Después del fallido ciberataque en contra del Banco Nacional de Comercio Exterior (Bancomext) y de los que resultaron exitosos en contra de la conexión de seis instituciones financieras con el Sistema de Pagos Electrónicos Interbancarios (SPEI), el principal avance del sistema financiero en materia de ciberseguridad fue concebir a esta materia como parte de su estrategia del negocio, de acuerdo con Ericka Mata, directora de Seguridad de la Información (CISO) de BBVA Bancomer.

Durante la conferencia de presentación del evento de ciberseguridad Infosecurity México 2019, que tendrá lugar los días 22 y 23 de mayo, la directiva del banco de origen español dijo que después de una serie de acuerdos de colaboración con reuniones entre la CNBV, el Banco de México, la entonces PGR (ahora Fiscalía General de la República) y la Asociación de Bancos de México (ABM) se trabajó para entender qué había ocurrido y se reforzaron las regulaciones alrededor de las transferencias electrónicas, lo que dio resultado a la publicación, en noviembre de 2018, de la circular única de bancos por parte de Banxico, que incluyó una modificación de reglas de ciberseguridad y seguridad de la información para instituciones financieras.

“Tanto Banco de México, que es el regulador y operador del SPEI, como la Comisión Nacional Bancaria y de Valores (CNBV), que regula las operaciones en instituciones financieras, trabajamos junto con el equipo de ciberseguridad de la Asociación de Bancos de México (ABM) para reforzar el tema de regulación y normativa alrededor de procesos y estándares de seguridad de la información, incluida la ciberseguridad”, dijo.

Mata Sánchez aseguró que a nivel del sistema financiero, junto con otras instituciones como la Asociación Mexicana de Instituciones Bursátiles (AMIB), la Asociación Mexicana de Instituciones de Seguros (AMIS), se trabajó en temas de conciencia, cultura, regulación y verificación de procesos.

“Se trató de elevar los temas de seguridad, sacarlos del tema sólo técnico para volverlos un tema de estrategia y de procesos desde el negocio. Eso es lo que busca esta nueva regulación, volverlo parte de las estrategias de negocio y trabajar seguridad como un programa de negocio”, dijo y añadió que esta regulación se extendió a la normativa secundaria de la llamada Ley Fintech en materia de ciberseguridad; además de que el Banco de México también reforzó las reglas de operación del SPEI y del SPID (Sistema de Pagos Interbancarios en Dólares).

De acuerdo con un reciente estudio de IBM, uno de cada cinco ataques cibernéticos en todo el mundo se da en contra de instituciones financieras, lo que se vio reflejado cuando, en 2018, el sistema financiero mexicano fue afectado por una serie de ataques en contra de diversos bancos e instituciones como el Banco Nacional de Comercio Exterior, Banorte, la aseguradora AXA y varios más. Dichos ataques fueron ocasionados por vulneraciones a la infraestructura de conexión entre la plataforma SWIFT, el Sistema de Pagos Electrónicos Interbancarios (SPEI) y diversos participantes del sector, lo que ocasionó pérdidas calculadas en alrededor de 300 millones de pesos e interrupciones y retrasos en el uso de estos sistemas para realizar transferencias.

Cero confianza, tendencia en ciberseguridad en bancos

En México, la percepción de inseguridad financiera registró su mayor repunte en 2018, de acuerdo con el Índice de Seguridad 2018 de Unisys. De acuerdo con Leonardo Carissimi, director de Soluciones de Seguridad en Latinoamérica de Unisys, empresa norteamericana de Tecnologías de la Información, esta encuesta realizada a 1,000 personas mayores de 18 años por país, fue aplicada en agosto del 2018 y capturó la sensación que ocasionaron entre los consumidores los ataques cibernéticos en contra de las instituciones financieras mexicanas, sobre todo en el caso de los ataques contra las conexiones al SPEI.

“La encuesta capturó bastante bien el impacto que tuvieron algunos de estos incidentes sobre los consumidores y los datos que tenemos es que incrementó su preocupación”, dijo Carissimi en entrevista con El Economista.

A casi un año de las afectaciones en el SPEI, para Carissimi, las autoridades han hecho cambios en la regulación que obligan a las instituciones a realizar inversiones en materia de ciberseguridad y las instituciones han comprendido que es necesario realizar inversiones que soporten esta nueva regulación. La aplicación de políticas de cero confianza (Zero Trust) es una de las tendencias que Stephen Migliore, líder global de Ciberseguridad en Servicios Financieros de Unisys, observa entre las que tienen mayor adopción en las instituciones financieras mexicanas.

“El concepto de cero confianza ha estado presente entre los bancos desde hace alrededor de dos años, pero apenas lo están haciendo realidad. Cada vez hay más instituciones con modelos de cero confianza y estos implican básicamente no confiar en nadie y verificarlo todo”, dijo Migliore a El Economista.

De acuerdo con el especialista, este modelo implica también que los modelos viejos de defensa del perímetro no han funcionado y que la mayoría de los ciberdelincuentes ya están en la red. “Creo que la aplicación de este modelo es una buena noticia para los bancos mexicanos”, dijo.

[email protected]

kgb