Banxico y el ataque al sistema bancario

1. El día cero

El día 27 de abril de 2018 diversos cuentahabientes reportaron retrasos en la recepción de pagos y transferencias realizadas a través del Sistema de Pagos Electrónicos Interbancarios (SPEI), era fin de semana de quincena en México, lo que implicaba que el número de operaciones financieras que normalmente rondan en los dos millones se
incrementaría en un 300%.
En un primer momento, el Banco de México informó que había existido un intento de vulnerar el sistema SPEI, instaurado en el año 2004 para acelerar las transacciones interbancarias, y que para mitigarlo se habían implementado planes de prevención al instruir a las instituciones bancarias a conectarse a la red bajo “esquema de contingencia”.

 

Sin embargo, no existía explicación concreta sobre los hechos y los alcances de este supuesto intento de ataque cibernético.
Por su parte los usuarios seguían presentando quejas sobre retraso en el depósito de las nóminas, dificultades para acceder a las cuentas en línea o la imposibilidad de realizar transferencias electrónicas.

Algunas fuentes no oficiales señalaban que se trataban de incidentes previos a un ataque mayor, que los bancos estaban siendo víctimas de un temido “ataque cibernético”, sin embargo, los vacíos de información del Banco de México eran una realidad.

2. Dos semanas de silencio e incertidumbre

Desde el 27 de abril y hasta el 14 de mayo las autoridades financieras mantuvieron una actitud hermética y de total opacidad sobre lo que realmente había ocurrido durante las intermitencias registradas en el Sistema de Pagos Electrónicos Interbancarios (SPEI).

En términos de comunicación, el silencio es el peor error que se puede tener durante una crisis. Da pie a la incertidumbre y que este vacío genera rumores, especulaciones y desconfianza hacia las autoridades financieras y en general al sistema financiero de nuestro país.

Comenzaron a surgir las fuentes anónimas y de algunos medios de comunicación, que, a cuentagotas, dieron detalles sobre un hackeo al sistema bancario, además confirmaban una reunión de urgencia convocada por el banco central para informar a los clientes de LGEC y Apesa, dos de los proveedores del servicio de conexión a SPEI que tuvieron
problemas; que serían desconectados y enviados a operar por el canal alterno. Sin embargo, no había detalles de cuántas instituciones habían sido afectadas, el volumen del daño monetario y en qué consistían las fallas detectadas.

“El hackeo no fue dirigido al Sistema de Pagos Electrónicos Interbancarios (SPEI), sino a las aplicaciones o plataformas con las cuales las instituciones financieras se conectan al SPEI”: Forbes

El 13 de mayo nuevamente se detectaron vulnerabilidades en los servicios de un proveedor que enlazaba a los bancos con el Sistema de Pagos Electrónicos Interbancarios, por lo que Banxico obligó a los bancos a aplicar un procedimiento de emergencia denominado “Cliente de Operación Alterno SPEI”, con lo que las operaciones bancarias serían más lentas, pero se elevaría la seguridad del sistema.

3. Se revela el “hackeo a la banca mexicana”

Fue hasta el 14 de mayo, cuando el periódico El Financiero reveló que se trataba de un hackeo y que durante los ataques realizados en abril se habría registrado un robo por alrededor de 400 millones de pesos, según AMB. Por su parte las autoridades de Banxico mantenían una postura de que el sistema SPEI no había sido vulnerado que se trataba de un ataque directo al sistema que los bancos tienen con sus proveedores.
Pero, ¿cómo se orquestó este robo multimillonario? De acuerdo con expertos de la industria, los hackers enviaron órdenes para mover montos que iban de miles hasta cientos de miles de pesos a cuentas falsas en otras entidades bancarias, las cuales vaciaron a través de retiros de efectivo directamente en las sucursales. Un procedimiento
complejo y que sin duda implica la participación de un grupo considerable de personas.

El martes 15 de mayo, finalmente Banxico admitió que el SPEI había sido víctima de un ciberataque, sin embargo, fue un mensaje poco claro y sin revelar cifras exactas sobre el monto sustraído de sistema. Pero garantizó que el dinero de los cuentahabientes estaba protegido e intacto. Pues el capital nunca se sustrajo de cuentas personales, sino
directamente del banco central, y un aspecto importante es que las empresas bancarias cuentan con seguros que cubren precisamente los ataque cibernéticos lo que evitaría cualquier perdida directa.

A partir de esta admisión, se dieron a conocer nuevas medidas y protocolos de seguridad que se implementarían para las transacciones SPEI, además se informó que la Procuraduría General de la República iniciaría una investigación sobre el ciberataque que habría afectado varios bancos.

Las medidas implementadas tras el ataque son dos básicamente: Transferencias lentas, pues los bancos tuvieron que mudarse a un sistema alternativo al SPEI, el cual, si bien es más seguro, es más lento. Y en transferencias mayores a 50,000 pesos deberán ser validadas por los bancos y para retirarlas deberá esperar el cuentahabiente 24 horas
posteriores a la transacción.

Por su parte la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) informó que las fallas en SPEI se habían extendido a entre 18 y 20 entidades financieras, pero que el dinero de los usuarios estaba seguro, pues es una obligación de los bancos cuidar de ese capital y que en caso de que una trasferencia enviada llegará a otra parte, el dinero tendría que ser repuesto por la entidad financiera.

4. Una historia lejos de terminar

Vivimos en un entorno vulnerable, la confianza de los mexicanos hacia las instituciones se encuentra en los niveles más bajos. La falta de transparencia es un reclamo unísono de la población, por lo cual los vacíos informativos y la falta de claridad en este ataque ha desencadenado incertidumbre y grandes rumores de la población que en ocasiones no
entiende lo que ha sucedido.

Es necesario esperar los informes forenses, auditorías y resultados de la investigación oficial que se realizará en los próximos meses. Se tendrán que implementar mecanismos de control que permitan revisar de manera constante los protocolos de las empresas vinculadas al sistema financiero.

Por otra parte, el día de ayer, Lorenza Martínez, directora general de Sistema de Pagos y Servicios Corporativos del Banco de México renunció al día siguiente que el Banco de México aceptó el hackeo multimillonario lo que generó mayor incertidumbre sobre el origen e intereses vinculados a este hecho.

Los ataques cibernéticos han aumentado en los últimos años, cada día es más visible la vulnerabilidad de las plataformas digitales, sobre todo en un entorno en el que el internet permite la conectividad inmediata.

En términos de comunicación, es necesario reevaluar la manera de actuar de las instituciones para evitar vacíos informativos. Hay una norma que dice: “debes ser el primero en hablar del tema que te ataca, porque si no alguien más lo hará y quizá no sea de la mejor manera”.

Artículo por http://ascencio.com.mx/