La creciente demanda de servicios financieros impulsa a las entidades de este sector a mantenerse en la vanguardia de los avances tecnológicos que propician la inclusión, movilidad, accesibilidad y reducción de costos a los usuarios. Esto genera muchos beneficios para la población y para el sistema financiero, pero también conlleva la exposición a nuevos riesgos, entre ellos el cibernético.

En términos generales, la materialización de riesgos cibernéticos puede causar a las instituciones financieras daños de tres tipos: i) disrupciones de las tecnologías de la información que utilizan y la consecuente indisponibilidad de sus servicios; ii) afectación a la integridad, confidencialidad y disponibilidad de la información que gestiona la institución, incluida la de sus clientes; iii) pérdidas económicas a las propias instituciones o a sus clientes.

Adicionalmente, el impacto de los ciberataques puede extenderse a la reputación de las instituciones afectadas, causando daños difíciles de cuantificar con exactitud, incluida una posible disminución de confianza en el sistema financiero. En particular, un ciberataque a una institución de relevancia sistémica, un banco central o una Infraestructura de los Mercados Financieros, podría afectar de manera importante la estabilidad financiera. Independiente de la relevancia sistémica de una institución, el impacto de un ciberataque a ésta tiene el potencial de volverse sistémico por el grado de interconexión y dependencias que hay entre los participantes en el sistema, y con terceros.

En años recientes se ha observado a nivel mundial un incremento sostenido de ciberataques al sector financiero, en especial en contra de instituciones bancarias, bancos centrales y sistemas de pagos para operaciones internacionales. Dichas entidades están particularmente expuestas al riesgo cibernético debido a su alto grado de automatización, complejidad de procesos y la cantidad de recursos financieros que gestionan.

El Banco de México impulsa la automatización de servicios financieros, que brindan al público accesibilidad, movilidad y menores costos, cuidando siempre y de cerca que los desarrollos de dichos servicios sea seguro y se proteja la información y recursos de los clientes.

En los últimos años, el Banco de México, en coordinación con otras autoridades financieras ha desarrollado una estrategia de mitigación de los riesgos cibernéticos, basada en tres ejes:

  1. gobierno corporativo en el que la seguridad de la información ocupe un lugar destacado dentro de las instituciones;
  2. reforzamiento preventivo de la infraestructura y sistemas, a partir de estándares y mejores prácticas, y de un esquema institucional de gestión de riesgos; y
  3. desarrollo de equipos y protocolos de respuesta a incidentes, que permitan identificar, analizar, reaccionar, contener y recuperar a la organización oportunamente ante los posibles ciberataques.

Con respecto a cada eje, se han instrumentado acciones o emitido regulación que permite robustecer de forma integral la seguridad de la información en las instituciones financieras:

1. Gobierno Corporativo: Cada entidad financiera debe contar con una unidad administrativa en los niveles jerárquicos más altos de la organización, que defina políticas y estrategias para reforzar la seguridad de la información de la institución. El titular de esta unidad deberá ser un Oficial en Jefe de Seguridad de la Información (CISO -Chief Information Security Officer) que sea responsable de la estrategia institucional de seguridad de la información, con influencia en toda la organización y con conocimiento del negocio suficiente para balancear las prioridades de operación y de protección de la información. Para atender los riesgos cibernéticos, el enfoque del CISO debe trascender los límites tecnológicos, enfocándose en proteger la información de la institución y no solamente sus sistemas informáticos. Por lo tanto, el CISO debe abordar temas diversos como: procesos de gestión de la información; prevención de riesgos y proactividad en la protección; así como detección, alerta y atención de incidentes. Para tal propósito, el CISO deberá apoyarse en procesos y áreas ya establecidas dentro de la organización, como prevención de fraudes, prevención de lavado de dinero, supervisión de operaciones, capacitación de personal; y no descansando exclusivamente en el despliegue de tecnología.
2. Reforzamiento preventivo: Es importante que las instituciones implementen prácticas y procesos para proteger la información, y no sólo a los sistemas informáticos. Para ello requieren establecer esquemas robustos de protección de datos, contar con mecanismos y procesos para una gestión segura de los activos de información de la entidad, independientemente de si dicha información se almacena en medios electrónicos o físicos. Asimismo, es importante que se supervisen las transacciones con una perspectiva integral y que las instituciones cuenten con controles operativos, ya que si bien a nivel tecnológico puede ser complicado distinguir entre una transacción válida de una falsa cuando los sistemas han sido comprometidos, un operador podría fácilmente identificar irregularidades en los patrones transaccionales. Por último, las entidades deben tomar las medidas necesarias para proteger los datos personales y otra información confidencial, así como los valores y registros financieros.
3. Desarrollo de equipos de respuesta a incidentes: Las instituciones deben contar con equipos de respuesta que sigan protocolos de actuación conforme al ciclo de gestión de incidentes tradicional. En ese sentido, el GRI elaboró un protocolo que incluye de manera general las siguientes fases:
  1. Preparación. En esta fase las actividades van encaminadas a contar con los elementos básicos para poder responder a incidentes, como sería, tener la base de datos de contacto, conocer qué activos informáticos se debe monitorizar para identificar alguna anomalía, contar con respaldos, medios de comunicación, etc.
  2. Detección. Esta fase la detonan los mecanismos que atienden a algún reporte realizado por algún usuario o cliente de alguna Entidad Financiera, o los mecanismos tecnológicos con que cuente la propia Entidad.
  3. Análisis. Una vez detectado un posible incidente, se pasa a la fase de análisis en la que se determina si debe ser escalada la atención al incidente, o debe tratarse de forma interna en la Entidad.
  4. Contención, erradicación y recuperación. En esta fase se aplican las acciones para responder y recuperarse de un incidente. Debe emitirse una declaratoria de inicio y conclusión de la atención al incidente.
  5. Actividades Post-incidente. Se hace un análisis retrospectivo, pudiendo requerir técnicas de cómputo forense, para revisar lo ocurrido, sus causas, los impactos, la efectividad de los procesos internos en las Entidades o de los protocolos de actuación, para proponer acciones de mejora, así como su documentación en una Base de Conocimientos, como referencia a futuros eventos.

Ante el incremento en el número y complejidad de incidentes reportados a instituciones financieras a nivel internacional, y apoyando mejores prácticas internacionales en la materia, las autoridades financieras mexicanas definieron bases y principios para homologar las estrategias de reforzamiento de la seguridad de las entidades del sector y formalizaron distintos acuerdos de colaboración.

Dichas medidas se intensificaron tras los incidentes sufridos por diversas instituciones financieras en México, éstos pusieron de manifiesto la relevancia de contar, por un lado, con medidas efectivas de protección en las instituciones y, por otro, con protocolos de actuación que incluyeran a las autoridades y que permitieran prevenir, contener y recuperarse ante incidentes de ciberseguridad.

El Banco de México colabora con diferentes organizaciones:

Grupo de Respuesta a Incidentes Sensibles de Seguridad de la Información (GRI)

El 24 de mayo de 2018. la Procuraduría General de la República (hoy Fiscalía), las autoridades y algunas asociaciones gremiales financieras de México formalizaron las Bases de Coordinación en Materia de Seguridad de la Información cuya finalidad es definir un mecanismo de coordinación para dar respuesta efectiva a incidentes de seguridad de la información en el sector financiero.

De conformidad con dichas bases, las instituciones se comprometieron a conformar, cada una, un equipo responsable de detectar incidentes de seguridad de la información y a reportarlos de forma inmediata a las autoridades.

Por su parte, las autoridades establecieron un Grupo de Respuesta a Incidentes (GRI) encargado de coordinar acciones de respuesta a los incidentes que les reporten las instituciones.

A su vez, las asociaciones gremiales firmantes acordaron apoyar esta coordinación difundiendo alertas y medidas de protección acordadas con las autoridades y con la institución que presentó el incidente.

Los equipos de respuesta de cada institución y el GRI, con apoyo de algunas asociaciones y autoridades no financieras, han desarrollado un protocolo de respuesta que se ha aplicado exitosamente en incidentes recientes.

Consejo de Estabilidad del Sistema Financiero (CESF)

Es una "Instancia de evaluación, análisis y coordinación de autoridades en materia financiera", creado mediante decreto presidencial del 29 de julio de 2010. Su mandato es "Propiciar la estabilidad financiera, evitando interrupciones o alteraciones sustanciales en el funcionamiento del sistema financiero y, en su caso, minimizar su impacto cuando éstas tengan lugar". Con esta medida el Gobierno mexicano se insertó en la tendencia internacional más reciente en materia de coordinación y supervisión financiera, atendiendo así las recomendaciones del G20.

Este Consejo está integrado por representantes de la Secretaria de Hacienda y Crédito Público, la Comisión Nacional Bancaria y de Valores, la Comisión Nacional de Seguros y Fianzas, la Comisión Nacional del Sistema de Ahorro para el Retiro, el Instituto para la Protección al Ahorro Bancario y el Banco de México. La presidencia del Consejo recae en la Secretaría de Hacienda y su secretaría en el Banco de México.

Banco de México ha participado activamente en este Consejo y, particularmente, atendiendo temas de ciberseguridad, como ocurrió el 23 de octubre de 2017 en que, junto con otras autoridades del Sector, el Banco de México se pronunció en el Foro "Fortaleciendo la ciberseguridad para la estabilidad del Sistema Financiero Mexicano", organizado por la Comisión Nacional Bancaria y de Valores, evento en que se firmó la "Declaración de principios para el fortalecimiento de la ciberseguridad y la estabilidad del Sistema Financiero Mexicano".

En junio de 2018, con el objetivo de mantener una coordinación efectiva entre las autoridades financieras, los integrantes del Consejo de Estabilidad del Sistema Financiero Mexicano (CESF) establecieron los "Principios para reforzar la seguridad de la información en el sistema financiero", con el fin de determinar los principios que deben ser aplicables en materia de seguridad de la información a fin de robustecer la seguridad de todo el sistema financiero y proteger la estabilidad financiera..

Comité Especializado en Seguridad de la Información

Órgano auxiliar del Consejo de Seguridad Nacional, encargado del desarrollo de la política de seguridad de la información aplicable a las instancias de seguridad nacional y de verificar su adecuada aplicación. Conformado por las instancias de Seguridad Nacional. El Banco de México participa como invitado en este comité desde 2013, en temas como: estrategia de ciberseguridad, ejercicios de respuesta a incidentes, armonización legislativa en materia de delitos cibernéticos, concientización en materia de seguridad de la información, entre otros.

  • Financial Stability Board (FSB). El Banco de México forma parte, junto con otros 20 países y 5 organismos internacionales, del grupo de trabajo (llamado Cyber Incident Response and Recover) del FSB, enfocado a proponer prácticas y herramientas que han probado, en distintas partes del mundo, ser efectivas en la atención y respuesta a incidentes de ciberseguridad.
  • Banco de Pagos Internacionales (BIS). En materia de seguridad de la información, el Banco de México participa y colabora con el Cyber Resilience Coordination Centre del BIS, creado en el marco de su estrategia de innovación (Innovation BIS2025), para establecer nuevos canales de intercambio de conocimiento entre bancos centrales, en prácticas de ciberseguridad.
  • Centro de Estudios Monetarios Latinoamericanos (CEMLA). El Banco de México participa y colabora con el CEMLA, en la conformación y desarrollo de un Foro de Colaboración de Seguridad Cibernética (FOCOSC) en el que participan más de 15 países latinoamericanos difundiendo y compartiendo experiencias y conocimiento en materia de ciberseguridad.
  • Asociación de Supervisores Bancarios de las Américas (ASBA). El Banco de México participa y colabora activamente para compartir información y diseminar conocimientos en materia de seguridad de la información con ASBA, asociación de autoridades financieras del continente americano, que tiene por objeto el fortalecimiento de la regulación y supervisión bancaria y de la estabilidad del sistema financiero en la región.

La información referente al SPEI, así como la derivada de los incidentes que afectaron a algunos participantes de este sistema en 2018, puede ser consultada en la siguiente referencia: Información importante sobre la situación del SPEI

Conforme a la regulación emitida por las autoridades financieras, y en cumplimiento a las Bases de Coordinación, las instituciones financieras reportaron los siguientes incidentes; que fueron atendidos conforme a los protocolos del GRI.

Principales incidentes cibernéticos ocurridos en el sistema financiero nacional

Generación, custodia y entrega de evidencias forenses

Con el fin de orientar a las instituciones financieras para que ante un incidente de ciberseguridad puedan llevar a cabo de manera adecuada la generación, custodia y entrega de evidencias forenses, y en su caso, presentar la denuncia correspondiente ante las autoridades competentes, el Banco de México pone a su disposición el presente decálogo forense digital.