Como concepto general, suele describirse a las infraestructuras críticas y áreas estratégicas como aquellos activos físicos (instalaciones, redes, suministros y servicios) y tecnológicos (tecnologías de la información y la comunicación) cuya interrupción o destrucción (física, tecnológica o cibernética), debido a fenómenos naturales o por la acción humana, impactaría en la seguridad, la confianza y la tranquilidad de las personas y las comunidades, además de poner en entredicho la eficacia y la operación de las autoridades gubernamentales de un país.
En el caso de México, la Constitución Política establece en una parte de su artículo 25 que el Estado velará por la estabilidad de las finanzas públicas y del sistema financiero en su conjunto, coadyuvando a generar condiciones favorables para el crecimiento económico. Y también señala que el sector público tendrá a su cargo las áreas estratégicas. Estas corresponden, según el artículo 28, a las siguientes áreas: correos, telégrafos y radiotelegrafía, minerales radiactivos y generación de energía nuclear, energía eléctrica, explotación y extracción de petróleo, la comunicación vía satélite y los ferrocarriles. Apunta el mismo ordenamiento que el Estado tendrá un banco central autónomo, que para el caso se trata del Banco de México, cuyo objetivo prioritario será procurar la estabilidad de la moneda local, fortalecer el desarrollo nacional y, por extensión, emitir diversas disposiciones hacia el sistema financiero.
En otro ordenamiento legal, la Ley General del Sistema Nacional de Seguridad Pública, se describen sucintamente en los artículos 146, 147 y 148 qué se consideran instalaciones estratégicas y qué autoridades coadyuvarán en su protección, vigilancia y seguridad perimetral para garantizar su integridad y operación, así como la creación de un grupo de coordinación interinstitucional para analizar la protección de dichas instalaciones.
¿Qué son las ‘fintech’?
Retomando el artículo 25 constitucional, cabe destacar que el sistema financiero es un sector estratégico en la mayoría de los países debido a su relación con la economía nacional. Por lo tanto, debe protegerse para que no sea utilizado como vehículo del crimen organizado.
Este ensayo visibiliza el fenómeno económico de las crecientes startups con enfoque financiero, más conocidas como fintech, que están empezando a revolucionar una parte de la economía de varias naciones, en este caso la de México.
La irrupción de las fintech –del inglés financial technology (tecnología financiera)–, empresas creativas que actúan en el ámbito de las finanzas y que se caracterizan por su fuerte componente tecnológico, están introduciendo innovaciones disruptivas debido a una utilización por los usuarios de dispositivos móviles, Internet y redes sociales que impacta en los tradicionales servicios bancarios. Y emergieron en el año 2008 al materializarse el riesgo reputacional tras la pérdida de imagen y confianza hacia la banca que desencadenó la crisis hipotecaria global en los mercados financieros por las hipotecas basura.
Al tratarse de empresas de nueva creación, las fintech nacen con estructuras esbeltas y modelos de negocio adaptados a las nuevas circunstancias que está demandando el mercado: agilidad, flexibilidad, comodidad, privacidad, seguridad, bajos precios… Pero, sobre todo, aprovechando los pilares básicos de las tecnologías de la información y la comunicación en la actualidad: la nube (cloud), el big data y la analítica, las redes sociales y la movilidad.
Medidas de fortalecimiento
México aspira a generar una cultura fintech y a convertirse en la capital de este sector en Latinoamérica mediante una ley que promete ser de las más completas del mundo. Esta norma legal, además de promover una competencia justa en el sector fintech, preservar la estabilidad financiera y brindar confianza y seguridad a los clientes, tiene como consideración importante proteger las operaciones contra el lavado de dinero y la financiación del terrorismo, contemplando la implementación de un enfoque basado en el riesgo como sugieren las mejores prácticas de prevención y control, sobre todo teniendo en cuenta que se transitará del clásico enfoque de Know your customer (Conozca a su cliente) al de Know your data (Conozca sus datos).
El sistema financiero mexicano impulsará cinco principios básicos para fortalecer la ciberseguridad en el ámbito de las fintech:
- Adoptar y mantener políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciberseguridad.
- Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades e impulsar investigaciones y estudios que permitan a las entidades anticipar acciones para aminorar los riesgos de los ciberataques.
- Promover iniciativas para actualizar marcos regulatorios y legales que den soporte y hagan converger acciones y esfuerzos de las partes, considerando mejores prácticas y acuerdos internacionales.
- Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros del país.
- Fomentar la educación y una cultura de prevención y ciberseguridad entre los usuarios financieros y el personal de las propias entidades.
Acción estratégica
Un tema medular es la evaluación de la honestidad de los integrantes de una fintech. La implementación de una política de control de confianza y de filtros de probidad debiera ser parte del primer esfuerzo para fortalecer la prevención y la seguridad internas.
El sistema financiero mexicano impulsará cinco principios básicos para fortalecer la ciberseguridad en el ámbito de las ‘fintech’
En materia de ciberseguridad para las fintech, además de la conveniencia de realizar pruebas de penetración en la red y la plataforma tecnológica donde operen, es imperativa la concienciación de todos sus colaboradores para complementar la prevención temprana de fraudes por robo de identidad y de ataques con malware como el phishing y el ransomware, así como aplicar una detección proactiva y en tiempo real de planes sofisticados de fraude entre los canales móviles y el entorno web.
Un conocimiento adecuado de modalidades de ingeniería social cometidas a través de cuentas de correo electrónico, conversaciones telefónicas en los contact centers e incluso visitas personales de supuestos prospectos o clientes a las propias oficinas donde opera una fintech es una medida preventiva eficaz que complementa acciones de autenticación sobre la identidad de las personas.
Las fintech son una industria naciente pero en un proceso evolutivo constante donde las empresas usan las tecnologías de la información y la comunicación con la meta de brindar servicios financieros de manera eficiente, ágil, cómoda, accesible, confiable y segura, de tal forma que para mitigar y evitar riesgos y amenazas de naturaleza criminal, lo imperativo es la gestión y el tratamiento de dichos riesgos y amenazas poniéndolos en el radar de especialistas que contribuyan con sus conocimientos, experiencia y buenas prácticas en la aplicación de las triadas prevenir-detectar-responder y proteger-defender-anticipar. Esto es parte también de la asignatura que conforma la ciberseguridad, pero desde la perspectiva de tareas analíticas en el campo de la ciberinteligencia.
Además de innovar y mantener una buena madurez tecnológica, el sector fintech debe también desarrollar una madurez organizacional para la prevención del fraude y la ciberseguridad. No sólo es importante tener unas apropiadas infraestructuras inmobiliaria y tecnológica; además, como imperativo, se ha de poseer una efectiva infraestructura ética que esté acorde con la protección de lo que se espera de cualquier sector que forme parte de una infraestructura crítica.
