La Comisión Nacional de Valores (CNV) reforzó sus políticas de ciberseguridad desde el ataque sufrido en junio pasado, amplió por segunda vez la denuncia penal en razón de la difusión de la información robada en redes sociales y suma herramientas tecnológicas y procedimientos en la materia bajo estándares internacionales. El objetivo es robustecer el proceso de mejora permanente para el resguardo de datos e información de personas, empresas u operaciones financieras que se encuentran protegidos por la legislación vigente.

Tal como fue comunicado en el sitio web del organismo y mediante los medios de comunicación, el 12 de junio pasado, la CNV denunció ante la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) el ataque informático detectado cinco días antes. En esa comunicación se aclaró que, pese al ataque, se logró conservar la totalidad de la información de sus sistemas gracias a las acciones de prevención llevadas adelante por el organismo. Eso posibilitó una restitución rápida de los servicios.

El ataque –que logró vulnerar las previsiones tomadas por la CNV- siguió parámetros similares a los sufridos por otras instituciones en el país y el mundo, tanto públicas como privadas.
A partir de la primera denuncia, la CNV fue aportando la información requerida por la Fiscalía y ampliando la denuncia en cuanto surgieran nuevos elementos de análisis. Además, se notificó del incidente a la Agencia de Acceso a la Información Pública (AAIP). Una vez finalizada la investigación interna, la CNV adoptará las medidas que estime pertinentes en el marco de lo dispuesto por la Resolución AAIP 47/2018.

Asimismo, en el marco de un Plan en desarrollo se pusieron en marcha acciones asociadas a infraestructuras críticas, licitación de auditorías externas en materia de testeo de vulnerabilidades, fortalecimiento de programas de capacitación y actualización obligatorios, planificación de mecanismos de coordinación y seguimiento junto con otras áreas de gobierno especializadas, entre otros puntos.

En tanto, tras actualizar la evaluación del material objeto del ransomware, se concluyó que fueron afectados fragmentos de discos internos de uso del personal profesional de CNV, que contienen información personal de los mismos, así como archivos de trabajo que incluyen información sobre la actividad y de registro de sujetos regulados e inversores. En este sentido, se pone a disposición de las y los potenciales afectados un correo electrónico ([email protected]) a fin de poder realizar consultas.
En la medida que se considere pertinente, se actualizará por esta vía la información relativa al incidente, la investigación penal y las acciones de la Comisión Nacional de Valores sobre el particular.