Ciberataque no ha concluido: Banxico

La cifra preliminar involucrada en los envíos irregulares es de 300 millones de pesos, de acuerdo con la institución financiera.

La cifra preliminar involucrada en los envíos irregulares y sujetos a revisión, tras el ataque cibernético, es de 300 millones de pesos.
 La cifra preliminar involucrada en los envíos irregulares y sujetos a revisión, tras el ataque cibernético, es de 300 millones de pesos.  (Foto: iStock)

El gobernador del Banco de México, Alejandro Díaz de León, reconoció que no se puede concluir aún que ya terminó el ciberataque del que fueron objeto cinco instituciones financieras desde el 17 de abril.

En conferencia de prensa, indicó que la experiencia internacional muestra que tienen que pasar hasta seis meses para determinar si el aplicativo vulnerado no tiene un programa latente que pueda proceder de nuevo, en una segunda fase del ataque.

Precisó que la cifra preliminar involucrada en los envíos irregulares y sujetos a revisión, tras el ataque, es de 300 millones de pesos.

Aseguró que “esta cantidad no es menor”, porque sí ha terminado afectando a los usuarios finales, al limitar la agilidad del sistema financiero. Por eso mismo, sostuvo que se están tomando con toda responsabilidad las medidas que permitan remediarlo a la brevedad.

Además, dejó claro que habrá sanciones a los bancos que incumplieron con las normas de seguridad, si es que se demuestra que no contaban con un servidor dedicado para la operación del aplicativo o programa de conexión con el Sistema de Pagos Electrónicos Interbancarios (SPEI).

“Si el aplicativo residía en un servidor no dedicado o si tenía una actividad inferior a la establecida, es claro que no sólo el proveedor es responsable, sino también el participante”, detalló.

LEE: MÉXICO MEJORA EN EL ÍNDICE DE CIBERSEGURIDAD GLOBAL

Un servidor dedicado es un equipo informático físico que destina todos sus recursos a proporcionar información o atender las peticiones de otros clientes. Cuando el gobernador se refiere a un participante, se refiere a una institución del sistema financiero.

Proveedores e instituciones, corresponsables


También precisó que el alcance del banco central para regular y observar es el de los participantes del sistema, por lo que no es de su injerencia revisar o vigilar la actuación de los proveedores del aplicativo. Pero admitió que “sí hemos señalado a las instituciones financieras de la conveniencia de revisar los contratos con los proveedores, de manera que les puedan repercutir algún tipo de incumplimiento”.

El banquero central se comprometió a presentar un reporte completo de la génesis del evento, su evolución y conclusiones, una vez que cuenten con los dictámenes de los análisis forenses que están llevando a cabo sobre las instituciones con incidentes.

Inyectaron instrucciones fraudulentas


En lo que ha sido la segunda conferencia de la semana dictada por el propio gobernador para presentar la actualización de los incidentes que afectan al funcionamiento del SPEI, explicó que el primer incidente, que se presentó con este tipo de mecánica operativa, se registró el 17 de abril.

Pero la escala del evento no tenía los elementos suficientes para arrojar con claridad la magnitud de lo que estaba presentándose, observó.

El siguiente momento, que fue el que identificó como “el hito” que motivó una reacción a mayor escala, se presentó el 27 de abril, “viernes de quincena” cuando reconocieron que se trataba de otro tipo de ataque y era mucho más que una incidencia operativa de difícil identificación.

Expuso entonces que con las averiguaciones que llevan hasta ahora, pueden decir que “los atacantes, que buscaron vulnerar a las instituciones, les inyectaron instrucciones de pago fraudulentas, a partir de cuentas inexistentes, afectando la cuenta transaccional en el SPEI”.

Pero ninguna de estas cuentas pertenecía a clientes finales, detalló.

La puerta vulnerada


Precisó, incluso en un diagrama de operación del SPEI, que la fase donde se perpetró el ilícito, se encuentra en el cuarto paso que sigue a la instrucción del cliente del envío de un pago.

Luego del inicio del flujo, “el participante autentica y valida la identidad del cliente; verifica que cuenta con los fondos suficientes para la operación. Y es cuando prepara la instrucción para el pago y envío al SPEI, donde el proceso fue vulnerado”.

El gobernador enfatizó que el SPEI no ha sido afectado, ni ha sido objeto de ataque y aseguró que opera de forma eficiente desde su creación.

Presentan micrositio


En la conferencia, el banquero central puso a disposición del público un micrositio con información de la situación que guarda la operación del SPEI.

Informó que los clientes pueden consultar el estado de sus pagos particulares en el link: Banxico.org.mx/cep/.

Explicó que la estrategia de ciberseguridad del Banco de México “parte del principio de que para mantener la confianza del público en el sistema financiero y en los sistemas de pagos es crucial garantizar la seguridad de sus sistemas”.

Puntualizó que el banco central ha adoptado procesos de gestión de vulnerabilidades y de incidentes “y cuando ha sido necesario, ha recurrido a servicios de evaluación de seguridad de parte de expertos”.

Si bien la conferencia de Díaz de León se presenta a un mes del evento, aseguró que la ciberseguridad es un tema de primera importancia para el banco central desde el 2013.

Por último, el gobernador confirmó que la directora general de Sistema de Pagos y Servicios Corporativos del Banxico, Lorenza Martínez Trigueros, había pedido su separación al cargo desde hace aproximadamente un mes, el cual se hará efectivo el próximo viernes.

Con información de El Economista