El hackeo al Sistema de Pagos Electrónicos Interbancarios marca un antes y un después en el sector de la ciberseguridad en México. Desde España, la contingencia que afectó al SPEI se observa de la misma forma en la que se observó la crisis del ransomware Wannacry de hace un año, en mayo de 2017.

“Wannacry fue el principio y el final de un modelo de comunicación de los incidentes. Los incidentes tienen mucho tiempo ocurriendo, lo que ha cambiado es que ahora están en los medios y tienen un impacto superior”, dijo Xabier Mitxelena, fundador de S21sec, en entrevista con El Economista durante Infosecurity 2018.

Por eso, en opinión del directivo de esta empresa de ciberseguridad española es necesario que todos nos tomemos en serio la ciberseguridad, máxime si se considera que, de acuerdo con información de S21sec, el gasto para remediar incidentes de seguridad y corregir aquello que los causa a nivel global alcanzará los 6 billones de dólares en el 2019, mientras que la inversión de las organizaciones apenas llegará a 80,000 millones de dólares.

La colaboración es otro ejemplo de lo que debería imitar México de España, ya que de acuerdo con Mitxelena, hasta que se empezó a implementar y modelo de comunicación y de colaboración entre las entidades en España hubo una mayor mitigación de los ataques que sufrían.

En este sentido, para Jorge Osorio, consultor de CSI Consultores en Seguridad de la Información, las entidades financieras deben colaborar entre ellas en materia de ciberseguridad de la misma forma en la que lo hacen para ofrecer sus servicios.

Control de proveedores, la clave

Osorio sostiene una postura similar a la de Mitxelena, acerca de que el incidente que afectó al SPEI y a las instituciones financieras es un parteaguas para la ciberseguridad en México.Para el consultor, este incidente hace evidente que el sistema financiero mexicano no es invulnerable.

“Es como en la película de 300. Cuando Jerjes sangra, sabemos que no es un dios. Ahora sabemos que el SPEI no está completamente blindado”, dijo Jorge Osorio.

El hecho de que haya sido un aplicativo contratado por las entidades financieras el que, de acuerdo con la información difundida por el Banco de México, el origen del hackeo al sistema de pagos interbancarios pone el centro de la atención en compañías que ofrecen este tipo de servicios tercerizados y a los procesos de contratación de las mismas: su estrategia de desarrollo, de aseguramiento de la calidad . 

“Desde que entramos a la era de la digitalización y del Internet las empresas han querido cambiar su modelo de negocio y hemos lanzado el producto sin pensar en las consecuencias, ahora nos hemos dado cuenta que debemos considerar la seguridad desde el mismo desarrollo”, dijo Xabier Mitxelena.

De acuerdo con el consultor de CSI, para mitigar los riesgos a los que expone la contratación de un tercero es necesario que las entidades contraten a proveedores especializados y no generales que a su vez terciarizan otro tipo de servicios, lo que hace que se triangulen los procesos y se amplía la superficie de ataque.

También considera necesario que las empresas cambien continuamente de proveedores y de auditores, con el fin de que no se generen vicios y zonas ocultas en los procesos de TI, que son justamente por donde los ciberdelincuentes pueden entrar. 

También la comunicación

“Faltó comunicación”, dijo Osorio, durante Infosecurity 2018, el evento que reúne a la industria de la ciberseguridad en México. El especialista destaca un grave problema de comunicación por parte tanto del Banco de México como de las entidades financieras afectadas.

“El Banco de México debió haber sacado ya un comunicado en el que al menos defina los montos específicos. Hoy no sabemos el monto exacto del dinero robado. Mucho menos sabemos con certeza si las cuentas de los usuarios fueron afectadas”, dijo Osorio.

Aunque es una buena señal por parte de las autoridades, para el especialista, el anuncio hecho por parte de Banxico acerca de la creación de una Dirección de Ciberseguridad que funcione como un Centro de Respuesta ante Incidentes Informáticos del sector financiero llega tarde y seguramente ya había aparecido en las propuestas al banco central.

“No deberíamos tapar el pozo después de que ya se ahogó el niño. Estoy seguro de que la Dirección de Ciberseguridad creada por el Banco de México es una recomendación que ya se le había hecho y que no había atendido”, dijo Osorio.

rodrigo.riquelme@eleconomista.mx