En el ciberataque a las instituciones financieras mexicanas, la información y el patrimonio de los clientes de los bancos no fueron afectados. Sin embargo, el hackeo puso de relieve la necesidad de garantizar la seguridad del Sistema de Pagos Electrónicos Interbancarios (SPEI). La primera medida se basó en la creación de la dirección de Ciberseguridad y, este juez 17 de mayo, el Banco de México (Banxico) ha presentado dos nuevos procedimientos a seguir para mejorar su funcionamiento.

Las reglas para el SPEI tienen como objetivo verificar la operación y el destino de las transferencias y los depósitos. Banxico ha considerado necesario "prever la ejecución de mecanismos de control de riesgos que puedan llevar a cabo los participantes en el SPEI, ante la realización de eventos de contingencia que permitan reducir la probabilidad de que se acrediten en cuentas beneficiarias recursos derivados de transferencias de fondos no autorizadas legítimamente", explicó en los documentos publicados en el Diario Oficial de la Federación (DOF).

En concreto, las dos normas se aplicarán para las transferencias que sean iguales o mayores a 50.000 pesos. ¿Cómo afectará esta decisión para los clientes de los bancos en México?

  • Los clientes de las instituciones financieras tendrán que esperar un día para retirar en efectivo o cheques de caja el monto igual o superior al comentado anteriormente. Esto implica que la personas que reciban una transferencia de 50.000 pesos o más y quieran retirar esta cantidad, tendrán que esperar un día hábil para hacerlo, a no ser que sean autorizados expresamente por su banco.

"Las entidades receptoras deberán permitir a sus clientes, como beneficiarios de las respectivas transferencias de fondos por cantidades iguales o superiores a cincuenta mil pesos, que dispongan de dichos recursos, mediante la entrega de efectivo o cheque de caja, únicamente a partir del día hábil bancario siguiente a aquel en que se haya ejecutado la transferencia", indicó la circular 04/2018.

La diferencia principal de este nuevo procedimiento respecto al que estaba vigente hasta este jueves 17 de mayo es que los clientes recibirán el dinero de la transacción en el momento en el que sea aprobada pero solamente podrá utilizar estos recursos mediante tarjetas de crédito o transferencias.

  • La otra medida tomada por Banxico autoriza a las instituciones financieras que reciban una transferencia aumentar el tiempo fijado para realizar las verificaciones. Esto implica que los controles podrán demorarse más de los 5 a 30 segundos que actualmente marca la regulación dependiendo de la entidad bancaria. Este punto tiene como objetivo dar más tiempo para revisar las operaciones pero ninguna verificación podrá demorarse más de seis meses, especificó la autoridad bancaria en el documento.

Con la aplicación de esta norma para aumentar la seguridad, los bancos podrán demorar el envío de las transacciones si así lo consideran necesario o si observan algún movimiento sospechoso en las cuentas.

El hecho de que las instituciones tengan más tiempo para autorizar las transferencias ralentizaría el envío de las mismas a sus clientes pero esta transacción sería en cambio más segura.

Lentitud por seguridad

La decisión tomada por Banxico es una respuesta directa al hackeo a los bancos mexicanos que puso en peligro la seguridad de las instituciones del Sistema de Pagos Electrónicos Interbancarios (SPEI). Sin embargo, se confirmó que el patrimonio de los clientes no fue vulnerado ni corrió peligro y que la única consecuencia fue el retraso de las operaciones bancarias.

Las nuevas normas han acabado por provocar la misma ralentización aunque con el argumento de un aumento de la seguridad. En este contexto y a pesar de las consecuencias, "tiene cierto sentido que hayan tomado estas medidas para poder tener más margen de tiempo para validar cuentas" por una de las hipótesis que se barajan como el origen del hackeo, apuntó Leo García, desarrollador web y experto en seguridad, en entrevista con Hipertextual.

La investigación todavía no ha concluido pero una de las presuntas causas del ciberataque apunta a la colaboración de trabajadores internos. Esto supondría que el fallo se basó en el factor humano y para "que esto se pudiera dar tuvieron que encontrar gente en puntos críticos, en la parte del software en la de las instituciones". No obstante, los nuevos procedimientos podrían tener sentido para poder identificar transferencias sospechosas aunque, de confirmarse la hipótesis, serían necesarios más controles dentro de las instituciones.

"Pienso que el siguiente paso son acciones preventivas y entiendo que tendrían que tomarse a través de los proveedores del Banxico", agregó Gerardo Vigueras, CEO de Prestanómina, para Hipertextual.

Con medidas preventivas, Vigueras se refiere a llevarlas a cabo de adentro hacia afuera para tener procesos de reclutamientos muy robustos.

Es difícil que las medidas prosperen si no hay una cooperación desde adentro. Hay que poner poner controles preventivos y en la cultura de la organización para que se empiecen a identificar alertas y que esta sean escaladas lo más pronto posible.

Dichas alertas pueden ser la manera de identificar comportamientos extraños o sospechosos que pueden ser un indicador de que una persona puede estar planeando acciones ilícitas.

Las normas anunciadas este jueves 17 de mayo son un primer paso lógico para fortalecer el sistema y evitar casos parecidos al hackeo del pasado mes de abril. Sin embargo, también es necesario acompañar estos procedimientos de medidas complementarias que intenten poner freno las vulnerabilidades más complicadas de evitar: las humanas.