Las cifras reportadas a las CNBV son mínimas comparadas con la realidad, debido al temor de algunas entidades, especialmente las de menor tamaño, al daño reputacional.
El sector financiero ha aumentado su exposición al riesgo cibernético y pese a ello, las entidades informan poco a las autoridades sobre los incidentes que sufren en materia de ciberseguridad y que podrían significar pérdidas para ellas, así como para sus clientes o incluso, pese a que se pueda generar un contagio para toda la industria.
Del 2019 a la fecha, las entidades del sistema financiero han reportado 106 incidentes de ciberseguridad a la Comisión Nacional Bancaria y de Valores (CNBV), lo que, para las mismas autoridades y especialistas, no es la cifra real si se toma en cuenta que esta industria es una de las de mayor riesgo en materia de ciberataques.
De acuerdo con una solicitud de acceso a la información a la CNBV, de estos 106 incidentes, 92 fueron reportados por las instituciones de banca múltiple, tres por bancos de desarrollo, tres por cooperativas de ahorro y préstamo, y tres por instituciones de tecnología financiera. Sectores como casas de bolsa, participantes en redes de medios de disposición, sociedades de información crediticia, financieras de objeto múltiple y operadoras de fondos de inversión, han reportado un incidente por industria.
En una solicitud distinta, la CNBV detalló que en el 2019 se reportó sólo un incidente, 32 en el 2020, 33 durante el 2021, 38 durante el 2022 y dos en lo que va de este año.
Según la Ley de Instituciones de Crédito, las instituciones financieras deben reportar un incidente de ciberseguridad cuando se genere una pérdida económica, de información o interrupción de los servicios de la institución o cualquier otro que se considere grave a juicio de la institución.
En septiembre pasado, Luis Lima, director general de Supervisión de Seguridad de la Información de la CNBV, reconoció que las cifras con las que cuenta esta autoridad al respecto sólo son un estimado, pues en la mayoría de los casos las instituciones financieras no reportan los incidentes.
“Lo ideal es que siempre nos reportaran, pero ellos tienen algunos incentivos para no reportar. Entonces, la cifra oscura es más grande”, declaró Lima en su momento.
Exposición y diferencia con Banxico
Otra de las autoridades encargadas de regular el tema de la ciberseguridad en el sistema financiero es el Banco de México (Banxico), la cual en un documento del 2022 reconoció que esta industria ha aumentado su exposición al riesgo cibernético, debido a un incremento en la interconexión digital entre instituciones.
“El manejo de riesgo cibernético requiere una comunicación rápida y efectiva entre instituciones, y a su vez acciones en conjunto que permitan mitigar el riesgo”.
En este contexto, Banxico tiene identificados, del 2019 al 2022, al menos 24 incidentes de ciberseguridad que han sufrido las instituciones, cifra mucho menor a lo detectado por la CNBV. Las pérdidas por estos incidentes detectados por Banxico son de 1,380 millones de pesos.
Créditos: Fernando Gutiérrez
