Los siete bancos del sistema de banca de desarrollo en México presentan un nivel bajo a medio de seguridad para impedir incidentes informáticos como el ocurrido el 24 de abril de 2018, que derivó en un robo de 2.5 millones de pesos al Banco Nacional del Ejército, Fuerza Aérea y Armada (Banjército), informó la Auditoría Superior de la Federación (ASF).

En su informe de la cuenta pública 2018, la auditoría también alertó que el Banco de México (Banxico), en su papel de operador de los sistemas de pago, carece de una normativa en materia de seguridad informática y de riesgo operacional; tampoco cuenta con mecanismos para determinar el perfil de riesgo de cada participante del Sistema de Pagos Electrónicos Interbancarios (Spei).

Incluso, señaló que en su auditoría de ciberseguridad a la banca electrónica y medios de pago del sistema financiero mexicano detectó que de los 25 requisitos de seguridad informática y de gestión del riesgo operacional, detallados en el manual de operación del Spei, se identificó que no se contemplan 62 de las 108 subcategorías establecidas por el Instituto Nacional de Estándares y Tecnologías.

Refirió que entre 2018 y 2019, la banca de desarrollo y la Tesorería de la Federación, operada por Banxico, por medio del Spei se realizaron transacciones por 52.1 billones de pesos.

No obstante, concluyó que la Comisión Nacional Bancaria y de Valores y Banxico no comparten información de los hallazgos y observaciones en materia de riesgo tecnológico y seguridad que identifican en las actividades de supervisión y vigilancia.

También precisó que Banjército, en el incidente de ciberseguridad de abril del año pasado no contaba con planes de respuesta ante incidentes y no llevó a cabo una cadena de custodia que asegurara la integridad de todos los componentes involucrados en la extracción del dinero.

La ASF resaltó que Banxico no considera, en su plan de respuesta a incidentes de seguridad, posibles escenarios de actuación, y expuso que, debido al ataque, Banjército debió pagar 1.5 millones de pesos por concepto de deducible de la póliza que tiene contratada con Aseguradora Inbursa

Además, ese banco no realizó una investigación para deslindar responsabilidades por el ciberataque que sufrió. Al momento de la intromisión, Banjército no contaba con procedimientos ni protocolos de emergencia para identificar, notificar, contener, atender, solucionar y mitigar ciberataques.