CNBV debe informar sobre ciberataques a entidades del sistema financiero mexicano.


Ciudad de México a 29 de agosto de 2018

Folio de la solicitud: 0610000032418

Número de expediente: RRA 4059/18

Comisionado Ponente: Joel Salas Suárez

El caso:

La particular solicitó a la Comisión Nacional Bancaria y de Valores (CNBV) información sobre ciberataques a entidades del sistema financiero mexicano, desglosados por origen, daños causados, personas detenidas y la instancia que se encargó de contener el problema.

En respuesta, la Comisión Nacional Bancaria y de Valores, a través de la Dirección General de Supervisión de Riesgo Operacional y Tecnológico, clasificó la información como reservada por cinco años, ya que puede poner en riesgo la estabilidad del sistema financiero y obstruir actividades de verificación, inspección y auditoría, entre otras manifestaciones.

Inconforme, la particular interpuso recurso de revisión ante este Instituto y declaró como agravio que la información no compromete la integridad del sistema financiero mexicano. En estricta suplencia de la queja, este Instituto estimó que la inconformidad versa sobre la reserva declarada.

En alegatos, la Comisión dio las siguientes razones para abundar en la reserva declarada:

  • Hacer pública la información podría perjudicar a las entidades del sistema financiero mexicano, ya que proporciona elementos específicos de incidentes de seguridad que pueden usarse para replicar un ciberataque de manera exitosa.

  • Además, podría dar ventaja indebida a otros participantes en el sistema de pagos, creando desconfianza injustificada contra las instituciones víctimas de ciberataques, en su caso, vulnerar dicho sistema y generar transacciones apócrifas desviando recursos e, incluso, ocasionar la inutilización del sistema.

  • Dar a conocer la información también obstruiría las actividades de verificación, de cumplimiento de leyes respecto de incidentes de seguridad que se mantienen en trámite.

En atención a un requerimiento de información adicional, la Comisión Nacional Bancaria y de Valores aclaró que:

  • El universo que atiende al contenido de “los datos que generaron los ciberataques” corresponde a investigaciones propias de un procedimiento de vigilancia que comprende información reportada por las instituciones de crédito a la Comisión cuando existe sospecha de la extracción o extravío de información sensible de sus usuarios, o algún incidente que involucre accesos no autorizados.

  • El procedimiento de verificación al que alude es un proceso integral de supervisión que está conformado por seis etapas: recepción, explotación y análisis de información, inspección, vigilancia, observaciones y recomendaciones y, en su caso medidas correctivas y sanciones.

  • La vinculación directa de la información solicitada con el procedimiento de verificación consiste en que deriva de un reporte que recibe el sujeto obligado para iniciar un proceso de vigilancia, en el cual se determinará si la entidad financiera ha cumplido la normatividad aplicable. Esto servirá para determinar si la información que pudo ser extraída como consecuencia de los ciberataques puede ser mal utilizada y generar observaciones, recomendaciones, solicitudes de emplazamiento o sanciones, así como informes y reportes de vigilancia e inspección de la entidad.

En análisis

Esta ponencia tuvo acceso a la información clasificada gracias al cual identificó la documental cuyo contenido daría respuesta a la solicitud de información, la cual es el Reporte de Eventos de Pérdida de Información Administrada a través de Medios Electrónico.

El análisis realizado por la ponencia desvirtuó las causales de clasificación invocadas:

  • Clasificación con fundamento en el artículo 110, fracción IV de la Ley Federal de Transparencia y Acceso a la Información Pública. La difusión de la información no pondría en riesgo la estabilidad de las instituciones financieras o del sistema financiero del país, porque conocer el daño provocado por una intrusión informática no autorizada sucedida en el pasado no afecta que el funcionamiento presente del sistema. Es más, la normatividad aplicable provee a las autoridades reguladoras de mecanismos para conocer y activar la maquinaria correctiva y de prevención en casos de ciberataque. Por lo tanto, el sistema financiero está preparado para actuar en consecuencia.

  • Clasificación con fundamento en el artículo 110, fracción VI de la Ley Federal de Transparencia y Acceso a la Información Pública. La Comisión manifestó que actualmente se encuentra practicando 4 procedimientos de vigilancia, sobre “Atención a Autorizaciones, Opiniones y Consultas a Autoridades Competentes u otra Área de la CNBV”, instalados con fechas 11 de marzo, 23 de enero, 27 de noviembre y 21 de julio, todos de 2017. Derivado del acceso a información clasificada, fue posible confirmar la existencia de los procedimientos y que se hallan en proceso de validación de cumplimiento regulatorio, una etapa intermedia del proceso de vigilancia.

Sin embargo, la información que interesa al hoy recurrente no constituye una constancia propiamente generada por el sujeto obligado durante la sustanciación del procedimiento. Las entidades reguladas están obligadas a notificarla a las autoridades reguladoras en cumplimiento a una norma. Esta norma señala que dé cuenta del cumplimiento a una norma, no a la información vinculada con las actividades de supervisión realizadas por la Comisión Nacional Bancaria y de Valores.

Con base en lo anterior, se tiene que:

  1. La divulgación de la información sobre los daños generados por los ciberataques no constituye un riesgo demostrable e identificable al interés público. El proporcionar dicha información daría cuenta de que las entidades financieras han cumplido con una norma que deriva de un incidente que afectó sus sistemas y que es cosa pública, en tanto la mayor parte de la población es usuaria de servicios financieros.

  2. El riesgo de perjuicio que supondría la divulgación no supera el interés público general de que se difunda, pues no se advierte que la afectación tenga repercusiones en los bienes jurídicos tutelados por las regulaciones en materia de acceso a la Información.

  3. La limitación al ejercicio del derecho resulta desproporcional, pues no se advierte la motivación o daño necesario para resguardar dicha documentación.

  • Clasificación con fundamento en el artículo 113, fracciones I y III de la Ley Federal de Transparencia y Acceso a la Información Pública. Los documentos de la CNBV contienen datos personales que sí deben clasificarse como confidenciales, tales como datos personales de usuarios. También debe clasificarse como confidencial el nombre de la entidad financiera que sufrió el ataque, la dirección de las oficinas donde ocurrió el incidente de seguridad informática y los datos de identificación de terceros que administraban la información.

Por lo anterior el agravio del particular es FUNDADO.

Posicionamiento:

Elegí posicionar este recurso porque nos permite reflexionar públicamente sobre un riesgo, cada día más presente, a nuestra seguridad y estabilidad económica: los ataques cibernéticos. De acuerdo SonicWall, empresa desarrolladora de herramientas de ciberseguridad, México es el tercer país con más ciberataques en el mundo.[1] Tan solo en el último año, el 78% de las empresas e instituciones sufrió por lo menos un ataque[2] y se estima que, al mes ,17% de los mexicanos que tienen acceso a internet los experimentó.[3]

El último gran ataque en México fue contra el sistema financiero durante abril y mayo de 2018. Cinco entidades financieras perdieron más de 300 millones de pesos por fallas intencionadas en la conexión del Sistema de Pagos Electrónicos Interbancarios (SPEI), mediante las cuales se realizaron transferencias no autorizadas a cuentas falsas. A pesar de esto, los cuentahabientes no sufrieron pérdidas monetarias, solo retrasos en sus nóminas o transferencias bancarias. [4] Este ciberataque ha sido el más grave en los últimos años, junto con el virus Wanna Cry, que afectó a 99 países en mayo de 2017.[5]

El Banco de México (Banxico) declaró que no se trató de un ataque directo al SPEI, sino a las aplicaciones y plataformas de los bancos que se conectan al sistema, y por eso no lo pudo prevenir.[6] No obstante, expertos en informática y medios de comunicación[7] criticaron la falta de comunicación y coordinación durante el proceso entre el Banco de México con las demás instituciones y empresas.[8] Actualmente se desconoce la identidad de los responsables, pese a las investigaciones que la PGR emprendió desde mayo, luego de recibir las denuncias de cuatro bancos.[9]

A partir de este incidente, la Comisión y Banxico crearon nuevos protocolos de seguridad para reaccionar en el menor tiempo posible. Entre estos, la vigilancia de las transacciones mayores a 50 mil pesos en el SPEI y la creación del Grupo de Respuesta a Incidentes (GRI), que evitará futuros ataques a través de alertas inmediatas a los bancos para que refuercen sus sistemas de seguridad.[10] Hasta el momento se han emitido cuatro alertas.[11]

Relevancia del caso

Los ciberataques como el que describí anteriormente, son una de las mayores amenazas para México debido al robo de identidad y las pérdidas millonarias que dejan. Además, desprestigian a las empresas e instituciones financieras del Estado porque dan a conocer información confidencial y exponen vulnerabilidades en su seguridad.[12] A nivel internacional, los ciberataques generan pérdidas anuales de 97 mil millones de dólares.[13] En México, éstas rebasan los 2 mil millones de dólares.[14]

La información pública servirá a los ciudadanos para entender las vulnerabilidades que tiene el sistema financiero y lo que hacen las autoridades competentes, entre ellas la Comisión Nacional Bancaria y de Valores, para blindarlas y prevenir ciberataques.[15] Asimismo, la información pública permitirá evaluar si se han tomado todas las acciones posibles para colaborar con otras instituciones para mitigar futuros ataques. No es posible estar completamente a salvo de los ciberataques, pero podemos tomar medidas para reducir los riegos al mínimo y salvaguardar los intereses y la seguridad financiera de los mexicanos. Esta es, sin duda, una forma más de abonar a la estabilidad económica de nuestro país.

Propuesta

Por lo tanto, esta ponencia propone MODIFICAR la respuesta emitida por la Comisión Nacional Bancaria y de Valores para que elabore una versión pública del “Reporte de Eventos de Pérdida de Información Administrada a través de Medios Electrónicos”, en donde solo podrá clasificar los datos especificados en la resolución emitida por este Pleno.

Referencias

[1] http://www.elfinanciero.com.mx/tech/mexico-la-tercer-nacion-con-mas-ciberataques-en-el-mundo

[2] http://www.elfinanciero.com.mx/economia/79-de-las-empresas-en-mexico-sufren-un-ciberataque

[3] http://www.elfinanciero.com.mx/empresas/eleccion-dispara-50-el-riesgo-de-ciberataques-en-mexico-dicen-expertos

[4] https://www.forbes.com.mx/hackers-roban-de-300-a-400-mdp-con-ataque-a-sistema-de-bancos/

[5] https://www.eleconomista.com.mx/tecnologia/Mexico-entre-los-mas-afectados-por-el-malware-Wanna-Cry-20180510-0067.html

[6] http://www.milenio.com/negocios/ataque-a-spei-esta-mitigado-dice-banxico

[7] http://prorp.org.mx/banxico-y-el-ataque-al-sistema-bancario/, http://cio.com.mx/hackeo-al-sistema-spei-vulnera-credibilidad-la-banca-en-mexico/

[8] http://www.elfinanciero.com.mx/economia/poca-madurez-de-banca-propicio-ataques-al-spei-dicen-expertos

[9] http://www.elimparcial.com/EdicionEnLinea/Notas/Nacional/16052018/1340790-PGR-senala-que-tiene-varias-lineas-de-investigacion-sobre-ataque-cibernetico-a-SPEI.html

[10] https://noticieros.televisa.com/ultimas-noticias/banxico-y-cnbv-firman-protocolo-ciberseguridad-pgr/

[11] http://www.eluniversal.com.mx/cartera/cnbv-reporta-cuatro-alertas-desde-el-ciberataque-al-spei

[12] https://expansion.mx/tecnologia/2018/05/16/caso-spei-expone-deficiencias-en-ciberseguridad-financiera-de-mexico

[13] http://www.eluniversal.com.mx/cartera/finanzas/ciberataques-pueden-causar-perdidas-de-hasta-250-mil-mdd-segun-experto-de-fmi

[14] http://www.elfinanciero.com.mx/tech/ciberataques-dejan-al-ano-perdidas-de-mmd-en-mexico

[15]https://www.cnbv.gob.mx/Normatividad/Ley%20de%20la%20Comisi%C3%B3n%20Nacional%20Bancaria%20y%20de%20Valores.pdf

Comparto versión estenográfica completa de la sesión del pleno, mi participación referente en la pág. 27

Comparto audio completo de la sesión del pleno.

Comunicado emitido por el INAI

Comparto fragmento de video con mi participación en el pleno.

Aquí video completo de la sesión del pleno, mi participación en el minuto 1:06:47

#Ciberseguridad #Ciberriesgos #CNBV #AccesoalaInformación #INAI #Tecnología #Transparencia #Seguridad

Entradas destacadas
Entradas recientes
Archivo
Buscar por tags
No hay tags aún.
Síguenos
  • Facebook Basic Square
  • Twitter Basic Square