El Banco de México (Banxico), en su rol de operador del sistema de pagos, carece de una normativa en materia de seguridad informática y de gestión del riesgo operacional, determinó la Auditoría Superior de la Federación (ASF).
En el documento “Auditoria de ciberseguridad a la banca electrónica y medios de pago del sistema financiero del gobierno mexicano”, destacó que Banxico tampoco lleva a cabo procesos de revisión por un tercero independiente de las direcciones generales de Sistemas de Pagos de Infraestructura de Mercados (DGSPIM) y de Tecnologías de Información (DGTI).
En su análisis, la ASF incluye a Banxico, como organismo regulador, a la Comisión Nacional Bancaria y de Valores (CNBV) y a siete instituciones de la banca de desarrollo, entre ellas Bancomext, Nacional Financiera, Sociedad Hipotecaria Federal, Banobras, Banjercito y Banco del Bienestar, antes Bansefi.
La ASF señaló, como parte de la tercera entrega de informes individuales de la revisión la Cuenta Púbica 2018, que el instituto central no cuenta con mecanismos para determinar el perfil de riesgo de cada participante del Sistema de Pagos Electrónicos Interbancarios (SPEI).
Durante 2018 y 2019, ninguna entidad de la banca de desarrollo fue sujeta a una visita de inspección por parte de esta dirección (DGSPIM), para revisar el cumplimiento de los requisitos de seguridad informática y gestión de riesgo operacional en los sistemas de pagos”.
La Auditoría también encontró que la CNBV y Banxico no comparten información de los hallazgos y observaciones en materia de riesgo tecnológico y seguridad de la información que identifican en las actividades de supervisión y vigilancia.
El documento agrega que Banco de México no considera, en su plan de respuesta a incidentes de seguridad, posibles escenarios de actuación ante eventos en los que participantes puedan afectar a otros jugadores del sistema o al mismo operador.
Sin detallar instituciones, la ASF señaló que de las siete instituciones de banca de desarrollo que analizó, una tiene un nivel de madurez en ciberseguridad “muy bajo”; tres, “bajo”; una, “medio bajo”; y dos, “niveles medios”.
La ASF reconoce que, a partir de mayo de 2018, cuando Banjercito, Inbursa, Banorte, la casa de bolsa Kuspit y la caja de ahorro Las Huastecas fueron ciberatacadas por cerca de 300 millones de pesos, “Banxico fortaleció los mecanismos de seguridad de información”.
Sin embargo, destacó que aún hay pendientes, entre ellos un monto por aclarar de 1.5 millones de pesos derivados de este ataque.
Se presume un probable daño por un monto de 1.5 millones de pesos por concepto del pago del deducible de la póliza que celebró Banjercito con la aseguradora Inbursa, a raíz del incidente de ciberseguridad que se suscitó el 24 de abril de 2018”.
En 2018, el costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades e instituciones financieras en México fue de 107 millones de dólares.
Fuente de información:
heraldodemexico.com.mx