El proveedor del aplicativo o programa vulnerado que conecta a instituciones financieras como Banorte, Banjército y Casa de Bolsa Kuspit con el Sistema de Pagos Electrónicos Interbancarios (SPEI), es LGEC, sistemas de integración y enlace.

LGEC es uno de los proveedores privados, aludido por la directora general del Sistema de Pagos del Banco de México, Lorenza Martínez Trigueros, como el que presentó incidencias comunes entre las tres instituciones vulneradas desde el 26 de abril por la noche.

Incidencias que motivaron la migración de transferencias de las instituciones citadas, a una conexión de contingencia con el SPEI, diseñada por Banco de México.

Hasta el domingo 6 de mayo, el aplicativo se mantuvo vulnerado y orilló a Banorte a suspender este fin de semana su enlace con el SPEI y también con el Sistema de Pagos Interbancarios en Dólares (SPID).

La directiva de Banco de México detalló el pasado 30 de abril que al identificar el aplicativo vulnerado en las tres instituciones urgieron a “otras 12” que también lo comparten a migrar a la conexión de contingencia. Y como esta plataforma, la contingente, “opera incluso manualmente”, las transferencias se están realizando con retrasos.

El Economista encontró que LGEC cuenta con 33 clientes del sistema financiero. Se trata de Actinver, Afirme, ALTA, Banco del Bajío, Bancrea, Banjercito, Bankaool, Banobras, Banorte, Banco Base, BX+, CIBanco, Coppel, Evercore, Grupo Profuturo, HSBC, Indeval, Infonavit, Intercam, InverCap, Invex, IXE, JPMorgan, Casa de Bolsa Kuspit, Libertad servicios financieros, Mapfre, Seguros Multiva, Prosa, Sabadell, Scotiabank, Solución Alsea, Transfer y Zurich.

LGEC, asegura en su página oficial haber demostrado “capacidad y experiencia en el diseño e implementación de aplicativos para conectarse a los sistemas de pagos de forma segura, eficiente y sencilla, cumpliendo con los requisitos de Banco de México e Indeval, que es el depositario central de valores en México.

La firma asegura en su página que su compromiso “no termina al momento de la entrega y puesta en marcha de los aplicativos, sino que continúan permanentemente garantizando que estarán a la vanguardia del mercado y actualizado con los cambios que implementen los administradores de los sistemas de pagos”.

Refiere que tienen “definida e implementada una metodología de administración de riesgos, así como planes de continuidad del negocio que garantizan un servicio continuo a nuestros clientes”.

Aparece como “Socio estratégico” de STP México, “una empresa 100% mexicana constituida por expertos que proponen nuevos paradigmas en la operación de medios de pago en México”. Ambas empresas fueron contactadas por El Economista desde el 2 de mayo y hasta ahora no han respondido.

Nueve días vulnerados

Las incidencias que han afectado al programa de conexión de Banorte, Banjército y Casa de Bolsa Kuspit, persisten a nueve días de haberse identificado.

El incidente, como lo explicó a este diario la directora general el Sistema de Pagos de Banco de México, irrumpió originalmente “en la más pequeña de las tres instituciones financieras”, es decir, la Casa de Bolsa Kuspit.

Kuspit es una casa de Bolsa mexicana, “100% online”; que se constituyó en el 2011 y comenzó operaciones a fines del 2012; permite inversiones desde 100 pesos cuyo “objetivo es democratizar el mercado de valores a través de internet”. También utiliza como aplicativo de conexión con el SPEI al diseñado por LGEC.

La exposición de las operaciones de Kuspit a Internet, y del propio aplicativo, son en sí mismas un factor de vulnerabilidad.

La funcionaria de Banxico precisó a El Economista que las instituciones financieras pueden conectarse al SPEI por un aplicativo diseñado por ellos mismos, o por uno externo. Bancomer y Citibanamex, han confirmado que ellos se conectan a través de un programa diseñado por ellos mismos.

De acuerdo con una investigación de este diario, en el mercado mexicano hay al menos cuatro proveedores que se muestran en sus páginas oficiales de Internet como autorizados por el Banco de México, como “especialistas en sistemas de pagos para conectar bancos, aseguradoras y otros participantes, al SPEI del Banco de México”, autorización que no es confirmada por el éste.

Se trata de LGEC Sistemas de Integración y enlace, STPmex, Praxis, y Tata Communications.

Los cuatro proveedores referidos han sido contactados por este diario para conocer su operación y funcionamiento, pero ninguno ha respondido.

El origen del asunto

Como ha informado este medio, desde el jueves 26 de abril por la noche, tres instituciones han presentado “incidencias” en su conexión con el SPEI que les obligaron a trasladar sus operaciones a una plataforma de contingencia desarrollada por Banco de México para garantizar la funcionalidad de las instituciones, y preservar la seguridad del Sistema de Pago, movimiento que ha generado retrasos en los tiempos de transferencias.

El SPEI cuenta con 14 años de vida. Hasta ahora, permite transferencias por hasta 8,000 pesos vía dispositivos móviles, pero no todos los bancos han activado este servicio por teléfono móvil.

Entre los que ofrecen a sus clientes el servicio de pagos por SPEI en horarios extendidos, son Banamex, Bancomer, Santander, HSBC, Inbursa, Banorte, Azteca, Bancoppel y Bankaool.

El 9 de enero, Bancomext fue objeto de hackeo, confirmado por la propia institución y por el Banco de México, intervención que motivó la desconexión del sistema de transferencias internacionales SPEUA, que por el tamaño de las transferencias, fue identificado como hackeo y resuelto en 24 horas.

Para el capítulo reciente de “incidencias” en la conexión de Banorte, Banjercito y Casa de Bolsa Kuspit, no hay aún una conclusión, y la directora de Pagos reconoció a El Economista que el Banco de México no ha encontrado aún evidencia de que el problema presentado tenga que ver con un hackeo. Pero tampoco lo descartan.

“Ahora se están haciendo análisis forenses en tres instituciones —las que presentaron incidentes—, y al tener la información se tomarán medidas para atender la situación y que se pueda volver a la normalidad”, explicó.

[email protected]