La Comisión Nacional Bancaria y de Valores (CNBV) confirmó la venta ilegal en la deep web de una base de datos del Buró de Crédito, que data de 2016.
A finales de enero pasado, se comenzaron las pesquisas, con la finalidad “de evaluar el sistema de control interno que tiene implementado la sociedad de información crediticia en materia de resguardo, seguridad física y logística de la información que reside en sus bases de datos, al igual que la seguridad en las comunicaciones que tiene con los distintos sujetos con lo que interactúa, es decir usuarios, otras instituciones, autoridades, proveedores de servicios, entre otros”.
El órgano regulador señaló que “se dará seguimiento a la implementación de las acciones que pudieran resultar de la visita de investigación, y ejecutará las acciones correctivas y actos de autoridad que, de acuerdo con las facultades, pudieran resultar”.
La CNBV recordó que el 19 de diciembre de 2022 el Buró de Crédito informó respecto de la venta de una base de datos en la deep web, lo cual se identificó seis años después de que la información fue sustraída.
Por ello activó un protocolo para conocer las causas del incidente y, en conjunto con el Banco de México, se ha dado seguimiento continuo a los hallazgos y acciones realizadas por el Buró de Crédito.
“Se ha procurado en todo momento la protección de la seguridad, tanto de las entidades del sistema financiero, como de los clientes finales, pertenecientes estos últimos a la población”.
Además, el Buró de Crédito contrató a una empresa especializada en ciberseguridad para evaluar sus sistemas informáticos y concluyó que los sistemas actuales no han sido vulnerados. Sin embargo, no se puede descartar que la vulneración pudiera haberse realizado desde 2016 hasta antes del sistema utilizado actualmente.
“El Buró de Crédito tiene como funciones proporcionar información crediticia a los clientes finales que tienen o solicitan créditos y a las entidades oferentes de crédito, así como recabar de estas últimas la información crediticia de los clientes finales”, indicó la CNBV.
Detalló que el Buró tiene la obligación “de contar con medidas para proteger sus sistemas informáticos o plataformas tecnológicas que utilizan para sus procesos y prestación de servicios, incluyendo controles específicos para la protección de la información, como candados de acceso, cifrado de información, seguridad física y respaldos de datos.
Reportero: Ángel Cabrera