Banxico da informe al Congreso sobre hackeo

Para volver a las operaciones normales del sistema de pagos, el Banco de México (Banxico) pidió a las instituciones financieras, hayan sido afectadas o no por el ciberataque de fines de abril, ajustarse a requerimientos técnicos y operativos mínimos.

Estos requisitos incluyen certificación de auditor externo, cambiar contraseñas y carta firmada por el director general en la que se asegure que cumplen con todas los nuevas obligaciones, dio a conocer el banco central a la Comisión Permanente del Congreso de la Unión en el informe especial que le solicitaron diputados y senadores sobre el ataque que afectó a cinco instituciones por un monto de 300 millones de pesos.

En el documento de 29 páginas se menciona que a causa de los reportes de los auditores externos, hay indicios que pueden llevar a presumir que existe un nivel de cumplimiento heterogéneo y en algunos casos deficiente en los requerimientos de seguridad informática y continuidad operativa de los participantes.

En los procesos y mecanismos para salir de la contingencia, sólo se menciona los pasos a seguir, pero no se da una fecha en la cual se restablecerán las operaciones del Sistema de Pagos Electrónico Interbancario (SPEI).

Se pone de manifiesto que el SPEI está listo para que todos los participantes que operan en el esquema alterno de contingencia, se reincorporen de manera habitual una vez que se tenga la certeza de que los riesgos están mitigados y que la operación pueda realizarse con seguridad.

Para ello, se crearon dos grupos de participantes del SPEI a los que les pedirá ciertos requerimientos.

A los que no fueron hackeados, pero operan en el esquema de contingencia desde sus instalaciones por su condición de riesgo, se les piden cubrir cuatro requisitos como aislar la infraestructura de telecomunicaciones del resto de la red de participantes y que la infraestructura de cómputo esté libre de elementos maliciosos.

Para los que resultaron afectados, tendrán que cumplir con todo lo anterior y cinco requerimientos más centrados en los servidores del core bancario (ruteadores y DNS) para detectar códigos maliciosos, que sigan las mejores prácticas internacionales, no usar contraseñas que vengan asignadas por default.

El reporte firmado por el director general de operaciones de sistemas de pago, Jaime Cortina, quien asumió las responsabilidades que tenía Lorenza Martínez, así como el director jurídico, Luis Urrutia, destaca que los recursos hackeados se transfirieron a 836 cuentas de 10 instituciones que se abrieron en 97 plazas en el país.

El informe que entregó Banxico será analizado por la Tercera Comisión de Hacienda, para determinar si es necesaria la comparecencia del gobernador del banco central y de otras autoridades financieras, como la Secretaría de Hacienda o la Comisión Nacional Bancaria y de Valores.