Perspectivas de la ciberseguridad en el

sistema financiero mexicano

Bernardo González Rosas
Presidente de la Comisión Nacional Bancaria y de Valores

20 de septiembre de 2018
 La Ciberseguridad como uno de los desafíos más
importantes de la era digital

El crecimiento global de las redes y la información, impulsado por la innovación

tecnológica, ha generado un desafío en cuanto a riesgos de seguridad. El mundo está
más interconectado y las amenazas aumentan.

En el mundo financiero, la convivencia de humanos y sistemas forma parte de la vida

cotidiana, y de esta interacción se generan nuevos y grandes riesgos que suponen un
reto desde los usuarios hasta el regulador.
Ante máquinas perfectas, ¿dónde está la debilidad? En el factor humano.

1
El factor humano frente a la ingeniería social

El arte de manipular personas para obtener

información sensible con distintas finalidades se
conoce como ingeniería social.

Se explotan las emociones humanas como la

ambición, el miedo, la curiosidad, la adulación y
la buena voluntad.

2
 Principales herramientas de la ingeniería social

Phishing Pharming Vishing Smishing

Actividad Redirección de Práctica Técnicas de

criminal que un usuario a un fraudulenta que ingeniería social
busca obtener sitio web falso consiste en el utilizando
información para obtener la uso llamadas mensajes de texto
sensible información de telefónicas para dirigidos a los
mediante acceso a su engañar al usuarios de
engaños. cuenta y usuario y obtener telefonía móvil en
comprometer sus información busca de infectar el
recursos. financiera o equipo del usuario
información útil o redirigirlo a sitios
para el robo de falsos para obtener
identidad. información
sensible.

3
 Motivaciones

Económicas Espionaje Personales

Busca obtener Pretende obtener Busca obtener

acceso a los información información sensible
recursos confidencial de las de la persona con la
económicos del instituciones, para finalidad de dañar a
usuario para obtener un la persona o
sustraerlos. beneficio. extorsionarla.

4
 Ciberseguridad en México respecto a otras economías

México es el
décimo país
más
atacado del
mundo.

México está ubicado en el más alto nivel de riesgo en el

Índice Global de Ciberseguridad del ITU (ONU).

Fuente: International Telecommunication Unit, ONU, 2017

5
 El sector financiero es el más atacado seguido de los
sectores de servicios y energía y de aeroespacial y defensa

El costo financiero del

cibercrimen para las empresas
Costo promedio subió 24.7% anual en 2017.
en México en 2016

$28 mdp

Fuente: Estudio realizado por Ponemon Institute, en

colaboración con Accenture

6
 Tendencia de ataques en México

Ataques más sofisticados y sobre objetivos de mayor valor

Ataques a
sistemas de
custodia de
Sofisticación de los atacantes

valores?
Ataques a
sistemas de
Trasferencias
(SPEI, ?????
Ataques a SWIFT)
sistemas de
Bancos
Ataques a (ATM, POS)
empresas en $$$$
Ataques a Banca por
personas en Internet
Banca por $$$
Internet
$$

5+ años atrás 3 años atrás 18 meses atrás Ahora Después?

Cadena de valor objetivo (del cliente a compensaciones interbancarias)

Fuente: Cyber Security, Alex Petsopóulos, PWC, 2015

7
 Hechos recientes
Fraudes en SWIFT

Los sistemas de pagos son un objetivo más rentable que los ataques a
particulares.

Fuente: Cyber Risk for the Financial Sector: A Framework for Quantitative Assessment

8
 Impacto SWIFT en México

Bancomext tuvo un ataque en enero de 2018, que si bien fue contenido,

pudo haber repercutido en una pérdida de 110 millones de dólares.

Monto transferido (millones de dólares)

*Intento no consumado
Fuente: con información de la agencia Bloomberg y El Diario
Pulso
https://canaljudicial.mx/es/noticia/aumentan-ciberataques-dirigidos-en-mexico-en-los-ultimos-dos-anos
https://www.eleconomista.com.mx/tecnologia/Mexico-evito-el-mayor-hackeo-al-sistema-de-comunicaciones-SWIFT-20180611-0074.html

9
 Hechos recientes
Ciberataques en Instituciones FinTech

Las entidades de tecnología financiera son particularmente expuestas a

ciber ataques dada su dependencia de la tecnología.

Los ataques a entidades operadoras de criptomonedas, desde 2013 hasta

hoy, suman fraudes por 1,450 millones de USD.

Fuente: Cyber Risk for the Financial Sector, IMF 2018

10
 En 2017 el criptogusano Wannacry atacó el sistema
operativo de windows

Costo potencial

$4,000mdd
• Pérdidas reales
de $1,500 mdd.
• Pago de rescate
$143,000 dólares
mediante bitcoins.

Fuente: CISCO reporte anual 2018 de Ciberseguridad

11
¿Qué estamos haciendo desde la CNBV?

1. Tomando acciones para la

implementación de los Principios de
Ciberseguridad

2. Reforzando controles internos de seguridad

dentro de la CNBV para proteger todo el sistema
financiero mexicano

3. Incorporando cambios relevantes a las

disposiciones en materia de ciberseguridad

12
Punto de partida para las acciones de CNBV

Protocolos de
Estrategia
Comunicación
Nacional de
y Framework de
Ciberseguridad
ciberseguridad
Diagnóstico (OEA)
del Sector Firma de los 5
Financiero Principios de
(BID) Ciberseguridad

Fortalecimiento
de regulación en Acuerdo de
Ciberseguridad y Bases de
nueva área Coordinación

Coordinación Creación del

con Entidades grupo de
Supervisadas Respuesta a
Bases de
Incidentes
Operación del
(GRI)
GRI

13
 Acciones de la CNBV

• Actualización de las estructuras de supervisión en la CNBV

-Vicepresidencia de Supervisión de Ciberseguridad y Riesgos
-Dirección General de Supervisión de Seguridad de la Información

• Colaboramos estrechamente con otras autoridades del sector

financiero y organismos nacionales e internacionales.
Acciones de la CNBV en materia de regulación,
Principios de Ciberseguridad

15
 En Mayo 2018 las autoridades del sistema financiero
firmamos las Bases de Cooperación

Principios normativos para Entidades Financieras:

1. Gobierno corporativo en el que la seguridad informática
Con el objetivo de
ocupe un lugar central.
mantener una
coordinación 2. Esquemas de protección de datos robustos.
efectiva entre las 3. Administración de riesgos de seguridad de la
autoridades información.
financieras, con el
fin de determinar los 4. Controles de seguridad en los puntos de acceso
principios aplicables 5. Protocolos de respuesta a incidentes.
en materia de
6. Identificación de exposición a riesgos por parte de
seguridad de la
terceros (proveedores y usuarios).
información en el
ámbito de sus 7. Políticas de protección a la infraestructura.
respectivas 8. Políticas de protección a los sistemas.
competencias.
9. Programa de capacitación y de fomento de una
cultura de la seguridad informática.
 Acciones de la CNBV

• Actualización de las estructuras de supervisión en la CNBV

-Vicepresidencia de Supervisión de Ciberseguridad y Riesgos
-Dirección General de Supervisión de Seguridad de la Información

• Colaboramos estrechamente con otras autoridades del sector

financiero y organismos nacionales e internacionales.
 La necesidad de compartir información y conocimiento

Las organizaciones en México tienen diversas razones para no compartir

la información sobre los ataques de que han sido objeto:

Fuente: Ciberseguridad y privacidad, PWC México, 2017

18
Grupo de Respuesta a Incidentes

Asociaciones Gremiales

Instituciones de
Crédito

Casas de Bolsa

Entidades Sector
Popular
¿Qué estamos haciendo desde la CNBV?

1. Tomando acciones para la implementación de los

Principios de Ciberseguridad

2. Reforzando controles internos de

seguridad dentro de la CNBV para
proteger todo el sistema financiero
mexicano

3. Incorporando cambios relevantes a las

disposiciones en materia de ciberseguridad

20
 Entre las Acciones al interior de la CNBV se han
implementado más de 100 controles de seguridad

• Nueva área de Supervisión de Seguridad de la Información

• Sistema de Gestión de Seguridad de la Información
• Prevención de pérdida de datos (DLP)
• Dispositivos personales (BYOD)
• Gobierno Especializado
• Protección perimetral
• Control de accesos
• Auditorías internas
• Auditorías externas Segregación funcional •
Tests de hacking ético •
Planes de remediación •
Plan Director de Seguridad •
Plan de contingencia tecnológica •
Plan de recuperación de desastres •
Encriptación de computadoras •
Concientización dentro y fuera de la CNBV •
Equipo de respuesta ante emergencias informáticas (CERT) •
Servicio de Network Operation Center (NOC) y Security Operation Center (SOC) •

21
¿Qué estamos haciendo desde la CNBV?

1. Tomando acciones para la implementación de

los Principios de Ciberseguridad

2. Reforzando controles internos de seguridad

dentro de la CNBV para proteger todo el sistema
financiero mexicano

3. Incorporando cambios relevantes a las

disposiciones en materia de
ciberseguridad

22
 Modificaciones a las disposiciones en materia de
ciberseguridad

Oficial de Inteligencia Protección al

seguridad de cibernética cliente
la información

Plan Director Revisión de Seguridad en

de Seguridad Vulnerabilidades Recursos
Humanos

23
 Oficial de Seguridad de la Información (CISO)

Las instituciones deberán contar con un CISO que reportará al responsable

de las funciones de Contraloría Interna, a fin de gozar de autonomía
técnica y de gestión respecto de las Unidades de Negocio, áreas de TI y de
auditoría.

• Implementación de las políticas y

procedimientos de seguridad.
• Control de accesos a la Infraestructura
Tecnológica.
• Identificación y validación de los Incidentes de
Seguridad de la Información.
• Participación como máximo responsable en los
grupos que las autoridades establezcan en
materia de seguridad de la información.

24
 Inteligencia Cibernética

Las entidades deberán contar con un servicio que permita atender de

manera proactiva los posibles incidentes de seguridad, en muchos
casos evitando que estos sucedan, y en otros, permitirá resolver el
incidente con un menor impacto económico y reputacional.

25
 Protección al Cliente

Con los nuevos cambios se

pretende un cambio de visión por el
que las entidades salgan de la
autoprotección hacia la
protección de sus clientes
mediante el robustecimiento de
campañas de concientización,
atención de alertas tempranas, etc.,
a fin de disminuir el impacto de la
ingeniería social.

26
Plan Director de Seguridad

Documento que plasma el compromiso

que tiene cada entidad para sí misma y
para sus clientes en materia de
seguridad y ciberseguridad en el que se
recoge la estrategia a corto, mediano y
largo plazo de una Institución, alineada con
los objetivos de negocio y, define y prioriza
cada uno de los proyectos por acometer en
el ejercicio.

27
 Revisión de vulnerabilidades

Las entidades financieras deberán realizar periódicamente revisiones

internas y externas de seguridad así como de vulnerabilidades.

Los resultados de dichas pruebas se enviarán a la CNBV y deberán

llevar un plan de acción consigo.

28
 La seguridad en Recursos Humanos

Se deberán afianzar los controles de seguridad de la información

durante el ciclo de vida del empleo:
• Investigación de candidatos
• Evaluación del comportamiento de los empleados
• Pruebas de confianza e integridad del personal

29
GRACIAS
CDMX, Agosto 2018