"La infraestructura del SPEI ha mantenido su operación de manera normal y en ningún momento ha estado en riesgo", explicaron en un comunicado conjunto el Banco de México, la Secretaría de Hacienda y Crédito Público y la Comisión Nacional Bancaria y de Valores.

De acuerdo con estas entidades, las fallas presentadas en las transferencias electrónicas de tres instituciones bancarias a través de este sistema se debieron a que estas utilizaban un aplicativo provisto por un tercero, un proveedor externo.

Las instituciones bancarias migraron a un esquema de conexión alterno provisto por el Banxico, lo mismo que aquellos participantes del sistema SPEI que también usaban el aplicativo pero que no sufrieron afectaciones.

“La implementación de las acciones mencionadas ha generado retrasos en los tiempos de envío y acreditación de transferencias electrónicas vía SPEI, que pueden incidir en el servicio a clientes de instituciones financieras no directamente afectadas por el aplicativo en cuestión”, refiere el comunicado.

El viernes pasado, mientras los usuarios de Banorte, Citibanamex y Banco del Bajío protestaban en redes sociales porque sus transacciones a través del sistema SPEI de estas instituciones no se reflejaban en la recepción del dinero, el Banco de México publicó un comunicado de prensa en el que informó que se habían registrado “incidentes en la operación de tres participantes en el Sistema de Pagos Electrónicos Interbancarios (SPEI) que pudieron haber afectado el servicio de transferencias electrónicas de fondos de dichas instituciones con sus clientes”.

Entonces, el banco central no dio el nombre de las instituciones bancarias involucradas, lo mismo que ahora, y tampoco explicó de qué se trataban dichos incidentes. Se limitó a explicar que los “participantes involucrados” mantendrían su conexión con el sistema SPEI bajo un esquema de contingencia, lo que haría que las transacciones fueran más lentas, lo mismo que la recepción de recursos de otras instituciones financieras.

“Se mantendrá el esquema de operación alterna hasta que se implementen las soluciones correspondientes”, refiere el comunicado conjunto dado a conocer este lunes 30 de abril.

Sin certeza sobre ciberataque

Ambos comunicados, tanto el del Banxico del viernes, como el del banco central en conjunto con la SHCP y la CNBV, difundido este lunes, enfatizan que no existen indicios de que se hayan afectado recursos de los usuarios de las instituciones bancarias afectadas, “ni la salud financieras de las mismas” y añaden que las transferencias electrónicas procesadas a través del SPEI y del resto de los sistemas de pagos a cargo del banco central son un medio seguro para realizar pagos.

De acuerdo con René Hernández, especialista en ciberseguridad de Netscout Arbor, no hay suficiente información para afirmar que lo ocurrido supone un ataque de denegación de servicio (DDoS) en contra del sistema de transferencias electrónicas SPEI. Para el experto, el problema reside en los tres participantes referidos por el banco central.

“Esto no significa que el Banco de México haya sido víctima de un ataque de denegación, ya que esto habría dejado fuera de servicio a toda la banca”, dijo René Hernández.  

El que la afectación haya sido focalizada en el aplicativo provisto por un tercero a Citibanamex, Banorte y Banbajío confirma lo expuesto por el especialista en seguridad cibernética, quien añadió que esto expone un riesgo latente de este tipo de incidentes, que es que los ciberdelincuentes utilizan estos eventos como distractores para ocasionar un impacto mayor, como puede ser el comprometer los sistemas de estas entidades bancarias.

Hernández concluyó, sin embargo, que es muy poca la información con la que se cuenta hasta el momento sobre este evento y que sólo las instituciones bancarias involucradas podrán aclarar si es que fueron el objetivo de un ataque de denegación de servicio (DDos) o de otro tipo de vulneración cibernética.

Sobre la razón por la que sólo estos tres bancos resultaron afectados, Miguel Ángel Mendoza, investigador de seguridad de ESET en México, dijo que si bien el banco central y las demás autoridades financieras son estrictas en los lineamientos de seguridad que deben aplicar las instituciones para proteger a los usuarios, la operación y soporte de los sistemas y la administración de servicios de infraestructura, la implementación real de estos lineamientos varía en cada institución. 

“Es probable que estas diferencias hayan sido determinantes para que sólo se hayan visto afectadas algunas instituciones”, dijo Mendoza.

Respecto de la seguridad sobre la disponibilidad de sus servicios, este no ha sido un buen año para la banca en México. Apenas enero pasado, el Banco Nacional de Comercio Exterior (Bancomext) anunció que su plataforma de pagos internacionales había sido vulnerada por un tercero. La investigación sobre este evento fue atraída por la PGR, que hasta el momento no ha dado más detalles sobre la vulneración. De acuerdo con especialistas, si bien pudo haberse tratado de un ataque de amenaza persistente avanzada APT), esta versión tampoco ha sido confirmada.

rodrigo.riquelme@eleconomista.mx