Ciberseguridad en Fintech: el desafío de la brecha regulatoria
Los avances tecnológicos nos alcanzan y nos rebasan. El sector financiero ve el auge de una de sus ramificaciones: las empresas financieras tecnológicas, mejor conocidas como Fintech. Estas entidades están transformando la forma en que accedemos, gestionamos y comprendemos los servicios financieros.
¿Por qué? Porque es más fácil. Las empresas que utilizan este tipo de tecnología financiera permiten hacer diferentes movimientos, préstamos y financiamientos, inversiones, entre otros, para que el usuario pueda tener su propia gestión financiera en la punta del dedo, a tan solo un clic de distancia.
De acuerdo con datos de la encuesta "Experiencia de los clientes en los principales bancos mexicanos en 2022", realizada por Akamai, empresa de computación en la nube y ciberseguridad, la adopción de la digitalización está incrementándose gradualmente entre los mexicanos. Actualmente, un 16% de los encuestados indica que su cuenta principal está en un banco digital. Pero aunque los bancos tradicionales mantienen un fuerte dominio en la participación de mercado, un 50% de los usuarios reporta tener cuentas en ambos tipos de bancos.
Aunque la agilidad y facilidad de este tipo de soluciones rinden frutos para los usuarios, bien dicen que todo tiene un precio. Al utilizar los servicios de empresas Fintech, hay de por medio grandes cantidades de datos personales y transacciones sensibles en juego, lo que convierte a este sector en un blanco atractivo para atacar.
Según Hugo Werner, vicepresidente Regional de Akamai para Latinoamérica, la industria financiera es la más atacada de entre otras industrias, incluidas la farmacéutica o la de logística. “En este mercado observamos que el fraude está en alza. Hoy el 50% de los ciberataques que vemos están dirigidos al sector financiero. ¿Por qué? Porque ahí está el dinero”, dijo en entrevista.
Las empresas Fintech dependen no sólo de activos monetarios. En este caso, para los ciberdelincuentes, otro de los activos importantes es la información.
Phishing, el ataque predominante
De acuerdo con datos del Banco de México (Banxico), hasta agosto de 2023 se registraron incidentes cibernéticos en cuatro instituciones financieras en México. Estos ciberataques han generado afectaciones económicas que suman un total de 67.61 millones de pesos. Entre las entidades afectadas, tres pertenecen al sector bancario, mientras que una corresponde a la sociedad Cooperativa de Ahorro y Préstamo (Socap), Caja Popular Mexicana.
Se identificaron dos principales malware o software malicioso diseñado para dañar o explotar dispositivos; uno de ellos ransomware: “Prometei” y “BlackCat”. El ransomware cifra los archivos o bloquea el acceso a los sistemas de una víctima, y puede propagarse a través de enlaces maliciosos, archivos adjuntos de correo electrónico o aprovechando vulnerabilidades en sistemas.
Sin embargo, respecto a los ataques por parte de ciberdelincuentes a víctimas, el phishing lleva la delantera. “Algo que sucede comúnmente es que, inclusive con el múltiple factor de autenticación, los criminales llaman a la persona que maneja la cuenta bancaria, se posicionan como autoridad, se muestran con urgencia, y le dicen que para asegurarse de que es la persona, piden el token de seis dígitos otorgada por el servicio en línea. Ese es uno de los fraudes más populares, lo cual significa que el token, a partir de ingeniería social, puede ser vulnerado”, explica Werner.
Según el "Panorama de Amenazas para América Latina", realizado por Kaspersky, empresa global de ciberseguridad, el phishing en México va a la alza, pues se registraron 286 millones de bloqueos por intentos de phishing en los últimos 12 meses, lo que representa un aumento de 617% en comparación con los 12 meses anteriores y un promedio de 4 mil ataques por minuto en México.
Entonces, viendo un evidente problema que se acrecienta, ¿cómo está reaccionando el sector público y privado para contrarrestar este daño?
La regulación exige protección
La protección hacia este sector está más regulado que ningún otro. En primera instancia se rige por la Ley Federal de Protección de Datos Personales, pero más enfocada hacia el sector, existe la ya conocida como Ley Fintech.
Esta ley regula servicios financieros de tecnología financiera, enfocándose en el sector privado para garantizar la organización y operación adecuadas.
Uno de sus propósitos es facilitar el uso de activos virtuales con autorización del Banco de México, promoviendo firmas electrónicas y sistemas de autenticación para pagos, inversiones y asesoría financiera. Además, busca prevenir lavado de dinero y fraudes, fortalecer el gobierno corporativo y fomentar la innovación a través del Grupo de Innovación Financiera.
“La ley Fintech tiene una particularidad, hace una clasificación de diferentes tipos de datos. Esta Ley ya cubrió ciertas necesidades que no estaban cubiertas en la Ley Federal de Protección de Datos Personales, principalmente en el sector financiero”, explica el Abogado Digital y especialista en protección de datos personales, Ricardo Vázquez.
Al ser un sector muy vulnerable, las medidas de seguridad son mucho más robustas. Werner concuerda en este punto. “Generalmente los cambios tecnológicos vienen dados por dos impulsores: el mercado o la competencia, y la regulación. El sector financiero en México es uno de los sectores más regulados cuando lo comparas con otras industrias. Eso significa que hay muchas normativas que las empresas tienen que cumplir, ya sea por la Comisión Nacional Bancaria o Banxico. También hay regulaciones internacionales, por ejemplo PSY, una certificación de pagos que las empresas deben adquirir".
Otra organización que tiene muchas restricciones es Swift, la que hace los pagos interbancarios internacionales, es clave en México y el mundo.
"Es un sector muy vulnerable, entonces las medidas de seguridad son aún más robustas que en cualquier otro sector. El sector Fintech es nuevo. Todavía hay muchas cosas nuevas que hay que explorar. A veces se comparan con bancos o se regulan al mismo nivel que los bancos, pero no estamos a nivel de un banco, no es una empresa que puedan hacer de un día para otro".
El panorama no pinta mal, pero todavía no alcanza…
Según la encuesta realizada por Akamai, los clientes tanto de bancos tradicionales como digitales no muestran temor al emplear los canales digitales de sus entidades financieras. El 86% de los encuestados expresaron sentirse seguros al utilizar los servicios financieros digitales. Esta confianza en las plataformas digitales es aún más pronunciada entre los jóvenes de 20 a 29 años, alcanzando el 92%. Aunque en menor proporción, el 71% de las personas mayores de 60 años también se sienten seguras al utilizar estos servicios.
La banca móvil utiliza el reconocimiento digital, y otros métodos como el token físico y el reconocimiento facial. Aproximadamente el 35% de los usuarios mexicanos indicó haber experimentado algún problema relacionado con la seguridad, ya sea a través de aplicaciones (19%) o en entornos de internet (16%). De este grupo, el 32% corresponde a individuos jóvenes de entre 20 y 29 años. El 69% no experimentó problemas de seguridad.
No obstante, el 30% de los encuestados reportó dificultades de seguridad específicamente en el ámbito de la banca digital, revelando una brecha que aún necesita mejoras en este aspecto del mercado. “Lo que hay que interpretar es que generalmente, la mayoría de las transacciones en un banco suceden sin ningún problema. Sin embargo ese pequeño porcentaje en donde hay fraude es donde hay alerta. Creo que son buenas noticias, pero todavía hay mucho espacio para seguir mejorando”, aseguró Werner, también experto en la nube y seguridad cibernética.
Y la brecha se hace más grande cuando se habla de ciberataques directamente a los bancos. Una de las razones, es porque en México no existe todavía una Ley de Ciberseguridad. “Es la dolencia que tiene el sector hoy. Algo que pasa es que los avances van adelantados a la regulación porque una ley surge cuando se encuentra una vulnerabilidad”, asegura Ricardo Vázquez.
Vamos atrasados. En temas de ciberseguridad hoy México se vale de estándares internacionales, pero creo que al día de hoy no es suficiente con lo que tenemos. (Ricardo Vázquez, abogado especialista en protección de datos).
Aunque también existe la preocupación de que, a pesar de ser un sector sumamente protegido, esto pueda ser un arma de doble filo, por ejemplo, para los bancos más pequeños. “El top 10 tiene una buena postura de ciberseguridad, entonces es más difícil para los atacantes. No quiere decir que no lo harán, quiere decir que es mucho más complicado debido a la protección. Lo que sucede es que bancos pequeños o bancos medianos son el blanco para atacar, debido a su baja protección. La mayoría de los bancos grandes han hecho un trabajo para protegerse y mejorar su postura de ciberseguridad. Nos están buscando para asesoramiento de las vulnerabilidades”, explica Hugo Werner.
Actualmente, México se encuentra en conversaciones para una Ley de Ciberseguridad, aunque aún existe algo en concreto. Mientras tanto, existen esfuerzos dentro del sector tanto público como privado; como el trabajo de Fintech México, donde se realizan mesas de trabajo entre empresas privadas y reguladores. “Dentro del comité de ciberseguridad tenemos una propuesta muy acercada al tema de seguridad de la información y temas regulatorios. Otra mesa de trabajo que hay en puerta está relacionada a temas de ciberseguridad y grupo de expertos, vinculados a temas de seguridad técnica, mientras que la tercera mesa que tenemos es sobre fraudes”, explica Santiago Fuentes, Coordinador del Comité de Ciberseguridad de Fintech México.
Fuentes explica que la asociación tiene interacción con el regulador, principalmente para ser un puente conector entre las empresas Fintech y los organismos reguladores para que exista un canal de comunicación mucho más estrecho. “Ya hemos tenido reuniones con la comisión Nacional Bancaria para ver el tema de fraudes, protección de datos y temas de seguridad para ver qué recae directamente en las Fintech, y en otros proveedores de servicios. La idea es estrechar esa relación, e ir poco a poco hacia el futuro”, dijo.
Aunque el sector va bien, hay todavía un largo camino por recorrer. A medida que la tecnología alcanza a los diferentes sectores, la regulación y la protección también tendrían que seguir ese sentido, porque aunque el porcentaje es menor, existe, y hay que voltear a verlo.
