Los riesgos cibernéticos son ahora uno de los más importantes que enfrenta el sistema financiero y la Auditoría Superior de la Federación (ASF) indica que Banco de México, en su rol de operador de los sistemas de pago, carece de una normativa en materia de ciberseguridad y de gestión del riesgo operacional.

Banxico tampoco cuenta con mecanismos que le permitan determinar el perfil de riesgo de cada participante del Sistema de Pagos Electrónicos (SPEI), al tomar en cuenta el nivel de cumplimiento de sus controles de seguridad informática y gestión del riesgo operacional, cambIos relevantes en su infraestructura, procesos y ciber amenazas, según la tercera entrega de la Revisión de la Cuenta Pública 2018 de la ASF.

El SPEI inició operaciones en 2003 y es el principal medio por el cual los bancos liquidan transacciones entre ellos y entre sus clientes. Además, el banco central también es un usuario al hacer pagos del gobierno federal (Tesorería de la Federación), dado que es su agente financiero, además de hacer sus propios pagos, como los de nómina y a proveedores.

Durante 2018 y 2019, la banca de desarrollo y la Tesorería de la Federación por medio del SPEI realizaron transacciones por 52.1 billones de pesos.

Bajo la Dirección General de Sistemas de Pagos e Infraestructuras de Mercado (DGSPIM), Banxico desempeña, en coordinación con otras direcciones generales, las funciones de regulador, supervisión y vigilancia del SPEI y Sistema de Pagos Interbancarios en Dólares (SPIC), así como operador y usuario.

De acuerdo con la ASF, esta dirección lleva a cabo las funciones de operador de los Sistemas de Pagos sobre la infraestructura administrada por la Dirección General de Tecnologías de la Información (DGTI), sin que exista una normativa interna, emitida y revisada por un tercero, lo que no permite una segregación apropiada de funciones.

Los ataques de 2018

En 2018, algunos bancos, casas de bolsa y aseguradoras fueron blanco de ataques cibernéticos, con un costo que se calcula en por lo menos 300 millones de pesos.

A mediados de junio de 2019, Alejandro Díaz de León, gobernador de Banxico, dijo que 18 instituciones financieras habían sido notificadas de probables multas tras la vulneración que sufrieron en su sistema y que afectó a miles de usuarios.

El 13 de abril de 2018, iniciaron los problemas para el SPEI, cuando Banxico fue notificado del primer caso de un participante del sistema financiero, el cual detectó operaciones no reconocidas.

Entre el 13 de abril y el 8 de mayo, otros participantes detectaron más problemas, al mismo tiempo, el banco central los instruyó para tomar medidas de seguridad y para que operaran en un mecanismo de contingencia.

Banjercito fue uno de los primeros en sufrir ataque cibernéticos y, al formar parte de la banca de desarrollo, también fue auditado por la ASF. 

Entre las actividades implementadas por Banxico, le solicitó a Banjercito la imagen forense obtenida posterior al evento; no obstante, a la fecha de la auditoría (diciembre 2019), no había realizado el análisis de dicha imagen y tampoco había sido destruida. 

Banxico también analizó las bitácoras de su infraestructura para determinar si había sido comprometida, antes o durante los incidentes; sin embargo, no llevó a cabo un análisis forense, ya que no lo consideró necesario debido a que la infraestructura del SPEI no se vio afectada.

Respecto al Plan de Respuesta a Incidentes de Ciberseguridad del banco central, la ASF indica que, no considera escenarios de actuación ante eventos de participantes que puedan afectar al operador y otros participantes.

Mientras que de la revisión de las actividades hechas por Banjercito para la identificación, contención y mitigación del incidente de ciberseguridad, así como de las investigaciones posteriores, al momento del incidente, el banco no contaba con políticas, procedimientos ni protocolos de emergencia para identificar, notificar, contener, atender, solucionar y mitigar incidentes de seguridad.

Incumplía con algunos requisitos de seguridad informática, carece de la documentación relacionada con las actividades de protección y custodia de los componentes de infraestructura comprometidos y El Órgano Interno de Control y la Dirección de Auditoría Interna no llevaron a cabo actividades de análisis o investigación respecto del incidente

Auditoría Superior de la Federación.

Una de las hipótesis que concluyen del análisis forense, es que posiblemente el evento consistió en la explotación de una serie de vulnerabilidades existentes en un componente del aplicativo del Enlace Financiero para el SPE del banco, el cual fue desarrollado por el proveedor LGEC S.A. de C.V.

Sobre el contrato con esta empresa, Banjercito hizo un pago de 1.29 millones de pesos el 27 de marzo de 2018 por medio de una sola exhibición y 35,100  pesos por concepto de consultoría el 29 de enero de 2019, pero el proveedor no hizo la entrega de los análisis de vulnerabilidades estático y dinámico correspondiente a la última versión que se liberó del Enlace Financiero SPID.

El reporte de vulnerabilidades del proveedor, hecho el 11 de enero de 2018, que se proporcionó con relación a la ejecución de análisis estático y dinámico para el aplicativo Enlace Financiero SPEI, no consideró todos los componentes relacionados a dicho aplicativo.

Además, Banjercito no gestionó con el proveedor la aplicación de la garantía de cumplimiento tras el evento de seguridad informática y de los defectos que presentó el aplicativo de Enlace Financiero SPEI y dado que el banco ya no utilizó el aplicativo después del incidente de seguridad ni los servicios de soporte y mantenimiento, debió haber rescindido el contrato por los incumplimientos, pero no lo hizo y éste continúo vigente por ocho meses más.

El costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades e instituciones financieras en México en 2018 fue de alrededor de 107 millones de dólares, según reporte de la OEA.

La ASF recomienda que, Banxico considere en su plan de respuesta a incidentes de seguridad, escenarios posibles de actuación ante eventos de participantes que puedan afectar al operador y a otros participantes.