Justo cuando se está en el proceso de elaboración de la regulación secundaria para el sector de las fintech, se dio el caso del ciberataque a los sistemas de conexión al Sistema de Pagos Electrónicos Interbancarios de algunos bancos, lo que, de acuerdo con el Banco de México (Banxico), ha derivado, hasta ahora, en 300 millones de pesos en pérdidas para las entidades financieras involucradas.

Aunque en la Ley Fintech, promulgada en marzo pasado, ya se mencionan algunos riesgos y medidas en materia de ciberataques en este sector, en la regulación secundaria, que debe quedar lista en septiembre en una primera etapa, éstos se fortalecerán tras el hackeo reciente a los bancos.

Lo dijo el propio gobernador del Banco de México, Alejandro Díaz de León, en una de sus conferencias de la semana pasada para hablar sobre el tema.

“Claramente lo que este tipo de episodios nos deja es que el tema de ciberseguridad es uno en el que cada vez son más sofisticados los ataques, cada vez son más complejos, y el potencial de daño de los mismos también es mayor”, refirió.

Agregó: “en este sentido, en todo el universo de aplicativos asociados a la Ley Fintech, tendremos mucho cuidado en que los estándares de ciberseguridad que apliquen sean robustos y también que sean claramente reflejados a los consumidores o los usuarios de estos aplicativos”.

En este sentido, el banquero central destacó que, al tratarse de un reto adicional, “definitivamente tendremos en la regulación que se emita en los meses próximos mucho cuidado en atender los temas de ciberseguridad”.

Son cuatro rubros que principalmente se contemplan en la Ley Fintech: el llamado crowdfunding o financiamiento colectivo; los sistemas de pago electrónico (donde fue el hackeo a los bancos); los activos o monedas virtuales, y en las interfaces de programación de aplicaciones informáticas estandarizadas.

Desde el proyecto de regulación, se contemplaban en éstas los riesgos de ciberataques y robo de datos, por lo que entre los requisitos de operación para las fintech (de cualquiera de estos rubros) se encuentran: la seguridad de la información y continuidad de la operación; controles internos y administración de riesgos y límites por cliente y operación.

En el caso del sector de pagos electrónicos, la ley refiere que la regulación principal tenderá a sujetar las actividades a lo establecido por el Banxico.

Aunque la primera regulación secundaria de la Ley Fintech debe quedar en septiembre, las autoridades tienen otro periodo de 12 meses (a partir de la promulgación) y uno más de 24 meses para complementarla.

Sistemas más robustos

Gentera, cuyo principal activo es Compartamos Banco, es uno de los grupos financieros que más ha apostado al sector fintech, incluso con un laboratorio de innovación.

Patricio Díez, director general del banco, refiere, tras los ciberataques, que con este caso más que frenar el desarrollo de las fintech, lo que se busca con estas startups son nuevos modelos de atención y de pagos de servicios, con el fin de tener medios alternos para hacer transacciones bancarias.

“Entonces yo creo que, al contrario, fortalecerá modelos nuevos e innovadores, con el fin de tener un sistema de pagos más robusto”, explicó.

Uso de banca móvil, no se desincentivará

Eduardo Osuna, director general de BBVA Bancomer, descartó que el ciberataque reciente a los sistemas de algunos bancos vaya a desincentivar el uso de la banca digital y móvil, rubro en el que esta institución ha invertido de forma importante. Cabe mencionar que este banco no fue atacado.

“Nosotros estamos creciendo a 200,000 clientes por mes en nuestra banca móvil (...) realmente me parece que es justamente lo opuesto, que es que la experiencia del cliente es tan buena en el uso de canales digitales que muchos están migrando para allá y es lo que deberíamos ver en los siguientes meses”, expuso.

Son cientos de cuentas involucradas

Investigan posibles cuentas usadas en hackeo a bancos

El gobernador del Banco de México, Alejandro Díaz de León, destacó que ya se tienen detectadas cientos de cuentas bancarias en donde posiblemente se depositaron los recursos hurtados tras el ciberataque que registraron diversas instituciones financieras.

En entrevista televisiva para el programa Despierta, explicó que se trató de un ataque cuya sofisticación tecnológica y humana no tiene antecedente, porque implica penetrar a estas cuentas de trabajo que tienen las instituciones financieras, desde donde se envían estos recursos.

Pero también porque los recursos se depositaron en cuentas particulares y minutos después llegó gente a retirar el efectivo. “Esto significa que fue un ataque que por su tecnología y logística fue de una escala que no habíamos visto”.

Confirmó que la cantidad asociada al ataque es de alrededor de 300 millones de pesos, en transacciones de hasta 600,000 pesos; mientras que los retiros efectuados en los minutos posteriores al ataque fueron desde 200,000 a 300,000 pesos en efectivo en ventanilla.

“Se tienen detectadas las cuentas en donde se tienen esos recursos y se va a poder hacer la investigación, es una especie de fraude cibernético. Hasta que no termine la revisión forense no podemos tener la certeza de que ya terminó”, expuso.

En ese sentido, agregó que “se tienen identificadas las cuentas, se están punteando para ver si son operaciones irregulares y ver si fueron objeto de este fraude o de algún otro descuadre contable”.

Son varios cientos de cuentas involucradas y podría haber cientos de individuos que retiraron con conocimiento total o parcial e involucramiento completo, pero serán las autoridades quienes tendrán que decidirlo, refirió.

En cuanto a las instituciones afectadas, dijo que el número no es preciso, pero hasta el momento se sabe de al menos tres bancos, una casa de bolsa y una caja popular, aunque el número de bancos podría ser incluso mayor.

Respecto al monto hurtado, aseguró que algunos de los recursos pudieron ser detenidos y están en revisión, por eso los 300 millones de pesos es una cifra aproximada y se va a poder hacer una investigación de dónde terminó cada depósito.

Aclaró que ya se tiene conocimiento de algunos de los códigos que fueron insertos, lo cual “ayuda mucho para hacer los parches correspondientes y que ese mismo código no vuelva a lograr esta afectación”.

“Cuando detectamos un problema real o un riesgo, migramos del sistema original (SPEI) a uno alterno, es un plan de contingencia, están operando un número de instituciones en este plan de contingencia y, en la medida en la que podamos tener la certeza que los parches están en su lugar y que la vulnerabilidad fue corregida, podremos regresar al original”. (Notimex)