A pesar de que en el sistema financiero mexicano se cuenta con un protocolo de actuación en caso de alguna contingencia de ciberseguridad, con el cual las instituciones financieras tienen que informar de inmediato a la autoridad en caso de ser víctimas de algún ciberataque, el tiempo de respuesta de éstas es lento por miedo a un daño reputacional, indicó la Comisión Nacional Bancaria y de Valores (CNBV).

Durante su participación en la treceava convención de la Asofom, David Esaú López Campos, vicepresidente técnico de la CNBV, reconoció que en el sistema financiero todavía no hay un pleno entendimiento de la importancia de reforzar los esquemas de ciberseguridad, por lo que las entidades deben de establecer esto como una prioridad para su operación.

“Dentro de la CNBV se tiene un grupo de respuesta a incidentes (ciberataques). Cada vez que hay un hackeo a un banco, nos tienen que mandar información, además del virus, el bicho o lo que sea, pues tenemos un laboratorio donde se revisa”, explicó López Campos.

El funcionario destacó que a pesar de contar con dicho grupo de respuesta, a la CNBV le cuesta trabajo recopilar información de forma inmediata debido al temor de las instituciones financieras a ser expuestas públicamente de que fueron víctimas de un incidente de dicha naturaleza.

“Nos cuesta mucho trabajo que (los bancos) nos manden información porque hay un riesgo reputacional. Los bancos no quieren darse a conocer porque tuvieron un hackeo”, expresó el vicepresidente Técnico de la CNBV.

Luego del ciberataque del que varias instituciones financieras fueron víctimas en abril del 2018, autoridades y asociaciones gremiales de instituciones financieras formaron el Grupo de Respuesta a Incidentes de Seguridad de la Información (GRI), que encabeza la CNBV.

Dicho grupo tiene la finalidad de emprender las acciones ante incidentes sensibles de seguridad de la información, por lo que en caso de alguna contingencia, la autoridad debe de ser informada con el fin de alertar a los diversos participantes del sistema financiero.

López Campos comentó que el protocolo por el momento no contempla sanción alguna en caso de que una institución, que sea víctima de algún incidente de ciberseguridad, no informe inmediatamente de su situación a la autoridad.

“(Al final) las instituciones acaban informando, porque tenemos identificados todos los ciberataques al día de hoy, pero el problema es que no es tan rápido como quisiéramos. La radiografía o el bicho que ha provocado el ataque o mecanismo, también está identificado y está compartido con la demás instituciones, pero por velocidad, puedo decir que debe de ser en cuestión de minutos y a veces tardamos horas o el día”.

Hace algunas semanas, el Banco de México (Banxico) reconoció, en uno de sus reportes de estabilidad financiera, que el impacto de los ciberataques a las instituciones financieras puede afectar a la reputación de las mismas, con daños difíciles de cuantificar como la pérdida de confianza en el sistema financiero.

De acuerdo con un estudio reciente sobre la Ciberseguridad en el Sistema Financiero en México, realizado con el apoyo de la Organización de los Estados Americanos, cuatro de cada 10 bancos informan a sus clientes cuando su información se compromete por algún incidente de ciberseguridad.

¿Ciberataque en enero?

En su exposición, López Campos mencionó que en enero pasado hubo un incidente de ciberseguridad que pudo haber contagiado algún banco; sin embargo, el funcionario no dio más detalles al respecto, por lo que se deduce que este evento no es público.

“En enero, tuvimos el caso de un ataque. Nos mandaron el virus, avisamos a los bancos y un banco actualizó el antivirus (necesario), pero dos personas no reiniciaron su computadora (para que trabajara el antivirus)…y no se actualizó de forma automática y después llegó el mismo virus ahí (a las dos computadoras que no se actualizaron)”, explicó López Campos sin dar más detalles al respecto.

Hasta el momento, los ciberataques, reconocidos como tal públicamente, fueron los que afectaron a diversas instituciones del sistema financiero en el 2018.

El funcionario comentó que reforzar los mecanismos de ciberseguridad no se tiene que ver como una inversión con retorno por alguna institución financiera, pues es algo que se tiene que hacer con el fin de proteger tanto su información como la de sus clientes.

“En algún momento habrá un hackeo en alguna entidad financiera, eso es prácticamente irremediable, entonces hay que estar preparados en todo momento…la ciberseguridad, desgraciadamente es así, una inversión que no tiene un retorno el día de mañana; pero se está cuidando la información de la empresa y del cliente”.