Lectura 5:00 min
Todas las entidades financieras en México sufrieron ciberataques: OEA
El costo total anual que supuso la respuesta y la recuperación ante incidentes de seguridad digital para las instituciones financieras en México fue de alrededor de 107 millones de dólares durante el 2018.
Foto: Twitter @OEA_Cyber
Todas las instituciones financieras en México identificaron algún evento contra su seguridad digital, ya sea que se haya tratado de ciberataques que fueron exitosos o no exitosos, de acuerdo con el mas reciente reporte Estado de la Ciberseguridad en el Sistema Financiero Mexicano, elaborado por la Organización de Estados Americanos (OEA) en colaboración con la Comisión Nacional Bancaria y de Valores (CNBV).
Según el reporte Estado de la Ciberseguridad en el Sistema Financiero Mexicano, en 43% de los casos el ataque en contra de estas instituciones resultó exitoso. El estudio considera 240 instituciones del sistema financiero mexicano, de las cuales 98 son sociedades de ahorro y crédito popular (socaps), 59 pertenecen al sector de intermediarios financieros no bancarios, 33 integrantes de la banca comercial y de servicios múltiples, 17 instituciones de tecnología financiera, 15 sociedades financieras populares, nueve bancos de desarrollo y nueve integrantes del sector bursátil.
Las entidades financieras mexicanas reportaron que los ataques a la seguridad de sus clientes que usan con más frecuencia los ciberdelincuentes son el phishing, la instalación de software espía (malware o troyanos) y la ingeniería social. Los ataques más comunes en contra de las propias instituciones son el software malicioso o malware, que afectó a 56% de las entidades; el phishing dirigido (spearphishing) con el fin de tener acceso a los sistemas de la entidad (47%) y la violación de políticas de escritorio limpio (31 por ciento).
“Se destaca que un 19% de las entidades e instituciones financieras identifican ocurrencia de eventos de malware diariamente”, refiere el estudio. Tambien las técnicas de ingenieria social, la filtración de código para modificar bases de datos (SQL) y los ataques de fuerza bruta, que sirven para conocer una contraseña o desencriptar información son otros de los ataques que experimentaron mas entidades.
La totalidad de estas instituciones gestionó activos cercanos a 700,000 millones de dólares durante el 2018, lo que representa 87% de los activos totales de los sectores contemplados. Además, obtuvieron ganancias superiores a 7,000 millones de dólares el año pasado y atendieron a 46 millones de clientes, de los cuales la mayoría son usuarios de servicios bancarios.
Esto significa que si bien más de 75% de las entidades analizadas en el estudio son pequeñas, estas atienden solo a 4.8% del total de clientes, usuarios o socios de servicios financieros en México; mientras que las medianas, que corresponden a 22% del total atienden a 36.94% de los usuarios y las grandes, que representan apenas 3% de la muestra considerada por el estudio, atienden a casi 60% de los usuarios.
Entidades medianas, las que más invierten en ciberseguridad
El costo total anual que supuso la respuesta y la recuperación ante incidentes de seguridad digital para las instituciones financieras en México fue de alrededor de 107 millones de dólares durante el 2018. Para la mayoría de las instituciones financieras este costo representa entre 1 y 1.73% del EBITDA generado el año inmediato anterior.
Cada ataque exitoso en contra de las instituciones del sistema financiero mexicano les cuesta en cuanto a la respuesta y recuperación alrededor de 655,000 dólares, siendo las grandes las que más dinero pierden en este sentido, pues a estas un sólo ataque puede llegar a costarles mas de 5 millones de dólares.
Las instituciones medianas son las que más presupuesto destinan a la implementación de medidas de ciberseguridad y prevención de fraudes en relación con su EBITDA. De acuerdo con el reporte, las entidades de tamaño medio gastaron en promedio 2.51% del EBITDA del año inmediato anterior en ciberseguridad, mientras que las grandes destinaron 2.31% y las pequeñas, 2.04 por ciento.
El presupuesto destinado a la ciberseguridad durante el 2018 fue mayor al costo que supusieron la respuesta y recuperación ante estos incidentes, pues alcanzó un total de 157 millones de dólares. Esto también resulta relevante si se considera que el retorno sobre la inversión seguridad de la información para todas las entidades es en promedio de 10.94%, lo que para la mayoría significa un retorno de alta rentabilidad.
Solo 44% reporta a autoridades
Entre las instituciones analizadas, sólo cuatro de cada 10 le reporta a una autoridad de procuración de justicia en México si es que sufrió un ataque cibernético. La mayoría (71%) de quienes lo hacen son instituciones grandes pertenecientes a la banca comercial, pues en su caso dicho reporte es obligatorio.
Entre las instituciones medianas, el 64% dijo sí haber reportado el haber sufrido un incidente de seguridad digital y solo 47% de las pequeñas dijo haber hecho este reporte. Cabe destacar que 82% de las instituciones considera que la la efectividad de las autoridades de procuración de justicia en México en la investigación y judicialización de los ciberdelincuentes es entre nada efectiva y medianamente efectiva. Solo 8% considera que la actuación de las autoridades es totalmente efectiva y 10% cree que es altamente efectiva con algunas deficiencias.