Fuente: eleconomista.com.m
Autor: Yolanda Morales
Fecha: 2 de septiembre de 2018
Link de consulta: https://www.eleconomista.com.mx/sectorfinanciero/Sistema-financiero-objetivo-de-hackeos-en-el-2018-20180902-0046.html
En el 2018, el último año de la administración de Enrique Peña Nieto, el sistema financiero mexicano se mantuvo como objetivo de ciberataques, cinco de los cuales fueron confirmados por el Banco de México.
Estos incidentes generaron pérdidas estimadas en 400 millones de pesos al presentarse al sistema de conexión de cinco instituciones financieras al Sistema de Pagos Electrónicos Interbancarios (SPEI), entre el 17 de abril y el 8 de mayo.
Los robos cibernéticos se presentaron a cinco meses de haberse divulgado la Estrategia Nacional de Ciberseguridad, iniciativa en la que participó el entonces secretario de Hacienda, José Antonio Meade.
Los ciberataques confirmados hasta ahora por el Banco de México a participantes del sistema financiero se desagregan de la siguiente forma: cuatro de ellos se efectuaron entre el 17 y el 26 de abril. El más reciente se completó el 8 de mayo. Y un solo día, el martes 24 de abril, los atacantes violaron dos veces la conexión al SPEI.
El banco central confirmó, al resumir las conclusiones a las Auditorías Forenses aplicadas a los bancos afectados, que la vulnerabilidad que originó el evento de ciberseguridad inició en los sistemas desarrollados por un tercero.
Una vulnerabilidad es una “puerta abierta” en el aplicativo o en la infraestructura donde opera, por donde entraron los delincuentes para hacer el ataque.
Resultado de estos ciberataques al sistema de conexión de cinco instituciones financieras con el SPEI, hay 49 participantes del sector operando en el mecanismo alterno de conexión al Sistema, lo que los mantiene operativos pero asilados, para evitar el compromiso del sistema en conjunto.
Según las cifras del Banco de México, 52 participantes más del sector se encuentran operando sus transferencias y órdenes de pago en condiciones regulares, realizan 58.22% de las operaciones en el SPEI.
Después de estos ciberataques, se han emitido cuatro alertas más sobre amenazas al sistema financiero confirmadas por el presidente de la Comisión Nacional Bancaria y de Valores (CNBV), Bernardo González.
Bancomext, el arranque
El sistema financiero mexicano comenzó a ser objetivo este año para los hackers desde el 10 de enero, cuando Bancomext reconoció que había suspendido las operaciones asumiendo protocolos de emergencia para contener un intento de hackeo.
La Estrategia Nacional de Ciberseguridad tenía menos de 54 días en operación. Entonces Bancomext tuvo que admitir que “a pesar de las robustas medidas de seguridad con que cuenta, 9 de enero fue víctima de una afectación en su plataforma de pagos internacionales provocada por un tercero”.
“Las autoridades han confirmado que el modus operandi de los presuntos hackers es similar a intromisiones ocurridas en otras instituciones en México y América Latina”, cita el comunicado de Bancomext. Finalizó asegurando que los intereses de sus clientes y los del propio banco se encontraron a salvo, lo que les permitía reanudar operaciones para sus clientes y contrapartes.
Estrategia de ciberseguridad
El director jurídico de la oficina de la Estrategia Digital Nacional, Ernesto Ibarra Sánchez, explicó la semana pasada, en un foro organizado por la Escuela Libre de Derecho, que la estrategia se encuentra en su primera fase de implementación que supone una serie de mesas de trabajo para redactar un documento con las recomendaciones en materia de ciberseguridad que harán a la administración entrante.
La Estrategia Nacional de Ciberseguridad es coordinada por la Subcomisión de Ciberseguridad, presidida por la Secretaría de Gobernación.
A 17 días de haber sido objeto de ciberataques en el sistema de conexión de bancos al SPEI, el Banxico formalizó la creación de una nueva Dirección de Ciberseguridad.
Esta nueva adscripción se encargará de “definir las acciones para proteger la infraestructura de tecnologías de información y fortalecer el desarrollo seguro de sistemas del banco”.
Esta nueva dirección y la de Coordinación de la Información y de Sistemas, así como la Gerencia de Seguridad de Tecnologías de la Información, estarán adscritas a la Dirección General de Tecnologías de la Información.
A fines de julio, el Banxico endureció las medidas de seguridad que deben seguir las instituciones financieras que participan en el SPEI, entre las que se encuentran pruebas de confianza a su personal y a terceros involucrados en los procesos, así como la designación de oficiales de seguridad que sean responsables de diseñar y ejecutar la verificación de políticas de prevención de riesgos de seguridad así como de implementar medidas correctivas.