El Banco de México estableció nuevas medidas de seguridad a los actores financieros que utilizan el Sistema de Pagos Electrónicos Interbancarios (SPEI), ante la brecha informática que tres de ellos sufrieron desde el 27 de abril pasado, lo que además ha lentificado las compras con tarjeta de débito y los pagos electrónicos en México.
El gobernador del Banco de México (Banxico), Alejandro Díaz de León, confirmó que los problemas que reportan los bancos en las últimas semanas para conectarse al SPEI obedecen a un “ciberataque” contra algunas cuentas concentradoras de tres de esas entidades cuya vulnerabilidad, reconoció, aún “no ha terminado”.
“Todo indica de que se trata de un ciberataque”, afirmó en audioconferencia; aclaró que el ataque fue contra cuentas concentradoras de instituciones financieras, por lo que los recursos de los cuentahabientes no tienen ninguna afectación, y descartó problemas para el depósito y dispersión de las nóminas correspondientes a esta quincena.
“Las afectaciones se han registrado en algunos sistemas e infraestructura de cómputo de algunos participantes que lo que hacen es preparar las órdenes de pago y conectarse al SPEI: Ahí hemos identificado, en ese eslabón de la cadena, el problema”.
Díaz de León aclaró que los proveedores de esas aplicaciones son contratados por los bancos. “El funcionamiento del SPEI está en pleno, los pagos (…) de hoy y los que hemos tenido en los últimos días, como lo señalé, se han realizado millones de transferencias de pago (…) y el funcionamiento del sistema de pagos está en su lugar”.
Anunció que de manera extraordinaria, para hacer frente a la coyuntura, en caso de usuarios de la banca que reciban transferencias por el SPEI de montos iguales o superiores a 50 mil pesos, no podrán retirarlos en efectivo o hacer uso de un cheque de caja sino hasta el día siguiente, ya que los bancos deberán verificar la autenticidad de la operación, de acuerdo con la Circular 4/2018.
La otra medida está enfocada a darle tiempo a los bancos receptores de las transferencias electrónicas para verificar la validez de la información. De esta manera, cada institución determinará si necesita más tiempo para comprobar una operación, en lugar de los 30 segundos que solían tardar, hasta en tanto concluyan las automatizaciones de las verificaciones que deben desarrollar, de acuerdo con la Circular 5/2018.
Los actores del sistema financiero que sufrieron afectaciones relacionadas con el SPEI deben operar por vías alternas y mantener su capacidad para enviar órdenes de transferencias a la infraestructura del SPEI. Para mitigar las vulnerabilidades detectadas, los actores del sistema financiero deben establecer elementos adicionales de control, para minimizar la probabilidad de nuevos incidentes.
Los actores afectados deben renovar los elementos de seguridad de sus operadores para autenticarse en los sistemas de pagos operados por el Banco de México, el cual ha ampliado y fortalecido el esquema de soporte para todos los participantes del sistema.
Banxico emitió además disposiciones que otorgan a las instituciones de crédito y demás entidades que prestan el servicio de transferencias de fondos, un margen para que implementen medidas de control adicionales a fin de fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a sí mismas, al resto de los participantes y al sistema en su conjunto.
Insistió que las transferencias electrónicas procesadas a través del SPEI, así como el resto de los sistemas de pagos a cargo del banco central, “son un medio seguro para realizar pagos”, y afirmó que “continuará ejerciendo sus facultades para implementar las acciones necesarias y cumplir con su finalidad de propiciar el buen funcionamiento de los sistemas de pagos”.
El sistema bancario canalizó erróneamente entre 18 y 20 millones de dólares en transferencias interbancarias; los cuentahabientes no fueron afectados, pero los bancos sí podrían resultar perjudicados por el dinero perdido. “Es una lección de que se deben endurecer más estas medidas”, dijo Mario Di Constanzo, presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros.
“Nos hemos percatado desde hace tiempo que las instituciones financieras en general deben cuidar más no sólo la información de los usuarios, sino su propia identidad”, agregó. No quedó claro exactamente cómo ocurrió el desvío. Di Constanzo dijo que “no se encuentra identificada la identidad y destinatarios de varias transferencias hechas por el sistema SPEI”.
El déficit fue descubierto sólo después de que los bancos se colocaron en modo de seguridad tras la detección de vulnerabilidades en el software de preparación de órdenes de pago para el SPEI en tres bancos del sistema, el 27 de abril. Después de detectar esa brecha, los tres bancos abandonaron al contratista externo que proporcionaba el programa defectuoso y cambiaron al propio sistema de preparación de órdenes de pagos del Banco de México.
Fue entonces cuando el banco central requirió que todos los bancos tomaran medidas adicionales de seguridad, lo que hizo demorar algunas transacciones, como la aprobación de compras con tarjetas de débito y pagos electrónicos. En una sociedad que empieza a optar por una economía con menos efectivo, en efecto dicho retraso fue un suplicio para algunas tiendas y usuarios de cajeros.
La filial de Citibank en México, Citibanamex, reconoció algunos problemas con tarjetas de débito que sólo funcionaron con “intermitencia” el fin de semana. “Lamentamos los inconvenientes causados en las operaciones de nuestros clientes”, afirmó el banco en un comunicado.
(Con información de AP y El Economista)
