Los ciberataques realizados desde 2019 a junio de este año en contra de las instituciones financieras que operan en México han dejado afectaciones que suman más de mil 500 millones de pesos muestran cifras del Banco de México (BdeM).

De acuerdo con reportes oficiales del banco central, el secuestro de información, la vulneración a los cajeros automáticos de las instituciones financieras, el daño a los sistemas internos por medio de códigos maliciosos o los daños a las aplicaciones móviles de los bancos son los ataques más comunes que se han presentado en los últimos seis años.

Estos costos se presentan en un momento en el que las autoridades financieras han hecho énfasis en que las instituciones de crédito deben de prevenir e invertir cuantiosas sumas de dinero para poder mitigar los riesgos operativos a los que se enfrentan dado el avance de la digitalización.

Según la información disponible del BdeM, de 2019 al 27 de junio del presente año, los incidentes cibernéticos han causado daños por mil 610 millones 320 mil pesos a las instituciones financieras que operan en México.

La cifra es 5.3 veces superior a los 300 millones de pesos en los que se estiman las afectaciones después del ciberataque al Sistema de Pagos Electrónicos Interbancarios (SPEI) del banco central –el canal por el que pasan todas las transacciones– que ocurrió en mayo de 2018 y que fue un evento sin precedente en la historia del sistema financiero mexicano.

Los costos por año

De acuerdo con los reportes del banco central, que se encuentran disponibles en su sitio de Internet en el apartado de ciberseguridad, en 2019 se reportaron un total de ocho incidentes cibernéticos en contra de bancos y entidades financieras, los cuales tuvieron un costo total de 784 millones 700 mil pesos.

Ese año, antes de la pandemia, hubo dos casos en contra de bancos: el primero ocurrió en marzo por medio de los cajeros automáticos y los atacantes aprovecharon vulnerabilidades en dicha infraestructura para que múltiples cajeros en todo el país dispensaran efectivo. El costo final fue de 260 millones de pesos.

El segundo ocurrió en mayo, alcanzó 462 millones de pesos y se efectuó por medio de la banca de inversión. Se trató de un fraude ejecutado por personal de terceros que laboraba al interior de la institución, mediante la inyección de operaciones apócrifas de depósito de intereses a cuentas de cheques mediante un archivo para carga por lote desde un ambiente de desarrollo. Esta acción se repitió tres días.

De acuerdo con los reportes del banco central, en 2020 hubo un total de cuatro ataques a bancos y casas de bolsa; sin embargo, hasta el día de hoy, todavía no se tienen cuantificaciones sobre el costo al que ascendieron los incidentes.

No obstante, el reporte detalla que en los cuatro casos, se trató de ransomware (secuestro de información para después solicitar cuantiosos recursos a cambio de la liberación de la misma).

En 2021 hubo un total de 10 asaltos cibernéticos en contra de bancos y una casa de bolsa, mismos que tuvieron un costo de 570 millones 800 mil pesos. El más cuantioso fue un ataque al servicio de transferencias a través de sucursales de una institución de crédito y su casa de bolsa, que llegó a 474 millones 400 mil pesos.

En 2022 hubo dos incidentes cibernéticos, pero sólo se tiene cuantificado uno, que tuvo un costo de 25 millones 250 mil pesos para un banco y su casa de bolsa.

El año pasado, el banco central tiene registro de cuatro casos, de los cuales tres fueron a bancos y uno a una sociedad cooperativa de ahorro y préstamo, mismos que sumaron 89 millones 8 mil pesos.

El que tuvo la mayor repercusión en 2023 fue en contra de un banco, pues se presentó una vulneración informática del servicio de transferencias a través de un código malicioso y tuvo un costo de 55 millones 710 mil pesos, mientras el de la cooperativa se trató de una “vulneración informática a través de ransomware”, cuyo precio fue de 21 millones 470 mil pesos.

A lo largo de este año, según el reporte del Banco de México, se tiene reporte de dos incidentes informáticos que afectaron a una sociedad financiera popular (Sofipo) y a un banco, mismos que han dejado pérdidas por 140 millones 490 mil pesos.

Ningún cliente perdió ahorros o capital

El primero fue en marzo en contra de la Sofipo, y se trató de una vulneración informática del servicio de transferencias que dejó un daño de 124 millones 110 mil pesos, y el segundo fue en abril en contra del banco, mismo que se trató de una “vulneración a través de un código malicioso de tipo ransomware” con un costo de 16 millones 380 mil pesos.

Ninguno de los ataques anteriormente mencionados representó alguna pérdida para los clientes, según el banco central.

Se debe tomar en cuenta que en el momento en el que el BdeM actualice dichos reportes y se informe de los incidentes de los cuales todavía no se cuenta con el costo, el precio de los daños subirá.

Estas afectaciones se presentan en un momento en el que los bancos invierten una cuantiosa cantidad de recursos en temas relacionados con la ciberseguridad, pues según la Asociación de Bancos de México (ABM), tan sólo en 2023, se hicieron inversiones en la materia que ascendieron a 25 mil millones de pesos.