El ataque a aplicación de SPEI no se dirigía a los recursos de los clientes
En rueda de prensa, el gobernador del Banco de México, Alejandro Díaz de León aseguró que el ataque a la aplicación que se conecta al Sistema de Pagos Electrónicos Interbancarios (SPEI) no fue dirigido a los recursos de los usuarios, sino al sistema, el cual está a salvo.
Informó que el monto robado asciende a los 300 millones de pesos, pero las investigaciones continúan y no se conoce el origen ni el modo de operación hasta ahora. No mencionó los nombres de las instituciones bancarias afectadas, pero adelantó que fueron cinco.
El ataque, según en gobernador de Banxico, afectó los recursos de los participantes, es decir, de los bancos que acceden al SPEI por medio de un aplicativo, en el cual fueron inyectadas instrucciones de pago en cuentas inexistentes. Estas transacciones irregulares transfirieron dinero a otras cuentas ya existentes y en otras de reciente creación, las cuales serán investigadas.
Díaz de León presentó una sección en el sitio del Banco de México dedicado a explicar la situación, en donde se incluyen las medidas de ciberseguridad que ha tomado la institución desde el 2013, incluso las responsabilidades de los participantes del SPEI para proteger la integridad, la confidencialidad, y la disponibilidad de la información bancaria.
Entre las actividades regulares de ciberseguridad que se realizan en Banxico, Alejandro Díaz de León mencionó revisiones periódicas de código, desarrollo seguro, actualizaciones, pruebas de penetración, auditorías internas y externas, protocolos de desconexión, esquemas de operación y un sistema de contingencia.
Según la información disponible, se detectaron irregularidades en el sistema de pagos desde el 17 de abril de este año, cuando se emitió la primera alerta. Cinco participantes o instituciones bancarias padecieron este problema de seguridad. “Todos los ataques que se han observado han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del sistema de pagos”, asegura el documento Puntos importantes sobre la situación actual del SPEI.
Además, se abordó el tema de la creación de la nueva dirección de ciberseguridad, cuya creación había sido aprobada desde el 24 de abril, antes de que este incidente escalara en magnitud. Aún no se sabe quién será el director de la nueva área.
A la reunión asistieron los funcionarios del Banco Central, Luis Urrutia Corral, director general jurídico, Miguel Ángel Díaz, director de sistemas de pagos, Jaime Cortina, director general de operaciones de banca central y Octavio Berges Bastida, director general de tecnologías de la información.