Banxico ha incorporado controles para incrementar la protección de sus activos

Banxico ha incorporado controles para incrementar la protección de sus activos

Banxico comparte información actual sobre SPEI y medidas de ciberseguridad. (AP, archivo)

El Banco de México (Banxico) ha procurado la máxima seguridad de los sistemas que opera, además de que ha procurado proteger la confidencialidad de la información que maneja, destacó Alejandro Díaz de León, gobernador del Banco de México, quien explicó que el banco central “ha incorporado diversos controles tecnológicos y administrativos, conforme a mejores prácticas internacionales con el fin de incrementar el nivel de protección de sus activos informáticos”.

Señaló que Banxico “ha adoptado procesos de gestión de vulnerabilidades y de incidentes y, cuando ha sido necesario, ha recurrido a servicios de evaluación de seguridad por parte de expertos. El Banco de México cuenta con personal altamente capacitado en seguridad informática, y con procesos robustos de protección y monitoreo de sus sistemas e infraestructura”.

Díaz de León subrayó que “en 2013, el Banco de México creó la Gerencia de Seguridad de Tecnologías de la Información como principal responsable de procurar la ciberseguridad en la Institución”.

De acuerdo con un documento en su portal de internet, Banxico explica que “la misión de esta área es asesorar, administrar y dirigir proyectos y actividades conforme la estrategia de protección informática institucional, para proporcionar servicios de seguridad tecnológica de vanguardia que permitan al Banco operar de manera confiable y oportuna. Esta gerencia cuenta con un equipo especializado que detecta y responde a incidentes de seguridad informática con un Centro de Reacción Temprana; también ha desplegado herramientas básicas de protección (antivirus, firewalls, detectores de intrusos, tokens de acceso, etc.), e implementa controles sofisticados de seguridad.

Se subraya que, “desde su creación, el SPEI fue diseñado por Banco de México con elementos de protección robustos como uso de firmas electrónicas en todos sus intercambios de mensajes; plataformas de telecomunicaciones privadas y cifradas; y con mecanismos automatizados orientados a mantener la integridad de los datos intercambiados. Con apoyo de expertos internacionales, realiza revisiones de seguridad en el sistema SPEI. En términos regulatorios, exige a los participantes en el sistema que establezcan controles estrictos de seguridad, en su infraestructura y procesos, protegiendo principalmente al público usuario del sistema”.

A finales de 2016, explicó Díaz de León, y después de “distintos incidentes internacionales de ciberseguridad en el sector financiero y el creciente número y sofisticación de los mismos, el Banco de México decidió hacer una revisión profunda de su estrategia de ciberseguridad que le permitiera identificar oportunidades de mejora y transformación”.

Como primer paso, se explica en el portal del Banxico, “contrató a una consultora internacional para realizar una evaluación integral del estado de la ciberseguridad del Banco de México, la cual consideró aspectos tecnológicos, humanos y de procesos; a través de una metodología propia basada en estándares y prácticas internacionales, esta evaluación indicó que si bien el Banco tenía un nivel razonable de seguridad, era importante robustecer dicho nivel dado su papel como institución estratégica y financiera”.

En 2017, “con el apoyo y acompañamiento de los consultores se elaboró e inició un programa de trabajo con líneas de acción que permitirán reforzar la estrategia de ciberseguridad del Banco en 4 grandes pilares:

  • Proteger la información y sus procesos, no sólo los sistemas y aplicaciones informáticas. La ciberseguridad en Banco de México abarcará aspectos adicionales a los tecnológicos, como seguridad de la información.
  • Abordar el tema desde una perspectiva proactiva y dinámica que permita salir en busca de indicadores de compromiso o prevención de riesgos, en lugar de sólo reaccionar a incidentes informáticos.
  • Enfocar la seguridad de la información a todo el ecosistema, extendiendo requerimientos hacia las instituciones financieras que interactúan con Banco de México.
  • Reforzar la gobernabilidad de la seguridad de la información, reorganizando áreas, dotando de recursos humanos, y diseñando políticas institucionales de ciberseguridad. En particular, se planteó concentrar estas funciones en una Dirección de Ciberseguridad para mejorar la gobernanza de la protección de la información, establecer políticas institucionales de ciberseguridad y definir las estrategias que se adoptarán dentro y fuera del banco”.

Finalmente, dijo Alejandro Díaz de León, antes de que ocurriera el ciberataque a instituciones financieras en México, el banco central había definido “mecanismos que atienden requerimientos de la Ley de Protección de Datos Personales y de la Ley de Transparencia. Con respecto a contar con una cultura más activa de protección, se reforzaron áreas técnicas de seguridad informática; así como de los mecanismos de evaluación y protección de vulnerabilidades informáticas. En cuanto a cuidar la ciberseguridad del ecosistema, se están creando nuevos contratos y disposiciones a la Banca, en su conexión a la Red Financiera, que imponen requerimientos de seguridad de la información. Adicionalmente, la Junta de Gobierno autorizó, el 24 de abril de 2018, la creación de una Dirección de Ciberseguridad”.

Ahora, informó el gobernador del Banco de México, la institución puso a disposición del público en general un micrositio con información de la situación que guarda la operación del Sistema de Pagos Electrónicos Interbancario (SPEI). En este sitio existe una descripción de los incidentes recientes y el estado de operación del sistema, con información útil para el público usuario del SPEI, la regulación que deben seguir las instituciones Bancarias al operar con el SPEI, así como una descripción de la estrategia de ciberseguridad que sigue el Banco de México para proteger su infraestructura y sistemas con los que se interactúa con el sistema financiero.

De acuerdo con Díaz de León, se tienen registrados cinco participantes con vulneraciones de ciberseguridad. “Todos los ataques que se han observado han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del sistema de pagos. Estos han estado enfocados en los sistemas de los participantes con los que se conectan al SPEI”.

Señalo que “el sistema central del SPEI, que opera el Banco de México, no se ha visto afectado y no ha sido blanco de ningún ataque. El sistema central opera de manera segura y eficiente como lo ha hecho desde su creación”.

“Los recursos de los clientes de instituciones financieras están seguros, no estuvieron en peligro y no han sido el objetivo de ataques. Los recursos que se han extraído han sido de los participantes (bancos, casas de bolsa, etc). Los atacantes han buscado vulnerar las conexiones de las instituciones con el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo cual afecta la cuenta transaccional de los participantes en el SPEI, pero no las cuentas de los clientes finales. Los recursos de los clientes están seguros porque radican en un sistema separado con validaciones individuales por operación”.

Según el documento de Banxico, “para salvaguardar la continuidad operativa, el Banco de México alertó a los participantes en el SPEI y solicitó a los participantes con un mayor perfil de riesgo migrar la operación a una plataforma contingente”. Este esquema de operación contingente y las validaciones adicionales que han implementado los participantes han propiciado lentitud en el flujo de los pagos.

Una vez recibidas en el SPEI, “el 100% de las operaciones son procesadas y enviadas a los participantes receptores en segundos. Por otra parte, desde que se recibe la solicitud por parte de un cliente en los sistemas del participante hasta el abono final el 55% de las operaciones fluye por el sistema y los participantes con normalidad en cuestión de segundos, mientras que el 99% se opera en menos de dos horas. No obstante, en algunos casos estas acreditaciones pueden tardar uno o más días”.

Díaz de León explicó que el banco central es consciente de la preocupación y el malestar de los clientes, por lo que “trabaja para que los participantes agilicen sus procesos para abonar en el menor tiempo posible los recursos de sus clientes y con ello minimizar la afectación a los mismos”.

Con la información disponible, puntualizó el gobernador del Banco de México, “los montos involucrados en envíos irregulares y sujetos a revisión son de aproximadamente 300 millones de pesos”.

De acuerdo con Díaz de León, “los participantes de SPEI tienen obligaciones de ciberseguridad establecidas en la regulación que emitió el Banco de México desde julio de 2017. Las principales medidas en materia de seguridad debían estar aplicadas a finales de 2017. Cabe destacar que parte de la regulación emitida se refiere a los aplicativos de fueron vulnerados en algunos participantes”.

Detalló que el banco central “inició los procesos de supervisión para el cumplimiento de requerimientos de ciberseguridad durante 2017 detectando un nivel de cumplimiento heterogéneo. A la fecha se tienen iniciados procesos de supervisión sobre el cumplimiento de requerimientos de ciberseguridad por parte de los participantes en diferentes sistemas del Banco de México”.

 

(Con información de Banxico y FOROtv)

tfo

CARGANDO...