El Banco de México (Banxico) no ha encontrado aún evidencia de que el problema presentado en tres instituciones de crédito con su conexión con el Sistema de Pagos Interbancarios (SPEI) tenga que ver con un hackeo. Pero tampoco lo descartan.

Queda claro que a quienes intentaron hacer uso del Sistema de Pagos Electrónicos Interbancarios (SPEI), aprovechando la infraestructura TIC de distintos bancos, durante el fin de semana del 27 al 30 de abril, la experiencia que tuvieron no les brindó confianza y mucho menos tranquilidad. Las redes sociales daban una idea del caos que estaban viviendo muchas personas que no sabían en dónde había quedado el dinero que transfirieron para pagar su nómina —y ya imaginaban las explicaciones que tendrían que dar a sus empleados— o esos mismos empleados que, de buenas a primeras, se quedaron sin recibir su quincena a tiempo.

Frente a las diversas conjeturas que derivaron en la conclusión de que las intermitencias en las transacciones SPEI en estos tres bancos se habían debido a un ciberataque, la directora general de Sistemas de Pagos del Banco de México, Lorenza Martínez Trigueros, reconoció que “no se cuenta con evidencia suficiente para concluir o descartar (un hackeo)”, pese a que “algunas instituciones financieras que no tenían información completa emitieron comentarios incorrectos a los usuarios sobre el origen del incidente”.

La directiva reconoció que la lentitud en las transferencias a través del SPEI se mantendrá “unos días más”, mientras se siga operando el aplicativo de contingencia diseñado por el Banco de México, que incluso opera manualmente y que garantiza la fluidez de las transacciones electrónicas.

FALTA GOBERNANZA

La coordinación es un elemento clave de la ciberseguridad. Según el tercer eje transversal de la Estrategia Nacional de Ciberseguridad (Encs), la política pública en materia de seguridad informática de la administración federal de México, la coordinación y colaboración entre instituciones públicas, academia, sociedad civil y organizaciones privadas tienen “la finalidad de consolidar el ecosistema de ciberseguridad y obtener la capacidad (...) para establecer los mecanismos preventivos, proactivos y reactivos que brinden confianza y tranquilidad a la población en el uso y aprovechamiento de TIC”.

Entre las acciones establecidas en la Encs, para fortalecer la coordinación y colaboración están aquellas que definen y aplican el modelo de gobernanza de ciberseguridad para compartir información y mejores prácticas.

La ausencia de este modelo de gobernanza fue, en buena medida, el causante de que la única información que recibieron los clientes de las entidades bancarias involucradas haya sido un comunicado del Banco de México que reveló la existencia de “incidentes en la operación de tres participantes en el SPEI”.

Apenas en octubre del 2017, autoridades financieras presentaron una política pública en la materia para atender de forma exclusiva al sistema financiero mexicano. Dicha estrategia incluía aplicar  mecanismos seguros para el intercambio de información y la colaboración en proyectos para fortalecer los controles de seguridad del sector financiero.

En opinión de René Hernández, especialista en ciberseguridad de Netscout Arbor, las propuestas de colaboración en ambas políticas públicas contradicen lo ocurrido los últimos días, pues se evidenció la falta de información que afectó los tiempos de respuesta de las instituciones. “Las medidas de contingencia no se dieron en los mejores tiempos de respuesta”, dijo.