Después de un mes completo de fallas y problemas, El Banco de México(Banxico, la organización financiera central del país) ha decidido informar, oficialmente, acerca de las razones de estos problemas. Una vez más mencionan que el Sistema de Pagos Electrónicos Interbancarios (SPEI) no ha sido afectado por un ciberataque, sino que fueron cinco participantes del sistema los que sufrieron vulnerabilidades.
PUBLICIDAD
Banxico acepta la existencia de un ciberataque
Los ataques fueron distribuidos y dirigidos hacia instituciones bancarias, casas de bolsa y cajas de ahorro público, todos los cuales están conectados al SPEI. Sin embargo, Banxico insiste que el SPEI no fue atacado, ni presenta problemas. Mencionan también que los recursos de los clientes de estas instituciones financieras (cuyos nombres no fueron dados a conocer) no estuvieron en riesgo en ningún momento, ya que los recursos que fueron extraídos eran parte de los fondos de las instituciones afectadas, que recibieron instrucciones falsas de pagos y transacciones.
De acuerdo a Banxico, durante los ataques se desviaron aproximadamente 300 millones de pesos. Estos recursos provenían de tres bancos, una casa de bolsa, y una caja de ahorro. Sin embargo, Alejandro Díaz de León, gobernador del Banco de México, se rehusó a revelar los nombres de las instituciones que fueron víctimas de este ciberataque. Lo que sí decidió compartir fue que la renuncia de Lorenza Martínez, la directora general de Sistemas de Pagos y Servicios Corporativos del Banco de México, no está relacionado con los problemas actuales, pues desde hace un mes ya estaba en proceso su renuncia voluntaria de la organización.
Indicaron también que si tenían conocimiento de lo que estaba sucediendo, pues el 17 de abril registraron los movimientos fraudulentos en su sistema, pero decidieron solamente monitorear la situación, puesto que no se trataba de una cantidad “tan grande”. Fue hasta el 27 de abril, cuando iniciaron los problemas en los pagos de los clientes, que se detectaron los movimientos de cantidades mucho mayores en una institución grande (posiblemente Banorte o uno de los otros bancos afectados), lo que les llevó a tomar las medidas de seguridad que desconectaron a diversas instituciones del SPEI durante semanas.
Las nuevas medidas de seguridad del SPEI
Aunque el Banco de México ya contaba con una división de ciberseguridad, ha anunciado que tomarán medidas extras para fortalecer los sistemas de pagos. Realizarán revisiones constantes y frecuentes de código y funcionalidad, y adoptaran un esquema de desarrollo seguro de software para poder evaluar constantemente la seguridad de sus aplicaciones.
Ya tienen preparado un nuevo protocolo de emergencia, con el cual desconectarán a una institución financiera del SPEI en cuanto se encuentre una vulnerabilidad para proteger el resto del sistema.
Del lado de los clientes, Banxico ha hecho disponibles una página web que le permitirá al público en general conocer qué instituciones están actualmente conectados al SPEI, así como un registro de actividad dentro del sistema (es decir, cuando realizaron transferencias interbancarias, fecha y hora).
PUBLICIDAD
Tambien crearon otro sitio en donde puedes llevar un seguimiento de tus pagos, para saber si ya fueron procesados por el SPEI o no. Este sitio, en donde necesitaras ingresar los datos de tu transacción, te dará un Comprobante Electrónico de Pago (CEP) para utilizar como confirmación de tus movimientos.
En caso de que tu pago no se haya realizado por el SPEI (por ejemplo, que tu institución hizo uso de un medio alternativo), esta aplicación te dará un mensaje de error. En este caso Banxico recomienda que contactes a la institución responsable.
A exactamente un mes del inicio de las fallas, el comunicado de Banxico llega con un tono insultante para la población, aún guardándose información importante para los clientes, y deslindándose de la culpa. Las medidas que han anunciado son a largo plazo, y al momento de finalizar esta nota, el servicio de las páginas web que han ofrecido es intermitente. Se espera que más información siga llegando al público, aunque por parte de otros medios involucrados con el problema.