Lectura 5:00 min
Entidades financieras han reportado 106 ciberataques a la CNBV desde 2019
Las cifras reportadas a las CNBV son mínimas comparadas con la realidad, debido al temor de algunas entidades, especialmente las de menor tamaño, al daño reputacional.
Dangerous,Hooded,Hacker,Breaks,Into,Government,Data,Servers,And,Infects
El sector financiero ha aumentado su exposición al riesgo cibernético y pese a ello, las entidades informan poco a las autoridades sobre los incidentes que sufren en materia de ciberseguridad y que podrían significar pérdidas para ellas, así como para sus clientes o incluso, pese a que se pueda generar un contagio para toda la industria.
Del 2019 a la fecha, las entidades del sistema financiero han reportado 106 incidentes de ciberseguridad a la Comisión Nacional Bancaria y de Valores (CNBV), lo que, para las mismas autoridades y especialistas, no es la cifra real si se toma en cuenta que esta industria es una de las de mayor riesgo en materia de ciberataques.
De acuerdo con una solicitud de acceso a la información a la CNBV, de estos 106 incidentes, 92 fueron reportados por las instituciones de banca múltiple, tres por bancos de desarrollo, tres por cooperativas de ahorro y préstamo, y tres por instituciones de tecnología financiera. Sectores como casas de bolsa, participantes en redes de medios de disposición, sociedades de información crediticia, financieras de objeto múltiple y operadoras de fondos de inversión, han reportado un incidente por industria.
En una solicitud distinta, la CNBV detalló que en el 2019 se reportó sólo un incidente, 32 en el 2020, 33 durante el 2021, 38 durante el 2022 y dos en lo que va de este año.
Según la Ley de Instituciones de Crédito, las instituciones financieras deben reportar un incidente de ciberseguridad cuando se genere una pérdida económica, de información o interrupción de los servicios de la institución o cualquier otro que se considere grave a juicio de la institución.
En septiembre pasado, Luis Lima, director general de Supervisión de Seguridad de la Información de la CNBV, reconoció que las cifras con las que cuenta esta autoridad al respecto sólo son un estimado, pues en la mayoría de los casos las instituciones financieras no reportan los incidentes.
“Lo ideal es que siempre nos reportaran, pero ellos tienen algunos incentivos para no reportar. Entonces, la cifra oscura es más grande”, declaró Lima en su momento.
Exposición y diferencia con Banxico
Otra de las autoridades encargadas de regular el tema de la ciberseguridad en el sistema financiero es el Banco de México (Banxico), la cual en un documento del 2022 reconoció que esta industria ha aumentado su exposición al riesgo cibernético, debido a un incremento en la interconexión digital entre instituciones.
“El manejo de riesgo cibernético requiere una comunicación rápida y efectiva entre instituciones, y a su vez acciones en conjunto que permitan mitigar el riesgo”.
En este contexto, Banxico tiene identificados, del 2019 al 2022, al menos 24 incidentes de ciberseguridad que han sufrido las instituciones, cifra mucho menor a lo detectado por la CNBV. Las pérdidas por estos incidentes detectados por Banxico son de 1,380 millones de pesos.
Las razones
Especialistas consultados al respecto indicaron que sin duda las cifras reportadas a las CNBV son mínimas comparadas con la realidad, debido al temor de algunas entidades, especialmente las de menor tamaño, al daño reputacional por no invertir en sistemas robustos al respecto.
"Quienes son más conscientes y quienes invierten más dinero y herramientas de seguridad son las instituciones bancarias, supongo por la cantidad de dinero que pueden invertir. Hemos visto que las que invierten poco e incluso no cuentan con herramientas adecuadas, son las sofipos, las sofomes, las cooperativas y muchas tienen un problema de monitoreo, de implementación de seguridad", comentó Hiram Alejandro Camarillo, socio director de Seguridad de la firma Seekurity.
Santiago Fuentes, cofundador de la firma Delta Protect, acotó que, por ejemplo, en las instituciones fintech, que nacen en un entorno 100% digital, el riesgo de ciberataques es considerable; sin embargo, el costo reputacional incide en la decisión de reportar (o no) a la autoridad un evento de esta naturaleza.
"Para financieras más chicas, tienen miedo de todas las repercusiones que pudieran tener, independientemente de lo que exige la CNBV y las multas", acotó Fuentes.
Los especialistas indicaron que hay distintos tipos de ciberataques, que pueden comenzar desde el interior de una institución hasta los perpetrados por grupos como Lazarus, que se presume es financiado por el gobierno de Corea del Norte para financiar distintas actividades por medio de ataques de ransomware o incluso implementación de virus a la red de cajeros automáticos de una institución.
"He visto mucho la cantidad de tarjetas clonadas y en venta que hay en la dark web", apuntó Fuentes.
La CNBV se encuentra en la creación de una regulación general en materia de ciberseguridad para todo el sistema financiero; sin embargo, a poco más de un año que termine el sexenio la institución que preside Jesús de la Fuente no ha dado señal alguna de avance.
