Durante 2022, la Comisión Nacional Bancaria y de Valores (CNBV) detectó al menos 28 incidentes de ciberseguridad que se han dado en entidades financieras, que van desde acceso con dispositivos electrónicos a cajeros automáticos, envío de información de clientes por correo electrónico, acontecimientos de intrusión a la infraestructura, entre otros.
La CNBV no tiene inventariada información sensible de sus sistemas ni los que tiene con proveedores de servicio, indicó la Auditoria Superior de la Federación (ASF).
La entidad responsable de regular, supervisar y sancionar entidades del sistema financiero, muestra debilidad en controles de ciberseguridad críticos.
Hay cinco rubros de ciberseguridad, (25%) en semáforo rojo, que carecen de control al tener un nivel de cumplimiento menor a 30%, identificó la Auditoría Superior de la Federación (ASF).
Estos controles son: protección de datos, activos de hardware, pruebas de penetración, programa de concientización de seguridad y acceso basado en necesidad de saber.
En protección de datos, no tiene inventariada información sensible almacenada, procesada o transmitida por sus sistemas ni los que tiene con proveedores de servicio.
Además, carece de una metodología para clasificar datos y activos críticos, detalló la ASF.
“No se cuenta con una herramienta automatizada en el perímetro de la red para monitorear la transferencia no autorizada de información sensible.
“A pesar de que se monitorea la red, no se cuenta con mecanismos para detectar el uso no autorizado del cifrado de datos“.
De igual manera, otros ocho controles (40%) de ciberseguridad de la CNBV están en amarillo, pues requieren fortalecerse.
Estos controles son activos de software, seguridad perimetral, respuesta y gestión de incidentes, monitoreo y control de cuentas, así como control de acceso inalámbrico.
Así como, el uso controlado de privilegios administrativos, mantenimiento, supervisión y análisis de registros de auditoría, y la restricción y control de puertos, protocolos y servicios.
Sobre el monitoreo, la ASF señaló que la CNBV no cuenta con un punto de autenticación centralizado para los sistemas de red, de seguridad y de la nube.
“Las cuentas de administración con privilegios elevados no utilizan autenticación de factores múltiples.
“Se carece de un proceso automatizado para la revocación de acceso a los sistemas, inmediatamente después de la terminación o cambio de responsabilidades. No se generan alertas por la desviación del comportamiento normal de inicio de sesión“.
Solo 35%, la CNBV alcanzó un nivel aceptable de cumplimiento.
Para evaluar la ciberseguridad, la Auditoría utilizó el marco CIS, que se refiere a los Controles Críticos de Seguridad del Centro de Seguridad de Internet para la infraestructura crítica de las TIC.
Es decir, el centro de datos, telecomunicaciones, seguridad perimetral, ambientes de desarrollo y controles de acceso.
¡Vaya problema!