El incidente que afectó el desempeño de las transacciones en el sistema SPEI de tres instituciones bancarias durante el fin de semana del 27 al 30 de abril es una advertencia para todo el sistema bancario en México, el cual debe reducir al mínimo posible su exposición al riesgo para proteger la confianza de sus clientes y la reputación de cada una de las instituciones que lo integran, sean públicas o privadas, de acuerdo con Eduardo Zamora, director general de Fortinet México.

Durante la conferencia titulada “Integridad de la información, gobierno y administración del riesgo de la industria financiera”, el directivo llamó a que las instituciones “no busquen tapar el hoyo” cuando sufren una vulneración o un ataque cibernético, por lo que se requiere que la regulación mexicana habilite normas de transparencia que permitan compartir información entre entidades y con los usuarios de los servicios financieros.

“No sólo es la banca, sino el gobierno y las empresas tienen que ver a la seguridad como un tema cultural y hasta que todos los miembros entendamos esto, la seguridad no va a ser efectiva. Las entidades no pueden acudir a nosotros como empresas de ciberseguridad para tapar el hoyo, para rellenar el huequito por donde pasó la vulneración, esa no es nuestra propuesta y nunca lo será”, dijo Zamora.   

En América Latina, 66% de las organizaciones financieras enfrentaron al menos un incidente de ciberseguridad en los últimos 24 meses. En el 98% de estos casos, los sistemas del sector financiero estuvieron comprometidos en pocos minutos. México y Brasil son los países de la región que registraron mayor recurrencia de este tipo de eventos de seguridad, según Fortinet.

El viernes 27 de abril, el Banco de México publicó un comunicado de prensa en el que informó que se habían registrado “incidentes en la operación de tres participantes en el Sistema de Pagos Electrónicos Interbancarios (SPEI) que pudieron haber afectado el servicio de transferencias electrónicas de fondos de dichas instituciones con sus clientes”. El lunes 30 de abril, tanto el banco central como la SHCP y la CNBV informaron que las incidencias se debieron a que los tres participantes usaban un aplicativo provisto por un proveedor externo. 

Sigue sin haber certeza sobre de qué se trató el incidente que afectó el desempeño de las transacciones que realizaron los clientes de Banorte, Citibanamex y Banco del Bajío. Existen conjeturas acerca de que se pudo haber tratado de un ataque de denegación de servicio (DDoS), pero las dudas al respecto no son pocas: ¿El ataque estuvo orientado a la infraestructura del SPEI o a la de las instituciones cuyos usuarios se vieron afectados? ¿Con qué objeto lanzar un ataque DDoS de este tipo? y ¿qué papel jugó el aplicativo provisto por un tercero al que hace referencia el Banxico?

De acuerdo con Fortinet, mientras que del total de ataques sufridos por las instituciones financieras durante el 2017, 34% fueron ataques a la disponibilidad (DDoS), la mitad (48%) fueron ataques a aplicaciones web desplegadas por los bancos y 15% de estos incidentes permaneció sin ser descubierto por seis meses o más.

En este sentido, según José López, gerente de Banca y Servicios Financieros de Fortinet México, en ocasiones las instituciones bancarias apuestan más por la apariencia y rapidez de las aplicaciones de terceros que por la seguridad. “Nosotros recomendamos que cuando las instituciones desarrollan aplicaciones o adquieren aplicativos de terceros lo primero que deben asegurar es su nivel de seguridad”, dijo.       

El especialista confirmó lo dicho por otros expertos en ciberseguridad a El Economista acerca de que este tipo de eventos son utilizados por los ciberdelincuentes como distractores para ocasionar un impacto mayor, como puede ser el comprometer los sistemas de las entidades bancarias. 

Para el director general de Fortinet México, este tipo de incidentes evidencian la razón por la que las instituciones bancarias mantienen centros de desarrollo robustos y acuden lo menos posible a proveedores externos que complementen su infraestructura, una tendencia que según Zamora se irá revirtiendo con el tiempo, lo que representará un reto cada vez mayor para los miembros del sistema bancario. 

“Lo más importante que las organizaciones pueden perder con este tipo de eventos es la confianza de los clientes, el valor de la marca y la propiedad intelectual”, dijo Zamora.  

rodrigo.riquelme@eleconomista.mx