IMPULSO/Agencia SUN
Ciudad De México
El riesgo de ciberseguridad llegó para quedarse. En eso no debe quedar ninguna duda, por lo que se tiene que afinar la regulación para enfrentar el problema como se hizo en su momento contra el lavado de dinero, advierte el gobernador del Banco de México (Banxico), Alejandro Díaz de León.
“No sólo llegó para quedarse, sino para ocupar un lugar e importancia creciente”, alerta en entrevista con EL UNIVERSAL. Pondera que la escala y sofisticación del ciberataque puso de manifiesto que puede haber episodios más complejos en un futuro.
“Quedó patente que hay grupos delincuenciales con alta capacidad tecnológica y esto evidentemente implica reforzar la seguridad y revisar el perímetro potencial de riesgos a los que pueden estar expuestas las instituciones financieras”, asevera.
A más de un mes de que diera a conocer los primeros incidentes en la operación, primero de tres participantes en el Sistema de Pagos Electrónicos Interbancarios (SPEI) y luego confirmar que se trató de un ciberataque que afectó a cinco instituciones por un monto de 300 millones de pesos, el gobernador central habla sobre lo que ha sucedido y las lecciones que dejó este episodio.
Aseguró que desde el último ataque del 8 de mayo pasado, no se ha tenido ningún otro episodio parecido. Sin embargo, subraya que ante esta nueva realidad es necesario trabajar en conjunto autoridades y participantes del sector financiero.
Considera que al igual que con el lavado de dinero, en el que se identificó un punto ciego en la regulación, el cual fue explotado para actividades ilícitas, hoy se ve algo similar. “En el tema de lavado de dinero se identificó un punto ciego dentro de la regulación que fue utilizado y explotado por las actividades ilícitas, y la regulación —de manera atinada— redujo ese punto ciego y lo reguló de manera muy clara y firme”, matiza.
Bajo esa lógica, considera que es algo parecido a lo que se enfrentan con la ciberseguridad, porque el avance en tecnologías de la información ha tenido grandes ganancias en productividad y en servicios financieros. Pero también implica riesgos que son crecientes, que harán necesario que la regulación “afine” y desarrolle nuevos elementos que permita reducir la exposición a ese riesgo, así como contar con los instrumentos adecuados para mitigarlos.
“En los retos cibernéticos, el tema de la seguridad es de primer orden de importancia y vamos a estar reforzando esta agenda, tanto en los temas en los que está vinculado el banco como en todo el sistema financiero en su conjunto”, manifiesta.
Informa que el Banco de México está haciendo visitas de revisión e inspección con el fin de verificar si los participantes del sistema de pagos cumplieron con la normatividad. Señala que todavía no se tiene la certeza en qué tramo de responsabilidad en cada uno de los casos fue del proveedor o del participante que lo contrató.
¿Qué pasó?
En las oficinas de la calle 5 de Mayo en el Centro Histórico, Díaz de León refiere que fue a finales de abril cuando se tuvieron los primeros episodios y el 8 de mayo el último, cuando se percataron de los ataques cibernéticos a las plataformas de los participantes.
Precisa que se dieron en el tramo en el que se empaquetan las órdenes de traspaso y de pago y se suben a la “carretera” del SPEI, lo que dio lugar a los que estaban en una situación de riesgo, que migraran a un esquema de operación contingente a través de un sistema paralelo de mayor seguridad que da lugar a retrasos.
Situación actual
Al preguntársele si después del último ciberataque la situación está controlada, el gobernador del Banco de México dice que todavía está en periodo de operación contingente, por lo que siguen monitoreando todo.
Continúa en curso la revisión forense que en materia de tecnología de la información y sirve para identificar rastros y elementos de seguridad que fueron vulnerados, ya sea en los aplicativos, que es el software, o en equipos para decir que no se podrá presentar un ataque similar a futuro.
“Ese proceso de revisión, de diagnóstico forense respecto al tipo de ataque que tuvimos, está en proceso y en la medida en que tengamos esos elementos, podemos ir blindando la infraestructura de los participantes como también aquellos participantes que vayan migrando a una infraestructura paralela, también podrán ir regularizando su operación”, establece.
Dos procesos
Comenta que ahora hay dos procesos: uno, la investigación del ataque que tiene la vertiente procesal ante la Procuraduría General de la República (PGR), instancia que es la autoridad correspondiente de investigar y perseguir los delitos.
La otra, que tiene que ver con el Banco de México, es la revisión del cumplimiento de la circular 14/2017 que se publicó a mediados del año pasado, en la que se establecen una serie de disposiciones para los participantes en cuanto a las medidas de seguridad en sus conexiones al SPEI.
Díaz de León, afirma que no hay evidencia del involucramiento de algún empleado del banco central asociado al ciberataque. Hay una razón muy lógica, esgrime, pues en dónde fueron atacados y vulnerados reside en las instituciones participantes y la PGR será quien deslinde las responsabilidades y en su caso poner las denuncias.
Sobre la participación de los proveedores que contratan las instituciones participantes del SPEI, establece que si bien tienen la libertad de hacerlo con un tercero, la regulación es muy clara en señalar que todos los elementos de la norma de contar con servidores, las conexiones de telecomunicaciones y no tener otro tipo de aplicativos en esos equipos, así como antivirus actualizados, es responsabilidad de ellos.
Comenta que están en estrecha comunicación con diversos organismos internacionales, no de ahora sino de tiempo atrás, en los cuales se abordan ese tipo de temas así como consultorías especializadas en esta materia que los están acompañando en este episodio.
Lecciones
El gobernador pone de relieve la importancia de trabajar en conjunto cuando se tiene una red como el sistema de pagos: lo que pasa a uno de los participantes, puede impactar a los demás. Por eso, es crucial que la regulación y el cumplimiento de la misma sean para todos, y así quedó de manifiesto en las bases de colaboración, en las que se tendrán dos instancias de comunicación.
Habrá dos grupos encargados de la parte de ciberseguridad, que serán los responsables cuando se detecte algún ataque, reportarlo. El segundo circuito va a gravitar alrededor de tener adecuadamente informado a todas las autoridades financieras.
“Esto va a permitir que cuando haya un ataque las entidades van a tener grupos de trabajo que estarán obligados a reportar a las autoridades y éstos a su vez comunicarlos; al tener información oportuna se podrán tener mejores acciones; en ese sentido, la coordinación es clave”, puntualiza.
Entre las lecciones que dejó es que si bien se tenía la conciencia de los ataques cibernéticos, la escala y sofisticación dejó de manifiesto que puede haber episodios más complejos, advierte.
¿A río revuelto, ganancia de cibercriminales?
Creo que es difícil poner un dato duro concreto sobre qué tanto algunos de estos episodios puedan propiciar más capítulos de este tipo”, contesta de inmediato. Agrega que esto comprueba que muchas de las herramientas tecnológicas que pueden ser usadas para los ataques son cada más frecuentes y por eso “debemos estar alertas y reforzar la seguridad”.