Fortaleciendo la Regulación de Ciberseguridad en el Sistema Financiero
La Comisión Nacional Bancaria y de Valores (CNBV) tiene la intención de unificar la normativa que obliga a las instituciones financieras y a las empresas de servicios financieros a informar sobre incidentes de ciberseguridad en caso de ser víctimas de un ataque cibernético. Recientemente, el regulador señaló que no se tiene una visión clara de todos los ataques sufridos por estas instituciones, ya que no todas están obligadas a reportarlos, y muchas optan por no hacerlo para proteger su imagen pública.
Luis Lima, quien dirige la supervisión y la seguridad de la información en la CNBV, comentó a Expansión que es crucial uniformar las regulaciones para todos los actores del sistema financiero. “Es necesario estandarizar la normativa y crear obligaciones para todas las instituciones. Además, es importante afinar la regulación para que sea más clara, clasificando por nivel de gravedad, ya que no todos los incidentes son de la misma magnitud, y así generar conciencia en los gremios”, afirmó. Lima también destacó que, actualmente, bancos, Sofipos, Sofomes, Socaps, Casas de Bolsa y demás intermediarios cuentan con diferentes regulaciones en ciberseguridad, lo que provoca un reporte desbalanceado. “Cada sector tiene su propia normativa, por lo que se requiere cambios en cada una de ellas. Es un proceso extenso, pero el objetivo es regular no solo los reportes, sino la ciberseguridad de manera integral en todos los sectores”, añadió. Hasta ahora en 2024, la CNBV ha contabilizado 15 ataques a instituciones financieras, de los cuales 5 fueron a sistemas, 3 fueron fugas de datos, 2 involucraron cajeros automáticos y 2 fueron robos de credenciales. También existen otros dos incidentes que afectaron a terceros que colaboran con las instituciones, además de una exposición de datos en línea. Sin embargo, el Banco de México (Banxico) solo reporta dos incidentes cibernéticos: uno contra un banco y otro contra una Sofipo. Hasta septiembre, las pérdidas por estos ataques suman 140.49 millones de pesos, lo que representa un incremento del 57.7% en comparación con los daños ocasionados durante todo el 2023. Las pérdidas económicas por ataques cibernéticos en 2022 fueron de 25.25 millones de pesos, mientras que en 2021 alcanzaron los 570.8 millones de pesos. Lima mencionó que, si bien la regulación actual para los bancos es “asequible”, todavía hay margen de mejora.
La creciente incidencia de ataques cibernéticos en el sector financiero subraya la importancia de una regulación más robusta y clara. Esto no solo sirve para proteger a las instituciones, sino también a los consumidores y la estabilidad del sistema financiero en su conjunto. Es crucial que las empresas adopten tecnologías avanzadas y protocolos de seguridad proactivos para mitigar los riesgos, y que los reguladores se mantengan al día con los cambios en el paisaje digital.