Fuente: PROCESO

Tras reconocer que las incidencias que registraron algunos bancos en días pasados sí se debieron a un ciberataque, el Banco de México (Banxico) creó una nueva dirección de Ciberseguridad que, además de fortalecer la seguridad de la información que gestiona, elaborará las disposiciones aplicables en esta materia a los intermediarios financieros.

Dicha dirección tendrá acceso a cualquier tipo de información del Banxico ya sea reservada o clasificada, así como a todas las áreas y sistemas. Dicho acceso no aplicará a la información relativa sobre declaración de situación patrimonial de servidores públicos del Banxico, ni a la referente a los procesos y procedimientos de los servidores.

Los expedientes médicos de los servidores públicos y pensionados del Banco central, así como sus derechohabientes, solo podrán consultarse con autorización previa y por escrito del Gobernador, según se puntualiza en las atribuciones que tendrá la nueva dirección de Ciberseguridad.

Tras el ciberataque detectado en el aplicativo de conexión de algunas instituciones financieras con el Sistema de Pagos Electrónicos Interbancarios (SPEI), el Banxico dio a conocer reformas a su reglamento interior que incluyen modificaciones en su organigrama que conforman las unidades para el desempeño de las funciones encomendadas al gobernador central.

La nueva dirección de Ciberseguridad dependerá junto con la coordinación de la Información y de Sistemas, y la gerencia de seguridad de Tecnologías de la Información, de la dirección general de Tecnologías de la Información del Banxico, a cargo actualmente de Octavio Bergés Bastida.

No hay certeza de afectación económica

Respecto a las posibles afectaciones económicas del ciberataque, el gobernador del Banco de México, Alejandro Díaz de León, afirmó que no se puede afirmar o desmentir si realmente la hubo, pero de ser así, sería “baja y reducida”.

-En audioconferencias, entrevistas y comunicados, el Banxico y la Asociación de Bancos de México (ABM) presidida por Marcos Martínez, aseguraron que el Sistema de Pagos Electrónicos Interbancarios (SPEI) sí fue objeto de un ciberataque pero que ha sido identificado, contenido y “mitigado”, además de que se emitieron medidas para que los afectados puedan disponer de su dinero de manera segura.

“Todo parece indicar, con la información que tenemos al día de hoy, que sí se trata de un ciberataque y que afectó a este aplicativo” (el SPEI), señaló el titular de Banxico en una audioconferencia.

Añadió que el Banxico no puede confirmar si el ciberataque causó una afectación económica por 400 millones de pesos, como ha trascendido en algunos medios por lo que esperará el resultado de la investigación forense y en cuanto tenga mayor certidumbre de lo ocurrido hará un reporte.

En cuanto a los bancos afectados, el funcionario dijo que no le corresponde al Banxico dar esa información hasta que tenga todos los elementos y certeza plena de lo sucedido. Tampoco hay elementos para saber si este ciberataque es de origen nacional o extranjero, dijo.

Díaz de León afirmó que las afectaciones a usuarios solo se refieren a retrasos en algunos días y operaciones con algunas instituciones; “no ha registrado ninguna afectación en ninguna cuenta de ningún cliente”, sostuvo.

No obstante, señaló que el ataque impactó a diversos participantes, no solo a bancos, sino también a casas de bolsa. “Digamos (que afectó a) la cadena de pagos electrónicos, en ese sentido es un ataque de importancia y que por lo menos en el tema de sistemas de pagos no teníamos antecedente”, reconoció.

Esta experiencia, dijo, dejará “un importante aprendizaje” en materia de regulación y supervisión, a fin de reforzar todo el esquema de ciberseguridad del sistema financiero, y “vamos a hacer todo lo posible para minimizar la posibilidad de que haya una recurrencia adicional o una incidencia adicional”.

Medidas tras el ciberataque

Banxico, al igual que la ABM emitieron disposiciones para que los clientes de los bancos puedan disponer de su dinero y mantener la operatividad del sistema de pagos “sobre una base segura”.

En un comunicado, el Banxico refirió que, en el ámbito tecnológico, tomó medidas para que los participantes en los que se detectaron los incidentes, operen por vías alternas y mantengan su capacidad para enviar órdenes de transferencias a la infraestructura del SPEI.

Asimismo, señaló, se han tomado acciones para mitigar las vulnerabilidades detectadas en algunos participantes, además de requerirles establecer elementos adicionales de control para minimizar la probabilidad de que presenten otros incidentes.

En el ámbito operativo, se requirió a los participantes cuyos aplicativos e infraestructura de cómputo para conectarse al SPEI resultaron afectados, “tomar medidas para renovar los elementos de seguridad de sus operadores para autenticarse en los sistemas de pagos operados por el Banco de México”, al tiempo que este instituto amplió y fortaleció el esquema de soporte a todos los participantes del sistema.

En el ámbito regulatorio, indicó que decidió emitir disposiciones que otorguen a las instituciones de crédito y demás entidades que prestan el servicio de transferencias de fondos, espacio para que implementen medidas de control adicionales encaminadas a fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a dichas instituciones, al resto de los participantes y al sistema en su conjunto.

En particular, mediante de la Circular 4/2018, y hasta que el Banxico lo considere conveniente, “los participantes contarán con un día para entregar en efectivo o cheques de caja los recursos correspondientes a transferencias de fondos entre participantes o traspasos al interior de ellos, por montos iguales o superiores a 50 mil pesos”, excepto en aquellos casos autorizados expresamente por los participantes, respecto de cada cliente, con base en sus características y operatividad.

Con esta norma, afirmó el banco central, no se afectará la acreditación de los recursos de las transferencias y traspasos en las cuentas respectivas o su disposición por cualquier otra vía.

Mediante otra circular –5/2018—el Banxico ofreció a los participantes en el SPEI que reciban transferencias de fondos, y que así lo soliciten, autorización para que puedan llevar a cabo las validaciones de dichas transferencias en periodos de tiempo superiores a los establecidos en las reglas aplicables para el abono de los recursos en las cuentas de los clientes beneficiarios (5 o 30 segundos, dependiendo del tipo de participante), hasta en tanto concluyan las automatizaciones de las verificaciones que deben desarrollar.

Por su parte, en entrevista con Radio Fórmula, el presidente de la ABM, Marcos Martínez, indicó que, si bien este será un día complicado por ser día de quincena y por las muchas operaciones que se llevarán a cabo durante el día, no hay riesgo de que los usuarios del sistema bancario se vean afectados en sus recursos.

Admitió que muchos de los clientes verán retrasos en sus depósitos por el sistema alterno que es más seguro, pero más lento, y afirmó que los recursos de los clientes de la banca no han estado en riesgo. “En todo momento los bancos responderán a la confianza de sus clientes”, aseveró.

Mediante un posicionamiento sobre el ciberataque, la ABM señaló que los bancos han atendido “puntualmente” las instrucciones del Banxico de operar en sistemas alternos cuando ha sido necesario y que los mecanismos de contingencia que se han puesto en marcha “han permitido mantener la seguridad de las operaciones, en beneficio de los clientes”.

Añadió que las causas de los atrasos “se están revisando por todos los participantes” y subrayó que hasta no disponer de conclusiones documentadas, no es posible establecer ni su origen ni sus alcances, “pero claramente no han afectado a todo el sistema bancario ni a todos sus clientes”, insistió.