Texto actualizado a las 20:56
Compras en tiendas físicas y en línea, comidas en restaurantes y bebidas en bares paralizaron las actividades de los mexicanos la mayor parte de la mañana y tarde del sábado 10 de agosto.
El escenario apocalíptico -en términos financieros- al verse limitado el consumo por la dependencia a los pagos electrónicos dejó ver no solamente a un país que aún debe resolver problemas antes de migrar al México sin efectivo, también exhibió la falta de competencia en los sistemas de procesamiento de tarjetas, las vulnerabilidades en caso de fallos y la correspondencia tardía que se exhibió por parte de las autoridades y empresas involucradas.
En esta ocasión no se trató de un ciberataque, sino de una falla en uno de los procesadores de transacciones electrónicas o Cámara de Compensación de Pagos con Tarjeta del Data Center de Santa Fe de la empresa Prosa, la más grande en América Latina y que se asume como una de las 10 más importantes a nivel mundial.
#ComunicadoProsa: La falla presentada en uno de nuestros centros de datos fue reparada y la mayoría de nuestros servicios ya están funcionando. Seguimos trabajando para garantizar que en las próximas horas los servicios sean estabilizados totalmente.
— PROSA (@PROSA_Mx) August 11, 2019
Fueron más de ocho horas, entre las 10:47 y las 18:17 horas, según Banco de México, en las que se sumaban los reportes de fallas en todo el país, mientras que faltaba información por parte de la empresa y de las autoridades como Condusef, encargada de vigilar a los clientes de servicios financieros.
La falla, según especialistas, pudo deberse a que no funcionó el plan de recuperación de desastres o de continuidad de negocio e incluso sugieren que la causa responde a la falta de personal calificado.
Lo que sabemos es que no funcionó por diferentes razones. Quizá la organización probó parte de sus planes de recuperación de desastres que a lo mejor no estuviera contemplado algo que se les salió de las manos. La afectación tomó muchas horas y no hubo una comunicación clara de lo que estaba sucediendo
Andrés Velázquez, especialista de ciberseguridad y fundador de MaTTica
Carlos Estrada, consultor de la firma Vestiga Consultores, comentó que una cuarta parte del equipo de infraestructura crítica renunció a la empresa para moverse a E-Global o Mastercard.
Estas dos son la competencia de Prosa. La primera es propiedad de Banamex, Bancomer y American Express, mientras que la segunda ya cuenta con la autorización de Banco de México para operar como Cámara de Compensación de Pagos a finales de año.
Algunos hablan de que no hubo un problema de la luz, sino que la empresa ha tenido otros problemas serios como salida de personal. Con la salida de ejecutivos e ingenieros, se sabe que hace dos semanas salió al gente encargada de darle mantenimiento al Centro de Datos. También, no lograron revalidar la certificación más importante de bancos
Carlos Estrada, consultor
De acuerdo con Estrada, Mastercard notificó a instituciones financieras, mediante un comunicado, sobre la pérdida de certificación PCI DSS, la cual implica el cumplimiento de estándares internacionales de seguridad de datos para las tarjetas de pago. Sería hasta octubre cuando Prosa recuperaría la certificación, es decir, tres meses en los que operarían sin estar certificados.
Se estima que, durante la falla, no ingresaron cerca de 17,000 millones de pesos, de acuerdo con cálculos basados de Mario di Costanzo, expresidente de la Condusef. Sin embargo, hasta ahora ninguna institución ha informado sobre el impacto en los ingresos de los comercios.
El especialista Velásquez dijo que esto les hará pensar a los bancos con qué proveedor estar.
“Están queriendo entrar y ya están en proceso nuevos jugadores para hacer estas transacciones”.
México, ¿preparados para dejar el efectivo?
Los especialistas coinciden en que este incidente reaviva el cuestionamiento sobre si México está preparado para dejar por completo el uso de efectivo.
En el futuro se plantea usar los medios electrónicos con más confiabilidad y es por eso que requiere de un plan de recuperación de desastres o plan de continuidad de negocio, para que cuando sucedan estas fallas puedan cambiar su infraestructura a un sitio alterno o centro de datos alterno, lo cual no sucedió
Andrés Velásquez
He podido recopilar más información con respecto al fallo del día de hoy de Prosa, quien procesa transacciones en México y que vienen fallando desde las 10 am. Abro hilo. pic.twitter.com/Lr9b4Hkb7h
— Andrés Velázquez (@cibercrimen) August 11, 2019
Di Constanzo planteó que “no es posible que el gobierno esté impulsando el menor uso de efectivo como política cuando aún es vulnerable el sistema”.
Usuarios, vulnerables por falta de información
Durante el sábado y domingo ninguna autoridad emitió comunicados al respecto de lo sucedido. Esto, pese a la incertidumbre de usuarios que compartían quejas y dudas en redes sociales.
El expresidente de Condusef dijo que fue “muy grave” la falta de comunicación por parte de las autoridades encargadas -las cuales emitieron una postura hasta el lunes por la tarde- porque los usuarios estaban vulnerables en ese momento.
Imagina que hubiese llegado el sábado a mediodía un mensaje al celular o correo electrónico diciendo que para reactivar la tarjeta se debe ingresar a una liga y que ésta fuera falsa para robar información. Como el usuario no tenía información oficial, podía ser presa y víctima de phishing. Ahí también falló la autoridad a no salir a informar claramente y de manera oficial a salir a explicar lo que pasaba. Condusef no salió a tiempo
Condusef emitió un comunicado a medio día del lunes en el que solamente resume lo sucedido el sábado y alerta a usuarios a revisar operaciones inusuales en sus cuentas bancarias.
Banxico emitió una postura hasta la noche del lunes, en la que menciona las acciones que está realizando.
El Banco de México, conforme a sus facultades y siguiendo los procesos establecidos, está realizando las acciones de supervisión e investigación necesarias para verificar el cabal cumplimiento de las disposiciones que le resultan aplicables a la citada cámara de compensación
Por su parte, la Comisión Nacional Bancaria y de Valores publicó hasta el 13 de agosto un comunicado en el que dijo que:
Conforme a las facultades de la CNBV, se ha requerido información, tanto a alas instituciones de crédito, como a Prosa a fin de conocer a detalle, las causas del incidente y a partir de ello, determinar las acciones correspondientes
EL CEO buscó profundizar la postura de Condusef y Banxico, pero no se obtuvo respuesta hasta el cierre de esta edición.
