La seguridad del sistema financiero mexicano está en riesgo. La Bolsa Mexicana de Valores (BMV) opera con una vulnerabilidad “muy crítica” en sus servidores, que, a pesar de haber sido reportada hace aproximadamente un mes por investigadores de ciberseguridad, permanece sin un parche de seguridad, exponiendo la infraestructura a una potencial explotación.
Así lo confirmó David González, security researcher de ESET, en una sesión con medios en el marco del Foro ESET 2025, llevado a cabo en Punta del Este, Uruguay, en el que Publimetro México estuvo presente.
La escalada del riesgo: de alto impacto a crítico
Durante una demostración de seguridad basada en un ciberataque previo que ya había afectado a la institución, ESET analizó la infraestructura de la BMV y descubrió graves fallas en los sistemas.
El hallazgo más preocupante fue la existencia de una “vulnerabilidad muy crítica dentro de los servidores de la Bolsa Mexicana de Valores”. González Cuautle explicó que esta falla compromete “el acceso a los servidores”.
Los controles implementados por la institución financiera fueron clasificados como “muy deficientes”. Esta debilidad es lo que exacerba el peligro. El experto detalló que, aunque la vulnerabilidad se clasificó inicialmente como de “alto impacto”, si la BMV no aplica parches o actualizaciones, el riesgo podría escalar rápidamente.
“Si no tienen algún control... puede pasar de un de un alto impacto a un crítico”
— David González Cuautle, investigador de ESET
La vulnerabilidad fue reportada a un representante de la Bolsa Mexicana de Valores durante un webinario y una demostración de ESET. Aunque no se ha detectado un exploit público —es decir, un código o método que aprovecha una falla de seguridad para ejecutar un ataque—, la falla sigue representando un riesgo alto. Si alguien dedica el tiempo y el análisis suficientes, podría explotarla para comprometer los sistemas de la bolsa.
El precedente de la IA: clonación del director general
Esta vulnerabilidad crítica se enmarca en un contexto donde la BMV ya ha sido blanco de ataques de ingeniería social altamente sofisticados, potenciados por la Inteligencia Artificial (IA).
González Cuautle recordó un incidente en el que el exdirector de la Bolsa Mexicana de Valores, José-Oriol Bosch, fue víctima. Los cibercriminales utilizaron la imagen del directivo, combinada con IA, para invitar a las personas a invertir en una aplicación fraudulenta.
Para su demo, ESET replicó la amenaza. Utilizando la foto y la voz del directivo, y pidiendo a otra IA que generara “un guion que suene que tenga este carácter de alguien relacionado a finanzas”, lograron crear un video que invitaba a descargar una aplicación de inversión falsa (“Inversión Flex”). El proceso de generación de este contenido sintético y convincente fue asombrosamente rápido.
“Yo, por ejemplo, tardé 15 minutos en generar este video”, reveló el investigador.