El costo total que supuso la respuesta y la recuperación ante los ciberataques en instituciones financieras de México, fue de alrededor de 107 millones de dólares durante el 2018.
Esto de acuerdo con el más reciente reporte denominado «Estado de la Ciberseguridad en el Sistema Financiero Mexicano«, elaborado por la Organización de Estados Americanos (OEA) en colaboración con la Comisión Nacional Bancaria y de Valores (CNBV).
Según el reporte, el ataque en contra de estas instituciones resultó exitoso en el 43% de los casos . El estudio considera 240 instituciones del sistema financiero mexicano, de las cuales 98 son sociedades de ahorro y crédito popular (socaps), 59 pertenecen al sector de intermediarios financieros no bancarios, 33 integrantes de la banca comercial y de servicios múltiples, 17 instituciones de tecnología financiera, 15 sociedades financieras populares, nueve bancos de desarrollo y nueve integrantes del sector bursátil.
Las entidades financieras mexicanas reportaron que los ataques a la seguridad de sus clientes que usan los ciberdelincuentes con más frecuencia son el phishing, la instalación de software espía (malware o troyanos) y la ingeniería social. Los ataques más comunes en contra de las propias instituciones son el software malicioso o malware, que afectó a 56% de las entidades; el phishing dirigido (spearphishing) con el fin de tener acceso a los sistemas de la entidad (47%) y la violación de políticas de escritorio limpio (31%).
Cada ataque exitoso en contra de las instituciones del sistema financiero mexicano les cuesta en respuesta y recuperación alrededor de 655,000 dólares, siendo las grandes instituciuones las que más dinero pierden, un sólo ataque puede llegar a costarles más de 5 millones de dólares.
Las instituciones medianas son las que más presupuesto destinan a la implementación de medidas de ciberseguridad y prevención de fraudes en relación con su EBITDA. De acuerdo con el reporte, las entidades de tamaño medio gastaron en promedio 2.51% del EBITDA del año inmediato anterior en ciberseguridad, mientras que las grandes destinaron 2.31% y las pequeñas, 2.04%.
Entre las instituciones analizadas, sólo cuatro de cada 10 le reporta a una autoridad de procuración de justicia en México si es que sufrió un ataque cibernético. La mayoría (71%) de quienes lo hacen son instituciones grandes pertenecientes a la banca comercial, pues en su caso dicho reporte es obligatorio.
Entre las instituciones medianas, el 64% dijo haber reportado un incidente de seguridad digital y solo 47% de las pequeñas hizo algún reporte. Cabe destacar que 82% de las instituciones considera que la efectividad de las autoridades de procuración de justicia en México, en la investigación y judicialización de los ciberdelincuentes, es entre «nada efectiva y medianamente efectiva». Solo 8% considera que la actuación de las autoridades es «totalmente efectiva» y 10% cree que es «altamente efectiva con algunas deficiencias».