Operan en mecanismo alterno al SPEI 33 entidades financieras

Más de 11 meses han pasado del ciberataque que sufrió el sistema de conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI), el 17 de abril del 2018, y 33 instituciones siguen conectadas por un mecanismo alterno, pues “no han fortalecido sus controles o sistemas”, reconoció el Banco de México (Banxico).

Dichas entidades no son identificadas en el documento, pero en el sistema del SPEI se observan conectados a este mecanismo alterno: Accendo Banco,Axa, Finterra, Bancomext, Banobras, Barclays, CI Bolsa, Hdi Seguros y Nafin, entre otros. Todas ellas mantienen las transacciones “en una plataforma de operación contingente (...) que pudo haber propiciado que los pagos no se gestionen con la misma velocidad previa a los ataques”, detalló el noveno informe anual del Consejo de Estabilidad del Sistema Financiero (CESF).

Ahí mismo, explicaron que los participantes del sistema que sufrieron ataques, fueron supervisados in situ, y los demás extra situ por el mismo Banco de México. Y advirtieron que los que siguen afectados serán sujetos a sanciones.

“Se encontraron niveles heterogéneos de cumplimiento a la regulación (en materia de la seguridad de la información), lo que derivará en que se apliquen sanciones a las instituciones financieras para las cuales se identifiquen incumplimientos”.

En el informe anual del CESF, hay un capítulo especial dedicado a los ciberataques, donde el banco central admitió que los incidentes de seguridad de abril, mayo, julio y octubre pasado pusieron de relieve que “el sistema financiero mexicano está expuesto al cibercrimen”.

Apenas la semana pasada, el director de Sistemas de Pagos del Banxico, Miguel Díaz, reconoció que los bancos y sociedades financieras que aún estén operando en el mecanismo alterno de conexión al SPEI quedarán fuera de la plataforma de cobro digital (CoDi), ya que  los tiempos de operación de transferencias entre estas instituciones no responde a los del CoDi.

De acuerdo con Banxico, son 92 instituciones y sociedades financieras las que están conectadas al SPEI. Y 33 de ellas lo hacen a través del mecanismo alterno, que representa sólo 2.3% de las operaciones.

CNBV y PGR apoyan

En el informe anual destacaron que “este tipo de ataques son cada vez más organizados, especializados y globalizados” y que en respuesta, las áreas de ciberseguridad de la Comisión Nacional Bancaria y de Valores y del Banco de México mantienen reuniones de trabajo y comités de ciberfraude periódicos con la Asociación de Bancos de México, la Procuraduría General de la República y algunas instituciones financieras.

Ahí se intercambian experiencias, metodologías y marcos de actuación, lo que les permite definir estrategias y prioridades para fortalecer la seguridad de la información de los bancos, intercambiar información sobre tendencias de ataques detectados en el sector financiero y fortalecer mecanismos de coordinación y comunicación entre autoridades y bancos.

El banco central aseguró que “no se tienen impactos en montos o volúmenes de operación del sistema”. Enfatizaron que el SPEI sigue siendo el mecanismo más eficiente para transferencias de fondos del público e instituciones.

Acciones de Banxico

En el apartado, el Banxico explicó que en su carácter de administrador del SPEI ejecutó medidas con el objetivo de mitigar los riesgos de eventos similares a los ocurridos en el 2018, y que condujo acciones para reducir el impacto en usuarios de servicios de transferencias electrónicas entre participantes del SPEI entre las que destacó:

La migración de participantes afectados y de los que tienen un mayor perfil de riesgo a una plataforma de operación contingente; alertas en SPEI central para detectar anomalías en mensajes de pago, conciliación de operaciones; emisión de la regulación con el fin de que entidades que otorgan el servicio de transferencias fortalezcan controles y verifiquen integridad de operaciones.

Establecimiento de requisitos, políticas y procedimientos ante posibles ataques; fortalecimiento de requerimientos de seguridad que deben cumplir; protocolo de reacción ante eventos de ciberseguridad y autoevaluaciones de participantes.

El CESF es una instancia de coordinación de autoridades, supervisores y reguladores del sistema financiero, vigente desde el 2010, que se reúne en cuatro sesiones ordinarias al año, donde realizan diagnósticos sobre la situación que prevalece en el entorno doméstico e internacional. (Con información de E. Juárez).