Ciberseguridad en instituciones financieras: la batalla mexicana contra el ciberdelito

La ciberseguridad se ha convertido en una preocupación crucial en el panorama financiero mundial, especialmente en instituciones bancarias. Con la transformación digital acelerándose, la oportunidad de ciberataques y sus consecuentes pérdidas económicas también ha incrementado. México, en particular, ha sentido el golpe de estos ciberdelincuentes.

Durante 2021-2022, México sufrió el 66% de todos los ciberataques en América Latina, traduciéndose en pérdidas de 3,000 a 5,000 millones de dólares anuales, según datos de la Asociación de Bancos de México y la American Chamber. Incluso, el Buró de Crédito y el Banco de México (Banxico) son ejemplos tangibles de estas vulnerabilidades. Si bien estos números son alarmantes, ofrecen también una oportunidad para las instituciones financieras mexicanas de reevaluar, fortalecer y revolucionar sus sistemas de ciberseguridad.

La ciberseguridad no es solo una cuestión de tecnología, sino una combinación de gestión de riesgos, políticas coherentes y formación continua. La integración de mejores prácticas internacionales es esencial, como destacó Carlos Pérez, director general de NYCE México. Es crucial adaptar estándares como el ISO/IEC 27701:2019 para fortalecer la seguridad de la información y proteger los datos personales.

Sin embargo, el desafío persiste. El primer semestre de 2023 registró más de 14,000 millones de intentos de ciberataques en México, solo superado por Brasil. Los ataques de ransomware y el malware siguen siendo las principales amenazas, y su evolución muestra una tendencia hacia operaciones más específicas y dirigidas.

Panorama

La respuesta a esta crisis no se limita a medidas tecnológicas. Derek Manky de FortiGuard Labs destacó la necesidad de una colaboración global entre sectores público y privado, y una inversión en servicios de seguridad avanzados. Es esencial interrumpir la economía de los ciberdelincuentes y garantizar que los costos de un ataque superen los beneficios.

Además, la complejidad del panorama global presenta desafíos adicionales. Las tensiones geopolíticas, como el conflicto entre Rusia y Ucrania y el conflicto entre Israel y Palestina, han dado lugar a una nueva generación de malware: los "wipers", diseñados para borrar información. Las redes de bots, contra amenaza, ahora persisten en las redes durante períodos más prolongados, lo que complica su detección y eliminación.

Ramón Santoyo, consultor de temas sobre banca electrónica en entrevista con El Economista mencionó que existe un panorama global de riesgos complicado, marcado por crisis económicas, sociales, geopolíticas y tecnológicas, hace que la ciberseguridad sea aún más crucial. “Las instituciones financieras no solo deben protegerse contra los ciberdelincuentes, sino también prepararse para una serie de riesgos interconectados que pueden amplificar las amenazas cibernéticas”.

En este contexto, México tiene una tarea titánica por delante. La inversión en tecnología, la formación y la colaboración son esenciales. “Las instituciones financieras deben reconocer que la ciberseguridad no es un gasto, sino una inversión en su futuro. Proteger la integridad de sus sistemas, la confianza de sus clientes y la estabilidad de la economía nacional debe ser una prioridad”.

¿Y en las Uniones de Crédito?

En la era digital actual, la ciberseguridad se ha convertido en un tema fundamental para todas las organizaciones y las Uniones de Crédito no son la excepción, así lo consideró Santoyo.

La transformación digital que hoy vivimos es un motor de eficiencia y crecimiento, pero también aumenta la superficie de ataque para los ciberdelincuentes. A medida que adoptamos más tecnología, tenemos también mayores riesgos cibernéticos”.

Explicó que la ciberseguridad va más allá de la tecnología. “Involucra la definición de procesos sólidos, la organización y capacitación de los recursos humanos, y una gobernanza adecuada. La protección de activos digitales, que incluye la información de nuestros clientes, requiere una estrategia empresarial integral que aborde aspectos tecnológicos, organizativos y culturales”.

Dijo que los eventos de ciberseguridad además de consecuencias económicas pueden dañar radicalmente la reputación de la organización, así como dar lugar a incumplimientos regulatorios.

“Las sanciones y multas por incumplimiento de regulaciones de protección de datos y otras normas que establezca el regulador, pueden ser significativas. Por ello la gestión proactiva de la ciberseguridad es esencial para evitar estos impactos negativos”, mencionó Santoyo, quien es Consejero Independiente de instituciones financieras, tales como: Banco del Bajío, Grupo Aserta, Banco Forjadores, entre otros.

Consideró que desafortunadamente un evento de ciberseguridad es solo el inicio de un largo y sinuoso camino lleno de costos y dolores de cabeza. “En el sector financiero el daño no se termina con un evento, comienza a partir de ahí”.

“La estrategia de ciberseguridad no es responsabilidad del oficial de ciberseguridad o CISO. Es un tema estratégico de tal relevancia que debe ser definido, aprobado y monitoreado desde el Consejo de Administración y por el órgano de gobierno que se establezca, habitualmente un Comité de Ciberseguridad”, mencionó el consultor que ya lleva varias décadas enfocado a la banca electrónico y la ciberseguridad en instituciones financieras.

Insistió, “en que los consejeros y la alta dirección deben estar informados y actualizados sobre las amenazas cibernéticas y participar activamente en la toma de decisiones estratégicas relacionadas con la ciberseguridad, que hoy es probablemente el mayor riesgo que enfrentan las Uniones de Crédito”.

Explicó que en otros países la legislación responsabiliza al Consejo de Administración por los eventos de ciberseguridad que le sucedan a la empresa, “les requiere tener un consejero experto en el tema y los obliga a tener una capacitación anual en el tema de la misma forma que hoy lo hacemos con los temas de prevención de lavado de dinero. Es algo que está en el horizonte y está en beneficio de las Uniones de Crédito comenzar antes y no después”.

Dijo que se debe de fomentar una cultura de ciberhigiene en la que cada accionista, directivo o empleado comprenda los riesgos y sepa cómo protegerse.

“La capacitación no es un evento único, sino un proceso continuo para mantener a todos al tanto de las últimas amenazas y mejores prácticas. Es indispensable dificultar a los ciberdelincuentes sus acciones. Considera que solo se necesita que una persona abra un archivo infectado para comprometer a toda la empresa, como ya lo hemos visto recientemente”, mencionó.

El especialista consideró que la ciberseguridad es un riesgo difícil de enfrentar en solitario. “La comunicación y la información son esenciales para una defensa efectiva. Los equipos de seguridad deben estar en constante comunicación, compartir inteligencia de amenazas y aprender de los incidentes anteriores. La colaboración entre organizaciones también puede fortalecer las defensas cibernéticas”.

“La ciberseguridad requiere atención inmediata y al más alto nivel. Es un tema del Consejo de Administración”, concluyó Santoyo.