¿Qué falló (otra vez) en la seguridad del SPEI?
La estricta vigilancia enfocada en los bancos tras el ciberataque de hace seis meses dejó el frente descubierto en otros participantes del Sistema de Pagos Electrónicos Interbancarios (SPEI), como las aseguradoras, señalaron directivos de la empresa israelí MER Group, especializada en seguridad cibernética e inteligencia.
“A diferencia de hace unos meses, hoy vemos que están atacando a los participantes del SPEI, pero que forman parte de la industria aseguradora, no como el anterior, donde vimos ataques a Casas de Bolsa y bancos”, dijo en entrevista Héctor Miranda, especialista en tecnología y seguridad cibernética de MER Group. “Se pusieron a verificar únicamente a instituciones financieras bancarias y no a entidades con otros distintos niveles de tipos de riesgo”, añadió.
El pasado 22 de octubre, la aseguradora AXA registró un ataque cibernético en el Sistema de Pagos Electrónicos Interbancarios (SPEI). La empresa reportó inconsistencias en la conciliación de sus cuentas de tesorería con propósitos de pago , según detalló el Banco de México (Banxico) en un comunicado, en el que omitió el nombre de la aseguradora.
De acuerdo con la empresa de origen francés, la información y recursos de los asegurados no sufrieron afectaciones.
Este ataque no ha sido el único en contra de los participantes que se conectan con SPEI en este año. Durante mayo y abril pasado, al menos cinco instituciones financieras sufrieron un robo cibernético por un monto de alrededor de 300 millones de pesos, según el cálculo de Banxico.
Tras este hackeo en meses pasados, el Banco Central emitió nuevas disposiciones para fortalecer la seguridad en los participantes del SPEI: se creó un comité de ciberseguridad de reacción y la banca invirtió en una plataforma para comunicarse entre sí en caso de algún ataque cibernético.
Aún así, los expertos advirtieron que es necesario unificar las reglas de protección para los proveedores que conectan a algunas instituciones al SPEI, pues consideró que las reglas son más duras con los que se conectan de manera directa.
Lee: Hackers atacan a la aseguradora AXA, esto es lo que sabemos
“Quizá uno de los puntos flacos sea eso, que las políticas duras que aplican para un operador primario, no aplican para sus proveedores”, dijo Jazmín Rodríguez, gerente de proyecto de ciberseguridad de MER.
En el ciberataque anterior, las instituciones afectadas —Banorte, Inbursa, Banjército, la casa de bolsa Kuspit y la caja popular Las Huastecas— tenían en común tres proveedores, cuyas conexiones fueron vulneradas.
Las propias autoridades financieras han reconocido los rezagos en temas de seguridad finanicera. "En el sector financiero existe displicencia en temas de ciberseguridad. Si bien se habla mucho de que se está invirtiendo, cuando se presentó un incidente, vimos que no era así", dijo Octavio Berges, director general de tecnologías de información de Banxico, durante su participación en el Foro Ciberseguridad en el Sector Financiero, en septiembre pasado.
Cada año, las entidades financieras sufren 85 ciberataques al año, de acuerdo estimaciones de la Comisión Nacional Bancaria y de Valores (CNBV).
