A principios de este año la Comisión Nacional Bancaria y de Valores (CNBV), como órgano desconcentrado de la Secretaría de Hacienda y Crédito Público, dio un paso más para la homologación de la normativa protectora de la ciberseguridad en el sistema financiero mexicano al proponer la emisión de la Circular Única de Ciberseguridad. Pero, inevitablemente, surge el cuestionamiento acerca de qué deberá abarcar.
Esta propuesta pretende estandarizar la normativa partiendo de los principios básicos de la protección de la ciberseguridad financiera. Por un lado, deriva del gran aumento que ha tenido la tecnología en los últimos años, sobre todo después de la pandemia por Covid-19. Mientras que, por otro lado, surge como un hecho fáctico para atender los diversos ataques a los que se han enfrentado las empresas en México. De acuerdo con un estudio realizado por la Asociación de Bancos de México y la American Chamber, tan sólo durante 2021 y 2022 las empresas mexicanas sufrieron cerca de 66 por ciento de los ataques cibernéticos ocurridos en América Latina, lo que provocó pérdidas de 3,000 a 5,000 millones de dólares por año; cifras que no deben ser tomadas a la ligera ni analizadas de forma aislada, toda vez que repercuten en la economía nacional. Además, Global CEO Survey 2022 determinó que siete de cada 10 directores ejecutivos mexicanos se preocupan por los riesgos cibernéticos.
Por riesgo cibernético se entiende aquel peligro de pérdida financiera, interrupción operativa o daño, debidos a la falla de las tecnologías digitales. Contra los riesgos cibernéticos se ha constituido la ciberseguridad, entendida como “la actividad o proceso, habilidad o capacidad, o estado por el cual los sistemas de información y comunicación, así como la información contenida en ellos, se encuentran protegidos y/o son defendidos contra daños, uso o modificación no autorizado, o explotación”. Ante esta perspectiva, ¿qué acciones ha tomado el gobierno mexicano? Los ya conocidos comentarios del presidente dirigidos a desestimar la posibilidad de que los ciberataques provengan de mexicanos derivaron en un análisis y una exposición de los grandes agujeros que existen en las políticas de ciberseguridad en México. Ahora bien, internacionalmente, desde 2015, por medio de un documento emitido por el Banco Internacional de Pagos (BIS) y por la Comisión de Valores (IOSCO), se reconoció como uno de los elementos claves para la protección cibernética el hecho de contar con una protección efectiva e integral.
Del análisis y otras disposiciones podemos observar que en la directiva europea, desde 2016, la Unión Europea emitió medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y los sistemas de información de la Unión. Sin embargo, en México, a pesar de que desde 2017, mediante el primer foro sobre ciberseguridad, se había determinado por parte de la CNBV, la Asociación de Banqueros Mexicanos, el Banco de México, entre otras instituciones banqueras, la creación de una normativa homóloga no se había materializado.
Es necesario hacer constar que una normativa estandarizada conlleva la posibilidad de atacar con mayor eficiencia los peligros de los ciberataques, fortaleciendo nuestra capacidad para detectar, contener y mitigarlos. Pero junto a esta estandarización, para concretarse y tener un avance real, deberán ocurrir modificaciones institucionales que involucren el desarrollo de evaluaciones regulares, así como el monitoreo y la actualización de las estrategias nacionales, de manera que se cuente con los medios idóneos que permitan la actualización de las herramientas de protección, atendiendo el carácter fáctico de constante progreso que tendrán las diversas modalidades de los ciberataques.
Las empresas mexicanas requieren una buena legislación y, más allá de un punto de vista privado, requieren garantías que tengan como objeto la protección de la economía nacional frente a las nuevas modalidades de ataques, para lo cual debe ser de interés común el contenido de la Circular Única de Ciberseguridad.
