El Banco de México (BdeM) reportó a la Comisión Permanente del Congreso que, derivado del hackeo a cinco instituciones financieras en sus sistemas de pago entre abril y mayo pasados, se identificó que otras 43 tienen un perfil de riesgo alto para sufrir ataques cibernéticos y que por ello deben operar mediante un esquema de contingencia que reduce los riesgos a través de una red alterna y segura.

En el informe a dicho órgano del Congreso, el BdeM resalta que se trata de “una conexión paralela de operación alterna para hacer transacciones en el Sistema de Pagos Electrónico Interbancario (SPEI) denominado Cliente de Operación Alterno, con el que todos los bancos, casas de bolsa y demás instituciones deben contar.

El BdeM resalta que bancos vulnerados y los que están en riesgo de ataque cibernético operaron mediante ese esquema de emergencia, pero al tratarse de un sistema alterno y semiautomático los tiempos de servicios se ralentizaron.

En el documento, el BdeM resalta que la regulación del SPEI contiene requerimientos de seguridad informática enfocados a mitigar el riesgo de hackeo, pero existen indicios que podrían llevar a presumir que el nivel de cumplimiento es heterogéneo y, en algunos casos, deficiente.

Por ello, el BdeM lleva a cabo supervisiones para verificar el cumplimiento de la regulación del SPEI y hay coordinación y comunicación entre autoridades financieras, las cuales deberán establecer reglas claras y procesos de supervisión y sanción, con el fin de que bancos y demás instituciones inviertan lo necesario en materia de seguridad contra ataques cibernéticos.

El BdeM explica que la Procuraduría General de la República lleva a cabo las investigaciones conducentes, con el propósito de identificar y sancionar a los responsables del hackeo a cinco bancos. Se resalta que los recursos y la información de los clientes nunca estuvieron en riesgo. Quienes cometieron esas acciones buscaron vulnerar las conexiones de los participantes con el SPEI, lo cual involucró únicamente recursos de las instituciones afectadas.

En todos los casos identificados y reportados en que hubo incidente cibernético, los participantes tenían aplicativos de conexión al SPEI desarrollados por un tercero.

No obstante, la vulnerabilidad pudo tener su origen tanto en los sistemas desarrollados por terceros, como en la infraestructura de los participantes en la que fue instalado.

En el documento de 29 cuartillas, el BdeM hace un recuento de cómo ocurrieron los ataques a partir del 17 de abril pasado, cuando un participante del SPEI detectó que sus sistemas emitieron órdenes de transferencia de fondos no autorizadas. A partir de esa fecha se identificaron cuatro eventos similares en otros participantes, dos el 24 de abril, uno el 26 de abril y otro más el 8 de mayo.

Estas operaciones se enviaron a 836 diferentes cuentas en 10 instituciones de crédito. Las cuentas se abrieron en 97 diferentes plazas de la República y 80 por ciento del monto total de las transferencias no reconocidas se envió a 23 plazas.