La Comisión Nacional Bancaria y de Valores (CNBV) busca homologar la regulación para que todas las instituciones financieras y empresas que ofrecen servicios financieros estén obligadas a reportar los ciberataques de los que han sido víctimas. Actualmente, no todas las instituciones tienen esta obligación, lo que provoca que muchos incidentes no se reporten por temor a dañar su reputación. Luis Lima, director general de supervisión y seguridad de la información de la CNBV, explicó que es necesario ajustar la regulación para todos los actores del sistema financiero, diferenciando la gravedad de los ataques. También mencionó que hay distintas normativas para bancos, Sofipos, Sofomes, Socaps, Casas de Bolsa e intermediarios, lo que provoca una falta de uniformidad en los reportes. “Hay que ajustar la regulación para que sea más precisa: separando por gravedad —porque no todos son graves— y generar conciencia con los grupos gremiales”, comentó Lima. La meta es regular no solo el reporte de ataques, sino también la ciberseguridad de manera transversal en todos los sectores financieros. En lo que va de 2024, la CNBV ha registrado 15 ataques cibernéticos contra instituciones financieras, de los cuales cinco fueron dirigidos a sistemas, tres a fugas de información, dos a cajeros automáticos y dos a robo de credenciales. También hubo dos ataques a terceros que trabajan con instituciones financieras y un caso de exposición de datos en internet. Sin embargo, el Banco de México (Banxico) tiene registrados solo dos incidentes: uno contra un banco y otro contra una Sofipo. Hasta septiembre de este año, las pérdidas económicas por estos ataques ascienden a 140.49 millones de pesos, un 57.7% más que en todo el 2023. En 2022, las afectaciones sumaron 25.25 millones de pesos y en 2021, 570.8 millones de pesos. Lima señaló que, aunque la regulación para bancos es "aceptable", aún hay margen para realizar ajustes que mejoren la ciberseguridad en el sector. Fuente: Expansión