La Comisión Nacional Bancaria y de Valores (CNBV) confirmó que tras el hackeo al Buró de Crédito, los datos de miles de cuentahabientes y ahorradores se pusieron a la venta en la llamada a Deep Web (internet oculta), por lo que ese organismo inició una inspección formal a los procedimientos y sistemas de esa Sociedad de Información Crediticia (SIC).
A través de un comunicado de prensa, el organismo regulador de instituciones y operaciones financieras informó que el 19 de diciembre del 2022 se tuvo conocimiento de la vulneración de los sistemas informáticos de Buró de Crédito, por lo que a partir de ese momento se activó el protocolo de seguimiento y monitoreo.
La Comisión agregó que en apego a sus facultades normativas, el pasado 26 de enero de 2023 ordenó una Visita de Inspección Especial al Buró de Crédito, la cual estará a cargo de la Dirección General de Supervisión de Participantes en Redes y de la Dirección General de Supervisión de Seguridad de la Información.
De acuerdo con la CNBV, la visita para revisar el Buró de Crédito concluirá el próximo 3 de marzo, una vez que se haya evaluado el sistema de control interno para el resguardo, seguridad física y logística de la información que reside en sus bases de datos.
También se inspeccionará la seguridad en sus comunicaciones internas y con entes externos con los que está obligado a interactuar, es decir usuarios, clientes, proveedores, autoridades y otras Sociedades de Información Crediticia.
La finalidad de la inspección es identificar y evaluar los controles en materia de seguridad de la información del Buró de Crédito para garantizar la confidencialidad e integridad de la información que maneja, tanto de sus clientes y usuarios, como de los sujetos externos con lo que debe interactuar.
La CNBV dará seguimiento a la implementación de las acciones que pudieran resultar de la visita de investigación, y ejecutará las acciones correctivas y actos de autoridad que, de acuerdo con las facultades, pudieran resultar
La investigación
La CNBV explicó que tras el reporte inicial del hackeo, identificó una base de datos del 2016 que se puso a la venta en la llamada Deep web (internet oculta), pese a que apenas se descubrió en 2022.
Posteriormente, la CNBV requirió más información al Buró de Crédito para conocer a detalle, las causas del incidente y a partir de ello, determinar las acciones a seguir.
En el proceso también ha intervenido el Banco de México dando seguimiento a las acciones realizadas por el Buró de Crédito para corregir los hallazgos, sin que se especifiquen cuáles fueron estos.
Además, la Comisión informó que tras el incidente, Buró de Crédito contrató a una empresa especializada en ciberseguridad para evaluar nuevamente sus sistemas informáticos, la cual concluyó que “los sistemas actuales no han sido vulnerados”.
Sin embargo, la empresa que hizo la revisión advirtió que no se puede descartar que la vulnerabilidad que permitió el robo de la base de datos del 2016 haya seguido activa por más tiempo, hasta antes de que entrara en operación el actual sistema informático de protección del Buró de Crédito.
“La CNBV y el Banco de México mantienen comunicación y monitoreo constante con la SIC Buró de Crédito, con el objetivo de dar seguimiento a las acciones implementadas por esta, para proteger la seguridad de la Información y evitar futuros incidentes que pongan en riesgo los datos personales y financieros de las y los usuarios de servicios financieros”, concluyó el comunicado del organismo.
Source link