CNBV: Instituciones financieras tardan en reportar incidentes de ciberseguridad

Playa del Carmen, Q.R.- La Comisión Nacional Bancaria y de Valores (CNBV) y otras autoridades podrían no tener visibilidad de todos los incidentes de ciberseguridad que ocurren en el sector financiero, debido a que las entidades tardan en reportar los ataques de los que fueron víctimas, así lo mencionó Luis Lima, director general de supervisión y seguridad de la información del órgano regulador durante el Segundo Congreso Cooperativo Financiero.

La CNBV informó que en este año han ocurrido 15 incidentes de ciberseguridad concretados y reportados por entidades financieras que se dirigieron a varias actividades de la entidad, el número de incidentes ocurridos en el 2023 también fue de 15 y son menores en comparación con años anteriores como en el 2022 con 27 ataques, pero estas cifras podrían no reflejar todos los incidentes.

Luis Lima, director general de supervisión y seguridad de la información de la CNBV, informó que las autoridades cuentan con información de los incidentes, sin embargo, estos solo son de las entidades financieras que están obligadas a reportar por regulación, además de que diversas instituciones no informan de forma oportuna sobre los incidentes de los que han sido víctimas.

“Es bien frecuente que muchas entidades traten de ocultar (los incidentes de ciberataques) y nos vamos enterando después. Cuando la situación se pone más difícil es cuando ya nos damos cuenta que los habían hackeado desde hace medio año y me va informando, porque ya perdieron no sé cuánto, es una mala práctica”, señaló Lima.

Agregó que como autoridad, la CNBV al recibir un reporte sobre alguna incidencia puede apoyar para la contención del evento, sin embargo, una omisión de este estilo provoca que no cuenten con visibilidad, como consecuencia no se puede prevenir a las demás instituciones.

“Cuando a alguien le pasa esto, sin decir información sensible y de forma anónima, compartimos y advertimos”, mencionó.

De los 15 incidentes reportados por entidades en este año, la CNBV detalló que cinco fueron ataques a sistemas, tres corresponden a fugas de información, dos a robo de credenciales, dos a cajeros automáticos, dos relacionados con eventos a terceros y uno de fuga de información expuesta en internet. Mientras que no se tiene registro de ningún ataque a corresponsales.

Lima detalló que conforme a la regulación las instituciones financieras que reportan incidentes son atendidas conforme a los protocolos del Grupo de Respuesta a Incidentes Sensibles de Seguridad de la Información (GRI).

Norma de sostenibilidad para las Socaps

Por otra parte, la CNBV se encuentra en el proceso de creación de una norma de regulación para los criterios sostenibles aplicables a las Sociedades Cooperativas de Ahorro y Préstamo (Socaps).

Aunque el regulador no especificó una fecha para la publicación de las normas, Daniel Alejandro Miranda López, director general de desarrollo regulatorio de la CNBV, adelantó que la regulación no será sorpresiva y que se comentará con anticipación en el gremio y con el Consejo Directivo de la Confederación de Cooperativas de Ahorro y Préstamo de México (Concamex).

“Debemos tener las bases sólidas primero con las normas de información financiera una vez que ya hayamos logrado ese paso avanzaremos, lo que estamos trabajando es la elaboración de la hoja de ruta regulatoria”, mencionó Miranda en el marco del segundo Congreso Cooperativo Financiero.

Dicho precepto tiene como antecedente que el pasado 13 de mayo del 2024, el Consejo Mexicano de Normas de Información Financiera y Sostenibilidad publicó las dos primeras Normas de Información de Sostenibilidad.

A su vez estas reglas tienen el objetivo de estar en convergencia con las Normas Internacionales de Revelación de Información de Sostenibilidad (IFRS S, por sus siglas en inglés), emitidas por el Consejo de Normas Internacionales de Sostenibilidad.

Miranda explicó que la elaboración de una norma de sostenibilidad tiene el objetivo de que las sociedades cooperativas puedan revelar información de riesgos financieros asociados con la sostenibilidad que afectan el flujo de efectivo de las entidades.