Ciudad de México. El Banco de México endurece la regulación para atenuar riesgos de incidentes de seguridad entre los participantes del Sistema de Pagos Electrónicos Interbancarios (SPEI), a 17 días de presentarse ciberataques en instituciones financieras.

En dos circulares, que entrarán en vigor al publicarse en el Diario Oficial de la Federación (DOF), a más tardar este miércoles, emitirán disposiciones para limitar el retiro en efectivo de más de 50.000 pesos (US$2.570) y ampliarán tiempos de transferencias electrónicas de fondos para verificar origen y destino de operación.

En la circular 4/2018, detallan que si una persona recibe una transferencia vía el SPEI en su cuenta por una cantidad que rebase los 50.000 pesos (US$2.570), no podrá retirarlos ese mismo día en efectivo, ni en cheque de caja.

El gobernador del Banco de México, Alejandro Díaz de León, expuso que esta limitación al retiro en efectivo por una cantidad de 50.000 pesos y superior garantiza que quedará una huella de la operación, que permitirá identificar dónde quedó el recurso. Con esta media se pretende contribuir a una revisión de operaciones que en otras circunstancias pueden ser “de tinte irregular”.

La circular 5/2018 está dirigida también a los participantes que reciben transferencias de fondos. En ella, se habilita la posibilidad del banco receptor de solicitar validaciones de transferencias de fondos en lapsos superiores a los dispuestos en las reglas aplicables para el abono de los recursos en las cuentas de los clientes beneficiarios, que regularmente eran de 5 a 30 segundos.

De acuerdo con el gobernador del Banco de México, esta medida favorece que la institución verifique procedencia, valide el destino de los recursos y refuerce eventualmente la seguridad del retiro en efectivo.

En la citada medida, acotan que las instituciones financieras que cuenten con sistemas de verificación e integridad podrán autorizar el servicio de retiro el mismo día, si los bancos conocen bien a los clientes y siempre bajo su autorización.

 

Ciberataque en conexión al SPEI. En la conferencia telefónica, el gobernador del Banco de México confirmó que desde fines de abril “se presentó un ciberataque” hacia el aplicativo de conexión de algunas instituciones financieras con el SPEI.

Reconoció que no hay precedentes en el país de un ataque similar, y será hasta que se tengan los resultados de análisis tecnológicos forenses, que están realizando instituciones de auditoría internacional, cuando podrán comparar esta experiencia con la de otros países. Asegura que el problema “está identificado, contenido y mitigado” y garantiza que las operaciones electrónicas vía el SPEI son seguras.

Dijo que aún es temprano para declarar si el origen del ciberataque está dentro del país o si ha sido dirigido desde fuera.

“No sabemos cuál es el origen de este incidente, si es en el interior del país o en el exterior, la revisión forense en los sistemas y aplicativos otorgará mayores elementos sobre el origen del ataque”, admitió.

 

Aclaró que se presentaron operaciones inusuales y extrañas con números que no estaban adecuadamente encriptados, lo que ha dificultado la identificación y huella de los ciberataques.

Descartó comentar si es verdad que la directora del Sistema de Pagos, Lorenza Martínez, presentó su renuncia al iniciar el problema y aseguró que han mantenido un diálogo constante con la Comisión Nacional Bancaria y de Valores (CNBV) para reforzar la agenda de ciberseguridad.

Proveedores, bajo la lupa. El gobernador consignó que el Banco de México regula sólo a las instituciones financieras. Sin embargo, como el incidente se ha presentado en los aplicativos de conexión de las entidades con el SPEI, verificarán quiénes de estos proveedores estaban operando en apego a la regulación.

Accedió a detallar que las afectaciones que originaron la lentitud en la conexión de ciertas instituciones al SPEI fueron registradas en algunos sistemas e infraestructuras de cómputo de algunos participantes —del sistema financiero— que preparan órdenes de pago en su conexión al SPEI, aclaró.

El Banco de México ya se acercó a ellos para recomendarles que trabajen en el reforzamiento de la seguridad de su aplicativo. Además, se les ha solicitado que la arquitectura donde están instalados sea la de una red dedicada, lo que les permitirá garantizar que están aislados y seguros.