Hace casi un año que México promulgó una ley para las Instituciones de Tecnología Financiera (fintech. Hoy, el gobierno ha realizado ajustes a la norma y exigirá a las fintech que informen de manera inmediata a las autoridades y clientes cuando sufran un ciberataque.
La Comisión Nacional Bancaria y de Valores (CNVB) publicó modificaciones a la legislación en donde se estipulan los pasos a seguir cuando una empresa sea víctima de un ataque. De acuerdo con el diario El Economista, las empresas deberán elaborar un reporte que incluya fecha, hora y duración del ataque, así como el momento en que fue detectado.
El informe deberá ser detallado y firmado por el oficial de seguridad de la empresa antes de ser entregado a la autoridad. Por ley, las fintech deberán especificar el tipo de ataque (robo de identidad, DoS, código malicioso, etc.), protocolo de comunicación, página web afectada y por último, las acciones realizadas para mitigar el incidente.
En caso de extraer información sensible o robo de fondos, la empresa deberá indicar a las autoridades el nombre de los afectados, así como la cantidad sustraída de sus cuentas.
¿Por qué vienen estos cambios?
Los ajustes a la ley son claramente impulsados por la ola de ciberataques perpetrados a instituciones bancarias durante 2018. Luego del robo a bancos, que ascendió 100 millones de pesos, siguió un ataque a Bitso, una de las plataformas de compra y venta de criptomonedas más importantes del territorio azteca.
El incremento en el valor de criptomonedas ha provocado que los ciberataques sean cada vez más frecuentes. Tan solo durante el primer semestre del año pasado, el hurto de criptodivisas se triplicó en comparación con el 2017.
Otro ajuste a la Ley Fintech tiene que ver con la seguridad de información en las instituciones de fondeo colectivo (crowdfunding), en donde su director general será el responsable de implementar controles de seguridad en sistemas e infraestructura tecnológica.
Se espera que los cambios propuestos por la CNBV sean publicados en el Diario Oficial de la Federación. La Ley Fintech se aplica a empresas que operan con monedas virtuales, fondos de pago electrónico, crowdfunding y asesoría financiera.