Ciudad de México, 5 de septiembre. La Comisión Nacional Bancaria y de Valores (CNBV) debe proporcionar versión pública del “Reporte de Eventos de Pérdida de Información Administrada a través de Medios Electrónicos”, que contiene información sobre los daños que generaron los ciberataques a entidades del sistema financiero mexicano, instruyó el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
Al presentar el asunto ante el Pleno, el comisionado Joel Salas Suárez afirmó que, en este caso, la información pública es una herramienta clave que permite a los ciudadanos entender las vulnerabilidades del sistema financiero y conocer las acciones de las autoridades para prevenir ciberataques.
“De acuerdo SonicWall, empresa desarrolladora de herramientas de ciberseguridad, México es el tercer país con más ciberataques en el mundo. Tan solo en el último año, el 78 por ciento de las empresas e instituciones sufrió por lo menos un ataque y se estima que, al mes,17% de los mexicanos que tienen acceso a internet los experimentó”, apuntó el comisionado.
Salas Suárez señaló que la información pública permitirá evaluar si se han tomado todas las acciones posibles para mitigar futuros ciberataques.
“El último gran ataque en México fue contra el sistema financiero durante abril y mayo de 2018. Cinco entidades financieras perdieron más de 300 millones de pesos por fallas intencionadas en la conexión del Sistema de Pagos Electrónicos Interbancarios (SPEI), mediante las cuales se realizaron transferencias no autorizadas a cuentas falsas”, señaló.
Añadió que los ciberataques como el descrito, son una de las mayores amenazas para México, debido a los riesgos que implican, entre ellos, robo de identidad y pérdidas millonarias.
En este contexto, una particular solicitó a la CNBV información sobre ciberataques a entidades del sistema financiero mexicano, desglosados por origen, daños causados, personas detenidas y la instancia que se encargó de contener el problema.
La CNBV reservó la información por cinco años, argumentando que darla a conocer podría representar un riesgo para la estabilidad del sistema financiero y, además, obstruiría actividades de verificación, inspección y auditoría, entre otras.
Inconforme, la particular interpuso recurso de revisión ante este INAI, en el cual manifestó que la información solicitada no compromete la integridad del sistema financiero mexicano.
Al tener acceso a la información clasificada, la ponencia del comisionado Salas Suárez advirtió que el “Reporte de Eventos de Pérdida de Información Administrada a través de Medios Electrónicos” daría respuesta a la solicitud de información.
Sobre las causales de clasificación invocadas se determinó que dar a conocer el daño provocado por una intrusión informática no autorizada sucedida en el pasado no afecta el funcionamiento presente del sistema, por lo que proporcionar la información no pondría en riesgo la estabilidad de las instituciones financieras o del sistema financiero del país.
El otro argumento que esgrimió el sujeto obligado para reservar los datos fue que se estaban llevando a cabo cuatro procedimientos de vigilancia; en ese sentido, se constató que la información contenida en el “Reporte de Eventos de Pérdida de Información Administrada a través de Medios Electrónicos”, no se encuentra vinculada con las actividades propias del procedimiento de supervisión.
Es decir, la divulgación de la información sobre los daños generados por los ciberataques no constituye un riesgo demostrable e identificable al interés público; por lo que limitar el derecho de acceso a la información, en este caso, resulta desproporcionado, pues no se advierte la motivación o daño necesario para resguardar la documentación requerida.
Con base en los argumentos presentados, el Pleno del INAI resolvió modificar, por mayoría, la respuesta de la CNBV y le instruyó elaborar una versión pública del “Reporte de Eventos de Pérdida de Información Administrada a través de Medios Electrónicos”, en donde sólo podrá clasificar los datos personales, el nombre de la entidad financiera que sufrió el ataque, la dirección de las oficinas donde ocurrió el incidente de seguridad informática y los datos de identificación de terceros que administraban la información.