Luis Lima, director general de supervisión y seguridad de la información de la Comisión Nacional Bancaria y de Valores (CNBV), afirmó que las autoridades conocen y cuentan con la información sobre incidentes de ciberseguridad en las instituciones bancarias, pero solo de las que están obligadas a reportar, de acuerdo a la regulación existente, informa El economista. 

La CNBV declara que es posible que falte información necesaria de los incidentes de seguridad en instituciones bancarias y que estas, incluso estando obligadas a reportarlos, no informan de manera oportuna sobre los percances de los que son víctimas. 

“Es bien frecuente que muchas entidades traten de ocultar (los incidentes de ciberataques) y nos vamos enterando después. Cuando la situación se pone más difícil es cuando ya nos damos cuenta que los habían hackeado desde hace medio año y me va informando, porque ya perdieron no sé cuánto, es una mala práctica”, señaló Lima. 

En 2022 Banorte sufrió uno de estos ataques dejando expuesta información sensible de usuarios, entre la que se encontraba nombre completo, RFC, sexo, dirección (calle, número, municipio, entidad y código postal), números telefónicos, correo electrónico y balance de cuenta de clientes de Banorte. En 2021 también sufrió otro ataque que afectó 13 millones de registros de clientes. 

Banorte no fue la única institución que ha sufrido este tipo de percances, en enero de 2021 se reportó que tres bases de datos con supuestos registros de personas usuarias de los bancos BBVA y Santander fueron vendidas en foros de la dark web. En esa ocasión incluso se habló de la venta de una base de datos del IMSS con más de 42 millones de registros.

La CNBV menciona que en este año han ocurrido 15 incidentes de ciberseguridad reportados por entidades financieras, la misma cantidad de incidentes se tuvieron en 2023.