El Banco de México (Banxico) dio a conocer que con la información disponible sobre los recientes ciberataques al Sistema Electrónico de Pagos Electrónicos Interbancarios (SPEI) de instituciones financieras, los montos involucrados en envíos irregulares y sujetos a revisión son de unos 300 millones de pesos.
En conferencia de prensa en relación con el SPEI, el gobernador del banco central, Alejandro Díaz de León, precisó que este monto se refiere a pagos brutos, y tras la revisión podrían recuperarse algunos recursos.
Detalló que se tienen registrados cinco participantes en el SPEI con vulneraciones de ciberseguridad y precisó que todos los ataques que se han observado han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del sistema de pagos.
“Estos han estado enfocados en los sistemas de los participantes con los que se conectan al SPEI”, dijo el banquero central al precisar que todavía no se puede concluir que ya terminó el ciberataque registrado en algunas instituciones bancarias, pues está en curso la aplicación de medidas correctivas.
Indaga PGR ciberataque a SPEI; habrá protocolo de ciberseguridad
Aseguró que el sistema central del SPEI, que opera el Banco de México, no se ha visto afectado y no ha sido blanco de ningún ataque, “el sistema central opera de manera segura y eficiente como lo ha hecho desde su creación”.
El banquero central explicó que los recursos de los clientes de instituciones financieras están seguros, no estuvieron en peligro y no han sido el objetivo de ataques, y que los recursos extraídos han sido de los participantes, es decir, de las propias instituciones.
Los atacantes han buscado vulnerar las conexiones de las instituciones con el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo cual afecta la cuenta transaccional de los participantes en el sistema, pero no las cuentas de los clientes finales.
“Los recursos de los clientes están seguros porque radican en un sistema separado con validaciones individuales por operación”, sostuvo Díaz de León, al anunciar que el Banxico pone disposición del público un sitio en su página para consultar el estado específico de un pago.
Aclaró que los participantes del SPEI tienen obligaciones de ciberseguridad establecidas en la regulación que emitió Banxico desde julio de 2017 y para reforzar las acciones que ha venido tomando en la materia, el 24 de abril de 2018 la Junta de Gobierno del banco central autorizó la creación de una Dirección de Ciberseguridad; es decir, desde antes del reciente ciberataque.
Además, el Banxico ha decidido emitir disposiciones que otorguen a las instituciones de crédito y demás entidades que prestan el servicio de transferencias de fondos espacio para que estas implementen medidas de control adicionales.
Estas están encaminadas a fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a dichas instituciones, al resto de los participantes y al sistema en su conjunto.
Señaló que se están llevando a cabo pruebas forenses para determinar el origen del ciberataque y conocer si fue interno o externo, aunque comentó que su objetivo fue pecuniario, es decir, para extraer recursos y obtener algún beneficio.
Rechazó poner algún calificativo al monto involucrado en los envíos irregulares, pues es un tema que vulnera el funcionamiento del sistema de pagos y deja a la gente preocupada por el retraso en las operaciones causado por el ataque cibernético de los últimos días.
Por último, confirmó que la directora general de Sistema de Pagos y Servicios Corporativos del Banxico, Lorenza Martínez Trigueros, había pedido su separación al cargo desde hace aproximadamente un mes, el cual se hará efectivo el próximo viernes.