La tecnología cibernética es hoy una herramienta fundamental en los movimientos de capital de las instituciones financieras. Estos medios facilitan y agilizan muchas transacciones, sin embargo, no están exentos de ser utilizados por la delincuencia.
Recibir y retirar dinero o realizar depósitos en los cajeros automáticos o vía internet de las cuentas bancarias es cada vez más cómodo, común y confiable. Estas operaciones pueden realizarse gracias al desarrollo del Sistema de Pagos Electrónicos Interbancarios (SPEI) que conforma una red privada y protegida.
El servicio de banca por internet o el servicio de pagos móviles requieren el uso de un dispositivo de seguridad el cual puede ser un token o una tarjeta de seguridad, lo que garantiza que solo quien está a cargo de la cuenta puede realizar operaciones a través de estas vías.
A pesar de que los sistemas bancarios utilizan candados a fin de resguardar la seguridad de las personas que utilizan estos servicios, los delincuentes no se han quedado atrás y también se actualizan para robar a través de estos medios.
Tristes recuerdos
El 17 de abril de 2018 cuatro instituciones financieras que utilizan SPEI fueron víctimas de ciberataques, ese mismo mes los días 24 y 26 se registraron otros dos eventos más, y uno más fue efectuado el 8 de mayo. El Banco de México (Banxico) dio a conocer que los pagos brutos realizados a los delincuentes por dichos ciberataques ascendieron a 300 millones de pesos.
Aclaró que en esos robos quienes sufrieron las pérdidas económicas fueron las instituciones financieras y no los clientes de las mismas, ya que los delincuentes no utilizaron las cuentas de los usuarios para sacar dinero. La manera en que los se realizaron los fraudes fue vulnerando las conexiones de las instituciones con el SPEI, dando instrucciones de pago a cuentas inexistentes.
Refuerzan blindaje
En 2017 Banxico emitió una regulación sobre las obligaciones de ciberseguridad para las instituciones que participan en SPEI. En 2018 creó la Dirección de Ciberseguridad.
El 15 de mayo de 2018 se publicaron en el Diario Oficial de la Federación, reformas al Reglamento Interior del Banco de México, donde se hicieron importantes consideraciones al tema de ciberseguridad.
El artículo 29 Bis se contienen las atribuciones de la Dirección de Ciberseguridad entre las que destacan la de “establecer políticas, lineamientos y estrategias institucionales para fortalecer la seguridad de la información que gestiona el Banco, así como todos los sistemas que soportan la operación y procesos del Banco”.
Asimismo, indica que esta dirección deberá “participar en el diseño, elaboración y, en su caso, expedición de disposiciones en materia de seguridad de la información, aplicables a las entidades e intermediarios financieros en el ámbito de las atribuciones del Banco de México; así como en la atención de autorizaciones, consultas y opiniones relacionadas con sus atribuciones”.
Según la Encuesta Nacional de Inclusión Financiera 2018, en México entre los principales delitos registrados en las finanzas personales de la población se encuentra el robo de identidad del cual fueron víctimas 3.1 millones de adultos, además de que 1.5 millones de adultos realizaron inversiones en productos fraudulentos. Estos delitos pueden realizarse a través de ciberataques.
Delitos sin fronteras
En el informe Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe, elaborado por la Organización de los Estados Americanos (OEA), se hace referencia a los ataques que sufrieron diversas instituciones financieras en México y Chile durante 2018, por lo que advirtió que los países de la región deben contar con mecanismos para evitar los robos con las nuevas tecnologías, además de que de sufrir los mismos es necesario que cuente con planes de contingencia.
El organismo internacional asegura que los bancos en México a mediados de 2018, fueron blanco de grupos con las características de Amenaza Persistente Avanzada (APT por sus siglas en inglés), que utilizan un programa malicioso (malware) creado específicamente para atacar a una empresa o gobierno concretos con el objetivo principal de robar su información y mantenerse oculto a la vista del mismo el mayor tiempo posible.
En el informe, la OEA alerta a las naciones que “los delincuentes cibernéticos están organizados, bien financiados y no tienen limitación geográfica. Los ladrones ya no necesitan ingresar a una sucursal bancaria, ni siquiera al país en el que se encuentra su blanco”.
Asegura, que “los delincuentes sofisticados atacarán el banco que proporcione el mayor retorno de la inversión, independientemente de dónde esté ubicado. Por lo tanto, todos los bancos deben asegurarse de tener suficientes recursos técnicos, personal adecuadamente capacitado y procedimientos apropiados para defenderse de los delincuentes cibernéticos y garantizar que el negocio sea lo suficientemente resiliente”.
El Banco de México y la Comisión Nacional Bancaria y de Valores dispusieron un protocolo de seguridad para las instituciones financieras que prevé que ante un ataque de ciberseguridad la institución afectada debe desconectarse inmediatamente e iniciar operaciones a través de esquemas de contingencia. Banxico, por su parte, cuenta con un sistema de conexión paralelo de operación alterna (COAS). Además, los bancos privados también deben contar con su propio COAS.
Derivado del ciberataque del año pasado, Banxico informó que 18 instituciones financieras han sido notificadas de que podrían ser sancionadas por incumplir con normas sobre ciberseguridad. Cabe resaltar que las instituciones están en tiempo de presentar elementos para defenderse y de proceder, las sanciones podrían disminuir o evitarse.
Pero las medidas de ciberseguridad no sólo corresponde tomarlas a las instituciones financieras sino también a los clientes a fin de no convertirse en presas de la delincuencia, para este fin el Banco de México recomienda a los usuarios del servicio SPEI a través del portal de un banco tomar algunas precauciones:
• Hacer los pagos o transferencias desde el domicilio del usuario y evitar los sitios que ofrecen internet público como bibliotecas, escuelas o cafeterías.
• Al entrar al portal del banco es necesario revisar que la conexión sea segura, es decir, verificar que la dirección electrónica comience con “https” o que aparezca un símbolo de candado.
• Mantener actualizado el equipo de cómputo y utilizar antivirus.
• No usar contraseñas fáciles de adivinar, como nombre o fecha de cumpleaños, y no compartirlas con nadie.
Te puede interesar: Condusef, el abogado de los servicios financieros