Pese a alertas, bancos no se alistaron contra hackeo

cartera@eluniversal.com.mx

A pesar de que hubo varios avisos y ensayos de un ciberataque de gran magnitud en contra del sistema financiero, ni las autoridades ni los bancos estaban preparados para enfrentarlo, consideraron especialistas.

“Este caso se ha desarrollado sin acceso a información, lo cual ha mostrado que no estaban preparados para un ataque cibernético con la precisión que se mostró. Además, existe un elemento que complica el caso, con el hecho de que existan personas dentro de la banca y dentro de los reguladores señalados como posibles partícipes”, dijo Salvador Mejía, especialista en ciberseguridad y prevención de lavado de dinero de la firma Asimetrics.

Para el especialista, llama la atención que las instituciones financieras, no obstante sus inversiones millonarias en sistemas, no hayan previsto un ataque de este calibre, el cual además de pérdidas millonarias para los bancos, deja un golpe reputacional que también alcanza a las autoridades.

“Este ataque, más allá del dinero robado del que se admita y la cifra negra que existe, por más que una parte que se recupere, es poco comparado con el daño a la credibilidad del sistema financiero. Si algo las autoridades nos han querido vender en los últimos años es la solidez del sistema financiero y la reducción del efectivo, pero después de casos como este, nos preguntamos si estamos listos. Esta pérdida en la confianza va más allá de lo que se haya robado”, explicó.

Para Carlos Vilalta, miembro del Sistema Nacional de Investigadores, México llega tarde a la prevención de los ciberataques, con falta de estrategia sobre el tema una policía cibernética que cuenta con bajos recursos para enfrentar este tipo de delitos.

“En México, comparado con otros países, sí vamos muy a la saga en varios aspectos, uno de ellos es la legislación. La capacidad de reacción del Estado es lenta, donde se tiene una policía cibernética en la Ciudad de México que hace lo que puede”, explicó el investigador.

Para la consultora en seguridad Kroll, los ciberataques y robo de información van en aumento en el mercado mexicano, donde en 49% de los casos se perpetran por empleados o ex colaboradores de las compañías, lo que obliga a las empresas a reforzar sus medidas de protección.

“Normalmente los casos son con empleados que están robando información o son un ataque externo. Si bien la cantidad de ataques externos es mayor, pero el éxito de los ataques internos es por empleados o ex empleados que están relacionados con este tipo de fraude”, dijo Brian Weihs, director para México de la firma de origen estadounidense.

Crecen quejas. La Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros (Condusef) reportó, con corte al 18 de mayo, un promedio de 18 reclamaciones al día por transferencias no aplicadas, imputables a fallas del SPEI.

De acuerdo con el organismo regulador, hasta la segunda quincena de mayo se tenían 152 reclamaciones, con lo que en dicho mes se tendrá el pico más alto en quejas por esta falla en el servicio.

Los datos de la Condusef destacan que Bancomer, CitiBanamex y Banorte registran el mayor número de quejas, con un total de 98.

Congreso quiere detalles. La Comisión Permanente del Congreso de la Unión pedirá por escrito al Banco de México y a la Comisión Nacional Bancaria y de Valores información sobre el ciberataque.

El senador panista, Héctor Larios, dijo que se busca citar a una mesa de trabajo a alguno de los representantes de estas instituciones.

“Lo grave es que se vuelve vulnerable el sistema de bancos, si el hackeo fuera de tal volumen, muchísimo mayor, que hiciera que el banco ya no pudiera pagarle a sus clientes entonces sería catastrófico”, indicó.

El senador del PAN, Héctor Flores, sostuvo que es necesario revisar el esquema jurídico sobre las obligaciones del Banco de México, las instituciones de crédito y las empresas que facilitan el pago electrónico.

IFT, en revisión. El comisionado presidente del Instituto Federal de Telecomunicaciones, Gabriel Contreras, dijo que la regulación técnica no tiene que ver con la ciberseguridad, porque el tema tiene que ver con la participación de usuarios, proveedores de servicios y de plataformas, empresas y de todos los que usan
la red.

“Estamos revisando cuál es el nivel que corresponde de intervención a un regulador. A escala mundial generalmente la regulación técnica de estos servicios no impacta en servicios de ciberseguridad”, dijo.

Para el comisionado no se puede decir que debe haber una regulación que sea directamente en la forma en qué se usa internet o cómo la usan las empresas, porque es una cuestión muy intrusiva que no se aborda en ninguna parte del mundo.

La ciberseguridad “no es una tarea exclusiva del regulador, estamos convocados todos” porque por ley no se puede restringir el uso del internet en el país.