Ciberataques a instituciones financieras en México

Las instituciones financieras en México, a pesar de ser consideradas como sectores seguros, no están exentas de ser blanco de ciberataques. La Comisión Nacional Bancaria y de Valores (CNBV) ha señalado que las autoridades del país podrían no tener conocimiento pleno sobre la cantidad real de estos incidentes debido a que las entidades financieras no reportan la información correspondiente. Luis Lima, director general de supervisión y seguridad de la información de la CNBV, advirtió que este año se han registrado 15 incidentes de ciberseguridad reportados por entidades financieras, de los cuales cinco fueron ataques a sistemas y tres implicaron fugas de información.

Impacto financiero de los ciberataques

Durante el Segundo Congreso Cooperativo Financiero 2024, se reveló el caso de una Sofipo que sufrió una vulneración en el servicio de transferencias, lo que resultó en transferencias apócrifas y pérdida de dinero. Según datos del Banco de México, la empresa en cuestión perdió la cantidad de 124.11 millones de pesos como consecuencia de este incidente, aunque afortunadamente no se reportaron clientes afectados. Sin embargo, esta situación pone de relieve el impacto financiero significativo que pueden generar los ciberataques en las instituciones financieras.

Además de los ataques mencionados, la CNBV destacó la seguridad relacionada con los empleados de las instituciones financieras. Se mencionó que la fuga de información a través de empleados ocurre, lo cual se atribuye a la falta de controles y concientización. Esta situación ha generado preocupación en la CNBV, ya que la falta de información oportuna dificulta la capacidad de las autoridades para contener o prevenir la ciberdelincuencia. 

Desafíos y falta de regulación adecuada

A pesar de que el número de ciberataques en el sector financiero se ha mantenido en los últimos años, la CNBV advirtió que estos datos podrían no reflejar la realidad, ya que las entidades que no están obligadas a reportar estos incidentes tienden a mantenerlos en secreto o a informarlos de manera tardía. Esta falta de reporte integral dificulta la obtención de una visión clara sobre el alcance de la ciberdelincuencia en el ámbito financiero y limita la capacidad de las autoridades para implementar medidas preventivas y de contención efectivas.