciberataque, pues estaría obligada a elaborar un informe con detalles pormenorizados de lo sucedido.

Como primeros pasos luego del ciberataque, la empresa de tecnología financiera deberá elaborar un reporte con la fecha y hora en que ocurrió el suceso, el momento en que se detectó, y la duración del incidente, así como la descripción de la afectación provocada por el incidente de seguridad.

Asimismo, deberá detallar si la información de uno o varios de sus clientes fue comprometida, y en caso de que haya sido así, tendrá la obligación de reportar a la autoridad datos personales de la persona afectada.

En caso de que el ataque haya sido perpetrado, tendrá que reportar la información de las cuentas afectadas, así como el saldo de lo sustraído. También deberá describir el tipo de ataque del que fue víctima la entidad afectada.

Según las disposiciones en Conamer, se tendrá que informar a la autoridad si la plataforma sufrió un ataque relativo a la intercepción de datos o detallar la actividad maliciosa como robo de identidad, un ataque de denegación de servicios, la penetración de un código malicioso o abuso de autorizaciones, entre otras.

El año anterior, se informó de diversos ciberataques o intentos de éstos a instituciones financieras mexicanas, entre ellas a Bitso, una empresas fintech que ofrece el servicio de compra venta de activos virtuales. En caso de operar bajo la normativa, tendrá que hacerlo como institución de fondos de pago electrónico para poder ofrecer el servicio que en la actualidad proporciona a más de 500,000 usuarios.

Protocolos de comunicación

Otros de los datos que deberá de llevar el reporte es el protocolo de comunicación utilizado ante la contingencia, la página web de los sitios involucrados e información sobre las acciones que se realizaron para mitigar el incidente y los resultados de la misma. Dicho reporte deberá de ser firmado por el oficial en jefe de seguridad de la información de la entidad que resulte afectada por dicho ciberataque.

Ajuste a la normativa

De acuerdo con lo publicado en la Conamer, se adiciona a la ley (que fue aprobada hace casi un año) el capítulo relativo a la seguridad de información y se modifican algunos artículos de la misma.

“Resulta conveniente establecer el marco normativo sobre seguridad de sus sistemas e infraestructura tecnológica (en las instituciones de fondeo colectivo), así como determinar los controles internos que deberán tener”, se puede leer en la exposición de motivos de dicho ajuste.

El nuevo capítulo de la ley marca las reglas respecto a seguridad de la información que deberán tener las instituciones de fondeo colectivo. Por ejemplo, que su director general sea el responsable de la implementación de controles en esta materia y que la infraestructura tecnológica, ya sea propia o provista por terceros, se apegue a ciertos lineamientos.

Las disposiciones publicadas en la Conamer también contienen reglas para las instituciones de fondos de pago electrónico, especialmente en la información que deberán de reportar a la CNBV.

fernando.gutierrez@eleconomista.mx