Ciber-seguridad y Ciber-ataques a Instituciones Financieras en México
En nuestro artículo anterior hablamos sobre los riesgos que existen para usuarios e instituciones financieras gracias a la IA. Los ciberdelincuentes aprendieron a utilizar la inteligencia artificial para suplantar identidades y contratar tarjetas de crédito o abrir cuentas. Se sabe que el sector financiero es objetivo de ataques cibernéticos, sobre todo en procesos digitales que no cuentan con las debidas medidas de seguridad. Los ciber-ataques a Instituciones Financieras en México han incrementado en menos de cinco años. Desde 2019 a inicios de 2023 se reportaron 106 incidentes de seguridad a la CNBV, y desde entonces a la fecha, va en aumento.
¿Qué es un incidente de seguridad?
En el artículo 1 de las Disposiciones de carácter general aplicables a las Instituciones de Crédito, describe varias situaciones que consideran incidente de seguridad, pero la que nos atañe hoy es la siguiente:
“Incidente de Seguridad de la Información: a aquel evento que la Institución evalúe de acuerdo a sus procesos de gestión, que pueda:
(…)
Vulnerar los sistemas o componentes de la Infraestructura Tecnológica con un efecto adverso para la Institución, sus clientes, terceros, proveedores o contrapartes, comúnmente conocidos como ciber-ataques.”
Eso quiere decir que al menos 106 veces ha ocurrido que una institución financiera vio vulnerada su infraestructura tecnológica. Las autoridades consideran que esta cifra pudo ser mayor en aquel tiempo. Los reportes van en aumento a lo largo del tiempo. En 2019 sólo hubo un reporte. ¡En el 2020 pasamos de 1 a 32! En 2021 hubo 33 reportes mientras que en 2022 se reportaron 38 incidentes de seguridad.
Esta escalabilidad no es precisamente la que el sector financiero mexicano estaba buscando. Por otro lado, Banxico, en 2022, reconoció que el sector aumentó su riesgo de sufrir un ciber-ataque, teorizando que se debe a la interconexión digital entre instituciones. Algunos especialistas declararon que el número de incidentes pudo ser mayor, pero no se reportó a la CNBV. Este silencio, presuntamente, recaería en las instituciones más pequeñas que no realizan grandes inversiones en seguridad.
Panorama actual de los ciber-ataques a Instituciones Financieras
Los ataques cibernéticos han incrementado tanto para las instituciones como para los usuarios. En 2023 se han reportado 4 incidentes. Información de Banxico revela que las afectaciones económicas derivadas de esos ciberataques pueden ascender hasta 67.61 millones de pesos. Durante 2022 y 2023 se han registrado más de 187 mil millones de intentos. Si el porcentaje de intentos exitosos aumenta, la ciberdelincuencia pondría al sector en una situación crítica.
Luis Rodríguez, vicepresidente senior de Tecnologías, Operaciones & Digital en Scotiabank México declaró para “el Economista”:
“Tenemos un aumento de ciberataques y lo que estamos viendo es que lo que más está afectado a todos los clientes de la industria financiera son los ataques de phishing y vishing”
Este tipo de ataques recae directamente en los usuarios, ya que, a través de engaños, los criminales consiguen información de tarjetas o cuentas.
¿Qué es phishing y vishing?
El Phishing consiste en enviar un correo, un SMS o un WhatsApp a un cliente de una institución financiera, con una URL, simulando ser la institución real. Estas páginas simuladas son tan reales que es muy difícil distinguirlas de la página oficial de la entidad. En esta página, se le solicita al usuario completar formularios con su información privada y de sus cuentas, con pretextos como, cancelar una compra no reconocida o reclamar un premio ganado.
El Vishing, por otro lado, consiste en realizar llamadas al usuario, fingiendo ser la institución, o un callcenter representante de la institución. A través de la llamada, comunican alguna situación que provoque un sentido de urgencia en el usuario, como cancelar un retiro de efectivo de gran cantidad. Ante la presión y el aparente “profesionalismo” del interlocutor, los usuarios terminan cediendo su información bancaria a los criminales.
Si diriges una institución financiera, es muy importante que mantengas una correcta comunicación con tus clientes. Mantén los esfuerzos en difundir comunicación oficial y homogeneizar tus canales oficiales. Educar a tus clientes y protegerlos de ataques es una buena manera de fidelizarlos a la par que proteges a tu institución.
¿Qué hacer si se presenta un Incidente de seguridad en tu Institución Financiera?
En caso de que presentes un Incidente de Seguridad, el artículo 168 Bis 16 de las Disposiciones Generales anteriormente mencionadas, inmediatamente debes enviar un correo a Ciberseguridad-CNBV@cnbv.gob.mx. En ese correo debes indicar hora y fecha del inicio del incidente, si continúa, o si ha concluido y su duración, así como una descripción del incidente.
En los siguientes 5 días hábiles de la identificación del incidente, deberás enviar al mismo correo la siguiente información.
- Incidentes de afectación en materia de seguridad de la información.
- Informe de Incidentes de seguridad de la información.
Así mismo, estás obligado a realizar una investigación inmediata sobre las causas que provocaron el incidente y además, realizar un plan de trabajo que describa las acciones que implementarás para mitigar o eliminar los riesgos.
¿Qué incidentes se deben reportar de forma inmediata?
Debes reportar inmediatamente cualquier incidente que:
- Genere pérdida económica, de información o interrupción de los servicios de la Institución.
- Su modo de operación, incluyendo las vulnerabilidades explotadas, pueda replicarse en otras Instituciones.
- Pueda representar una afectación a los clientes de las Instituciones, a la estabilidad del sistema financiero o de pagos, o bien, a los sistemas centrales de pagos, a sus prestadores de servicios, cámaras de compensación o a las instituciones para el depósito de valores.
- Cualquier otro que se considere grave a juicio de la Institución
Los ciber-ataques a instituciones financieras aumentan a medida de la innovación y la tecnología. Sin embargo, no podemos dejar que eso nos impida seguir creando nuevos y mejores productos que cambien el panorama del sector en México, y su economía en general.
Queremos cerrar este artículo citando de nuevo a Luis Rodriguez, con sus palabras para “Hablemos de bolsa”:
“Es fundamental que nos mantengamos en modo alerta como usuarios y actuemos con determinación para proteger nuestra infraestructura crítica y datos.”
Referencias
Gutiérrez, F. (2023, 26 de marzo). Entidades financieras han reportado 106 ciberataques a la CNBV desde 2019. El economista. https://www.eleconomista.com.mx/sectorfinanciero/Entidades-financieras-han-reportado-106-ciberataques-a-la-CNBV-desde-2019-20230326-0043.html
Rodriguez, L. (2023, 09 de noviembre). Ciberataques en México: un enemigo persistente para la banca. Hablemos de la bolsa. Ciberataques en México: un enemigo persistente para la banca – Hablemos de Bolsa (bmv.com.mx)
Riquelme, R. (2023, 12 de noviembre). Ciberataques contra sector financiero se incrementan en México: industria. El Economista. Ciberataques contra sector financiero se incrementan en México: industria (eleconomista.com.mx)
¡Suscríbete a nuestro Newsletter!
Conoce nuestro Aviso de Privacidad