Ciberataques, responsabilidad de bancos: Banxico

Los aplicativos que utilizaron bancos, casas de bolsa y otros intermediarios financieros para conectarse al Sistema de Pagos Electrónicos Interbancarios (SPEI) fueron el origen de la falla que provocó el ciberataque y el Banco de México (Banxico) no tiene responsabilidad en ese mecanismo, informó el organismo.

En su informe sobre la situación del SPEI, el Banco de México recordó que los ataques se presentaron en los aplicativos que usan los participantes afectados para conectarse. Dichos aplicativos pueden ser desarrollados por la propia institución o bien provistos por un tercero.

Enfatizó que las propias instituciones financieras son las únicas responsables del buen funcionamiento de esos aplicativos.

“En la mayoría de los casos, los participantes recurren a proveedores externos para realizar dicha conexión entre sus sistemas centrales y la infraestructura del Banco de México.

“Cabe señalar que el Banco de México no certifica o valida a los proveedores de este tipo de servicios, el adecuado funcionamiento de dichos aplicativos es responsabilidad de cada participante", señaló.

En su informe detalló que el 17 de abril un intermediario financiero registró el primer ataque, y a partir de esa fecha se identificaron otros cuatro, dos el 24 abril, uno el 26 de abril y uno más el 8 de mayo.

Los ataques que se han presentado están focalizados en diversos elementos que componen los aplicativos y en la infraestructura de cómputo y telecomunicaciones de los propios intermediarios financieros.

Detalló que en la conexión al SPEI hay una cuenta emisora y una receptora.

Mediante una inserción de órdenes de transferencia, los hackers inventaron números de cuentas emisoras que no corresponden a los clientes y se crearon cuentas receptoras reales. Por ello, los recursos de los clientes bancarios no fueron afectados.

Los intermediarios atacados -bancos y casas de bolsa- no se dieron cuenta y firmaron y autentificaron la orden de transferencia hacia las cuentas receptoras previamente creadas.

El SPEI, controlado por el Banco de México, revisó que las transferencias estuvieran debidamente firmadas y autorizó que se enviaran los recursos de una cuenta a otra.

Los recursos obtenidos mediante este mecanismo, fueron retirados en ventanilla por los participantes en el hackeo que crearon esas cuentas.

Los intermediarios se dieron cuenta de esta situación mediante alertas internas y por alertas de otros bancos, pero hubo casos donde ya no se evitó la transferencia indebida, detalla el informe.

El Banco de México, reiteró que los recursos de los clientes de instituciones financieras no han estado en riesgo, porque radican en otra parte del sistema.

Hasta ahora la afectación ha sido porque el sistema de transferencias interbancarias se ha hecho lento.

Insistió que el SPEI no fue afectado y ha continuado dando servicio de manera segura.

Informó que según las revisiones realizadas por el banco central, no todas las instituciones están cumpliendo con los requerimientos de ciberseguridad.

Entre las instituciones afectadas se encuentran Banorte, por un monto de 150 mdp; Inbursa, por 180 mdp, y Casa de Bolsa Kuspit, por 40 mdp.

Además de estas entidades financieras, el ciberataque también dañó a Caja de Ahorro Las Huastecas y a otro banco cuya identidad aún no se ha corroborado.

¿QUIÉNES SON LOS PROVEEDORES?

Estas instituciones financieras compartían a tres proveedores que las conectaban al SPEI. Dos de ellos son LGEC y Apesa.

“Los mensajes deben ir firmados entre el ´core´ bancario y el aplicativo. El proveedor tiene que procesar la firma, pero el que debe firmarlo es el participante", explicó Fernando Gutiérrez, director general de LGEC, que tiene a más de 30 clientes. "Nuestros aplicativos viven dentro de la infraestructura del banco, y yo no sé si el banco lo está firmando o no porque no tengo acceso", agregó en entrevista.

Otros proveedores que ofrecen conexión al SPEI son:

- Praxis

- Conecta

- SIES Soluciones de Software

- Sistema Cooperativo de Medios de Pago (Siscoop).

FIRMAN ACUERDO DE SEGURIDAD TRAS CIBERATAQUE

A más de un mes del ciberataque al SPEI, autoridades financieras acordaron la creación de un Grupo de Respuesta Inmediata ante incidentes de seguridad de la información.

Autoridades financieras firmaron un acuerdo de seguridad de la información (Imagen de El Sol de Cuernavaca)

Seis autoridades del sector financiero, entre ellas el secretario de Hacienda, José Antonio González Anaya y el gobernador del Banco de México, Alejandro Díaz de León, firmaron con funcionarios de la Procuraduría General de la República (PGR) y asociaciones gremiales las Bases de Coordinación en materia de seguridad de la información.

Dichas bases buscan fortalecer la forma en que las entidades y las autoridades del sector responden y se coordinan cuando ocurren eventos que puedan vulnerar la seguridad de la información en el sistema financiero mexicano.

Con información de La Silla Rota