La Comisión Nacional Bancaria y de Valores (CNBV) espera homologar la regulación para que las instituciones financieras y empresas que ofrezcan servicios financieros reporten cuando han sido víctimas de un ataque cibernético . En días pasados, el regulador había expuesto que no se tenían en el radar todos los ataques de los que han sido víctimas las instituciones financieras debido a que no todas tienen la obligación de reportarlas y que evitan hacerlo para cuidar su reputación.

Luis Lima, director general de supervisión y seguridad de la información de la CNBV, dijo a Expansión que es necesario homologar la regulación para todos los jugadores del sistema financiero. “Hay que homologar la regulación para que tengan obligación todas las instituciones y hay que ajustar la regulación para que sea más precisa: separando por gravedad -porque no todos son graves- y tratar de generar conciencia con los grupos gremiales”, dijo. El funcionario añadió que bancos, Sofipos, Sofomes, Socaps, Casas de Bolsa e intermediarios tienen una regulación distinta en materia de ciberseguridad, lo que provoca que los reportes sean disparejos. “Para cada sector hay distintas regulaciones, entonces habría que ir cambiando cada uno de ellos. Es un proceso largo pero eventualmente para allá va el camino: regular no solo el reporte, regular la ciberseguridad de una manera transversal a todos los sectores”, añadió. En lo que va del 2024, la CNBV ha registrado 15 ataques a las instituciones financieras , de los cuales 5 han sido contra sistemas, 3 han sido fugas de información, 2 contra cajeros automáticos y 2 mediante el robo de credenciales. También se tienen otros dos casos en los que terceros que trabajan con las instituciones financieras son vulnerados, además de una exposición de datos en internet. Sin embargo, el Banco de México (Banxico) sólo tiene en sus registros dos incidentes cibernéticos: uno contra un banco y otro contra una Sofipo. Hasta septiembre de este año, las afectaciones por estos ataques ascienden a 140.49 millones de pesos, un 57.7% más que las afectaciones de los ataques ocurridos en todo el 2023. Las afectaciones económicas por ataques cibernéticos en 2022 ascendieron a 25.25 millones de pesos y en 2021 la cifra fue de 570.8 millones de pesos. Lima dijo que actualmente los bancos tienen una regulación “aceptable”, pero considera que se puede ajustar.

]]>