• La “Ley para regular las Sociedades de Información Crediticia” faculta a la CNBV a supervisar y regular a las SIC, con relación al intercambio de información crediticia entre estas y las Entidades Financieras.
  • Adicionalmente, la CNBV emitió en enero de 2015 las Disposiciones de carácter general para regular el servicio de valoraciones numéricas prestado por las sociedades de información crediticia, las cuales incluyen en su Capítulo V las medidas de seguridad de la información en las SIC. Particularmente establece la obligación de contar con medidas para proteger sus sistemas informáticos o plataformas tecnológicas que utilizan para sus procesos y prestación de servicios, incluyendo controles específicos para la protección de la información, como controles de acceso, cifrado de información, seguridad física y respaldos de información. También se establece la obligación de realizar pruebas para detectar vulnerabilidades, al menos, anualmente.
  • El 19 de diciembre de 2022, Buró de Crédito informó a la Comisión respecto de la venta de una base de datos en la Deep web (internet oculta). Cabe señalar que el Buró identificó la venta en 2022, pero la base de datos corresponde a 2016.
  • En cuanto tuvo conocimiento del incidente, la Comisión activó el protocolo de seguimiento y monitoreo de manera inmediata, en particular:
    • La Comisión requirió información detallada a la SIC Buró de Crédito, a fin de conocer a detalle, las causas del incidente y a partir de esto, determinar las acciones correspondientes
    • La Comisión en conjunto con el Banco de México han dado seguimiento continuo a los hallazgos y acciones realizadas por Buró de Crédito.
    • La Comisión y el Banco de México han procurado en todo momento la protección de la seguridad tanto de las entidades del sistema financiero relacionadas con esta SIC, como de los clientes finales, pertenecientes estos últimos a la población en general.
  • En cuanto Buró de Crédito tuvo conocimiento del incidente, contrató a una empresa especializada en ciberseguridad para evaluar sus sistemas informáticos. La empresa concluyó que los sistemas actuales no han sido vulnerados. Sin embargo, no se puede descartar que la vulneración pudiera haberse realizado desde 2016 hasta antes del sistema utilizado actualmente.
  • La CNBV y el Banco de México mantienen comunicación y monitoreo constante con la SIC Buró de Crédito, con el objetivo de dar seguimiento a las acciones implementadas por esta, para proteger la seguridad de la Información y evitar futuros incidentes que pongan en riesgo los datos personales y financieros de las y los usuarios de servicios financieros.
  • La Comisión, en apego a sus facultades, el 26 de enero de 2023 dio inicio a una Visita de Inspección Especial realizada por la Dirección General de Supervisión de Participantes en Redes y la Dirección General de Supervisión de Seguridad de la Información, misma que estima sea concluida el 3 de marzo de 2023, con la finalidad de:  
    • Evaluar el sistema de control interno que tiene implementado la Sociedad de Información Crediticia en materia de resguardo, seguridad física y logística de la información que reside en sus bases de datos, al igual que la seguridad en las comunicaciones que tiene la Sociedad con los distintos sujetos con lo que interactúa, es decir Usuarios, otras Sociedades de Información Crediticia, Clientes, Autoridades, proveedores de servicios, entre otros.
    • Identificar y evaluar los controles en materia de seguridad de la información implementados en la infraestructura tecnológica de la SIC, así como la existencia y la aplicación de las políticas de seguridad de la información, que coadyuven a garantizar la disponibilidad, confidencialidad e integridad de la información tanto de la propia Sociedad como la de los distintos sujetos con los que interactúa.
  • La CNBV dará seguimiento a la implementación de las acciones que pudieran resultar de la visita de investigación, y ejecutará las acciones correctivas y actos de autoridad que, de acuerdo con las facultades, pudieran resultar.

Cabe señalar que el Buró de Crédito tiene como funciones proporcionar información crediticia a los clientes finales que tienen o solicitan créditos y a las entidades oferentes de crédito, así como recabar de estas últimas la información crediticia de los clientes finales.

La CNBV refrenda su compromiso de supervisar y regular a las entidades integrantes del Sistema Financiero en México, a fin de procurar su estabilidad y correcto funcionamiento.

Para cualquier precisión sobre este tema, ponemos a su disposición el correo de la Vicepresidencia Técnica: participantesenredes@cnbv.gob.mx