Ciberataques al SPEI pudieron evitarse, pero algunos bancos no cumplieron las reglas
Los recientes ciberataques al sistema de pagos pudieron evitarse.
El 4 de julio de 2017 el Banco de México (Banxico) emitió las reglas del Sistema de Pagos Electrónicos Interbancarios (SPEI) para fortalecer, entre otros aspectos, “los controles en materia de seguridad informática” que debían acatar todas las entidades que utilizaran el SPEI. Pero no todos los participantes las cumplieron.
El ciberataque que causó fraudes por cerca de 300 millones de pesos dado a conocer el pasado 14 de mayo, pudo ser evitado de haberse aplicado las regulaciones que se emitieron, aseguraron fuentes cercanas a la investigación consultadas por Arena Pública y que solicitaron mantenerse en el anonimato.
Sin mencionar los nombres de las instituciones involucradas, el gobernador del banco central, Alejandro Díaz de León, aseguró lo mismo el 16 de mayo cuando en conferencia de prensa transmitida vía streaming dio a conocer los pormenores de los ciberataques que, desde el 17 de abril pasado, se perpetraron a los sistemas de los bancos y otras instituciones del sistema financiero que participan en las operaciones interbancarias que se realizan vía el SPEI.
En el documento denominado “Puntos importantes sobre la situación actual del SPEI” y publicado en la página oficial de Banxico, se asegura que una revisión de las obligaciones enviadas en julio determinó “un nivel de cumplimiento heterogéneo” es decir, desigual. En palabras llanas: No todos los participantes cumplieron las reglas.
Y, adicionalmente, el propio banco central destaca en el documento que parte de la regulación que había sido emitida “se refería a los aplicativos que fueron vulnerados”.
El instituto central dio a conocer que fueron cinco las entidades financieras cuyo sistema de seguridad informático fue vulnerado. Banorte aceptó públicamente ser una de ellas, por el cual tuvo que migrar a un sistema de conexión alterno, protocolo que también se consideró en la circular 14/2017 emitida por el Banco de México el 4 de julio de 2017 y publicada ese día en el Diario Oficial de la Federación.
Sin embargo en su cuenta de Twitter, Banorte le dijo a sus clientes que la falla no era atribuible al banco, sino al SPEI; versión que se divulgó entre los medios de comunicación.
Las disposiciones que emitió el banco central a través de la circular 14/2017 estaba dirigida "a los participantes del sistema de pagos electrónicos interbancarios y demás interesados en actuar con tal carácter"
De acuerdo con la investigación que se ha llevado a cabo, los atacantes buscaron “vulnerar las conexiones de las instituciones con el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes”.
Precisamente las reglas emitidas en julio para todos los participantes del SPEI señalaban que dentro de los requisitos de seguridad informática se debían tener procedimientos “que permitan detectar virus informáticos y códigos maliciosos en la Infraestructura Tecnológica”, así como otros que “permitan administrar las vulnerabilidades de seguridad informática”.
"Las reglas del banco central no fueron acatadas por todos los participantes del SPEI por lo que los ciberataques recientes pudieron ser evitados; aunque eso no quiere decir que se tenga la certeza de que todos los ataques de los hackers pueden ser eliminados", comentó una fuente consultada.
Se espera la aplicación de sanciones a los bancos e intermediarios financieros que no acataron las reglas del banco central, una vez concluida la investigación y fincadas las responsabilidades por las autoridades.
Las acciones y reglas que ha implementado el Banco de México no son nuevas porque México es el segundo país de América Latina que más ciberataques recibe después de Brasil de acuerdo con un estudio publicado en diciembre de 2016 por la consultora especializada en riesgo Control Risks. Una situación que también tiene que ver con el tamaño de su sistema financiero y el alto incentivo que tienen los defraudadores cibernéticos para lanzar sus ataques.
Pero México también es uno de los países mejor preparados para esta clase de ataques. En 2017 fue ubicado en la posición 28 de entre 166 países analizados por la Unión Internacional de Telecomunicaciones en su Índice de Ciberseguridad Global.
México obtuvo una calificación de 0.66, una muy cercana a la obtuvieron países como Bélgica, Irlanda y Alemania, que obtuvieron 0.67.
De acuerdo con un reporte del impacto económico en cibercrimen de McAfee y el Centro para Estudios Estratégicos e Internacionales publicado en enero 2018, a nivel mundial se estima que solo en 2017 el cibercrimen costó alrededor de 445 mil millones de dólares (8.7 billones de pesos a tipo de cambio de 19.75 pesos por dólar), casi 30 mil veces la cifra estimada por los fraudes cometidos durante abril y mayo a los bancos que operan en México.
MÁS INFORMACIÓN: Circular 14/2017, Reglas del Sistema de Pagos Electrónicos Interbancarios (SPEI), 4 de julio de 2017, Banxico.
MÁS INFORMACIÓN: Puntos importantes sobre la situación actual del SPEI.
MÁS INFORMACIÓN: Evento relevante, Banorte, 15 de mayo de 2018.
MÁS INFORMACIÓN:Índice de Ciberseguridad Global. 2017.
MÁS INFORMACIÓN: impacto Económico en Eibercrimen, McAfee y el Centro para Estudios Estratégicos e Internacionales, 2018.