CNBV lanza nuevo protocolo de ciberseguridad siete meses después de robo a bancos

El 17 de abril comenzó un ataque a la banca del país que generó un robo de alrededor 300 millones de pesos.
5 Diciembre, 2018 Actualizado el 5 de Diciembre, a las 12:29
México es el segundo país que más ataques cibernéticos recibe en Latinoamérica, después de Brasil.
México es el segundo país que más ataques cibernéticos recibe en Latinoamérica, después de Brasil.
Arena Pública

Este 2018 fue un año difícil para los bancos en México. 

Entre rudas iniciativas, fallas en materia de ciberseguridad y explicaciones tardías sobre ambos acontecimientos, la opinión pública puso en duda el principal activo del sector: la confianza. Pero ya comienzan a trabajar en ello. 

Una serie de modificaciones a los protocolos de seguridad en materia cibernética que fue publicada por la Comisión Nacional Bancaria y de Valores (CNBV), en el Diario Oficial de la Federación, da cuenta de este paso.

De manera concreta, el protocolo consiste en un reporte a la CNBV al momento de ser del conocimiento de la institución la existencia de un “incidente de seguridad de la información” a través de un correo electrónico incluido en las disposiciones publicadas. 

Los incidentes de seguridad de información más graves son aquellos que implican la pérdida económica, de información o interrupción de los servicios de la institución; si las vulnerabilidades pueden replicarse en otras instituciones;  y las que tienen una afectación a los clientes, la estabilidad del sistema financieros o los sistemas centrales de pagos.

La información que vaya conociendo la institución sobre la falla también debe ser enviada a la Comisión dentro de los primeros cinco días hábiles, sin embargo, tienen 48 hrs para para notificar a los clientes, en caso de que el problema radique en el extravío, acceso no autorizado, alteración o eliminación de su información.

Cada una de las fallas, incidentes y vulnerabilidades detectadas por los bancos deberá quedar registrada en una base de datos que incluya información relacionada con la detección, las consecuencias y el tiempo de afectación, esto con un alcance de 10 años, antes de ser desechada.  

Este protocolo es publicado siete meses después de que se diera un robo bancario de alrededor de 300 millones de pesos a través de transferencias electrónicas fantasma que descubrieron una grieta en los proveedores de cinco bancos del servicio del Sistema de Pagos Electrónicos Interbancarios (SPEI). 

 

Gráfico explicativo de los ciberataques a bancos en México en abril y mayo de 2018. Fuente: Banxico

 

En aquella ocasión la detección fue lenta por parte de las instituciones y pasó cerca de un mes antes de que en mayo se dieran a conocer las afectaciones. 

Un protocolo que busque la inmediatez de los reportes resulta relevante para México, no solo por este incidente de 2018, sino porque es el segundo país que más ataques cibernéticos recibe en Latinoamérica, después de Brasil, de acuerdo con un estudio publicado en diciembre de 2016 por la consultora especializada en riesgo Control Risks.

Esta misma situación, el tamaño de su economía y la cercanía con Estados Unidos, han hecho que México tenga un avance constante en materia de ciberseguridad bancaria, pues es también uno de los países mejor preparados en el mundo para esta clase de ataques, ubicándose en la posición 28 de entre 166 países analizados por la Unión Internacional de Telecomunicaciones en su Índice de Ciberseguridad Global. 

En mayo de 2019 será cuando se comiencen a hacer efectivos algunos de estos cambios, mismos que se irán dando escalonadamente para que en noviembre ya se trabaje totalmente conforme a las nuevas normas. 

 

MÁS INFORMACIÓN: Resolución que modifica las disposiciones de carácter general aplicables a las instituciones de crédito