El jueves 24 de mayo, la Comisión Nacional Bancaria y de Valores (CNBV), el Banco de México y la Procuraduría General de la República (PGR) y otras instituciones bancarias firmaron un protocolo de seguridad tras el ciberataque al Sistema de Pagos Electrónico Interbancario (SPEI) el pasado mes de abril.
En entrevista para Alebrijes, Águila o Sol, Bernardo González Rosas, presidente de la Comisión Nacional Bancaria y de Valores (CNBV), explica en qué consiste este nuevo protocolo y cómo pueden los usuarios protegerse ante un posible ataque.
¿Existía coordinación entre autoridades contra ciberataques o es totalmente novedoso?
Bernardo González Rosas BGR: Sí existía la coordinación, lo que estamos haciendo es emitir un protocolo en el que autoridades y toda la industria del sector financiero se ponen de acuerdo, particularmente para una cosa, para compartir información, es decir, si había un retraso cuando una de las instituciones sufría algún ataque o ciberataque, que todos los días las reciben las instituciones, pero había cierto retraso en notificar este comportamiento y es muy importante que las autoridades sepamos, para difundir al resto de los intermediarios financieros del sector de la industria lo que está pasando y que se prevengan.
Entonces, este protocolo qué hace, crea al interior de cada una de las instituciones del sector financiero un grupo de trabajo en el que participa el área legal, el área operativa tecnológica y el área de comunicaciones para determinar cuál es la característica de la situación que están viviendo, si es una falla operativa tecnológica o si es un intento de intrusión o un ataque de alguien que quiere cometer un fraude.
En ese momento le notifican a las autoridades, a las autoridades que constituimos un grupo que se llama Grupo de Respuesta Inmediata, y ahí participa el Banco de México, la Secretaría de Hacienda, las comisiones reguladoras y la PGR, en caso de que se trate de un delito, obviamente la PGR empieza a investigar en ese momento, pero al mismo tiempo el grupo, sin decir necesariamente quién es el banco que está siendo atacado, pero se le informa a todo el sector financiero la forma en la que los delincuentes están tratando de provocar un hackeo.
Y además se coordinan las acciones en materia de investigación del sector financiero y en materia de investigación judicial sobre el fenómeno que está pasando, es un protocolo para responder de manera rápida y ante una situación, que como comentábamos anteriormente, pues cada vez vamos a ver más, los servicios financieros cada vez más son digitales y por lo tanto tenemos que estar preparados para reaccionar de manera muy rápida.
Otra cosa que va hacer el grupo de respuesta inmediata es preparar mensajes para informar tanto a los medios como al público general lo que está sucediendo, en caso de que se vea afectado el servicio financiero que otorgan los intermediarios.
¿Cómo fue posible que con todas las ‘antenas prendidas’ el 27 de abril, el 8 de mayo se presentó otro ataque?
BGR: Desde luego, fueron algunos bancos los que cambiaron al sistema alternativo, otros tenían otros mecanismos para mitigar el riesgo, desafortunadamente uno de esos no se había cambiado definitivamente, y a pesar de los mitigantes que habían establecido, bueno ocurrió de nuevo.
Aquí lo que importa es que todos estén alerta y que hubiera un control sobre las transacciones y una validación de esas transacciones, para estar seguros que no se estaban alimentando nuevamente instrucciones falsas.
Desde luego esto todavía no concluye, el Banco de México emitió un documento bastante amplio detallando cada momento qué pasó y cómo reaccionamos las autoridades, nosotros vamos a seguir acompañando al Banco de México en todo este proceso, pero sobre todo fortaleciendo nuestras disposiciones, que hay que decirlo, no es que las estemos sacando después de este evento, venimos trabajando desde octubre del año pasado, la Comisión Nacional Bancaria encabezó con las autoridades financieras la firma de 7 principios en materia de ciberseguridad, porque se veía que esto va ser ahora una de las nuevas amenazas a la estabilidad del sistema financiero global.
Les comentó el dato de que 70% de los ciberataques que ocurren en el mundo están dirigidos al sistema financiero, qué podemos hacer como industria y como autoridades, tener las reglas de última generación, como los tenemos en el caso de capitalización, de liquidez, de Basilea, para el caso de ciberseguridad los bancos van a tener que invertir y todos los intermediarios financieros mucho dinero en estar previniendo estos delitos, pero estemos claros, hay delincuentes ahí que van estar intentando constantemente vulnerar esos controles y vulnerar nuestra reglas. Entonces, lo único que nos queda es estar preparados y estar como lo estamos hoy en la Ley Fintech, en la frontera de la innovación para proteger a nuestro sistema financiero mexicano.
También puedes leer: ¿Cómo fue el ciberataque que afectó cinco instituciones financieras?
¿Qué medidas va tomar la nueva Vicepresidencia de Seguridad de la CNBV?
BGR: El secretario de Hacienda anunció y me instruyó a que formara una vicepresidencia en materia de ciberseguridad, teníamos ya un área al interior de la Comisión, era una Dirección General de Riesgo Tecnológico y Operativo, pero vamos a elevar, por instrucciones del secretario de Hacienda a rango de Vicepresidencia esta área que se va encargar tanto de la ciberseguridad, como de los riesgos en materia de tecnología de la información.
El área de supervisión Fintech dependerá de esta Vicepresidencia de ciberseguridad y lo que haremos será continuar implementando los siete principios que se habían adoptado por todos los gremios en octubre, lo haremos de manera mucho más rápida, fortaleceremos, por supuesto, nuestras disposiciones, pero sobre todo instruiremos a que todas las instituciones hagan un diagnóstico respecto a las mejores prácticas en materia de ciberseguridad para ver las brechas que hoy existen y que se cierren lo antes posible.
De todos modos, a pesar de eso, el trabajo no puede parar ahí y tiene que ser continuo, cada vez, ustedes saben que sí hay cientos de intentos de hackeo a las instituciones todos los días, nuestros controles han servido para detener esos hackeos, pero pues tiene que ser una mejora continua.
¿Habrá sanción si alguna institución no actúa a tiempo ante un ciberataque?
BGR: Hay reglas que va imponer el Banco de México, reglas que impone la Comisión Nacional Bancaria, si hay incumplimientos respecto a esas reglas, por supuesto que los vamos a sancionar, pero aquí no hay que perder de vista quién está haciendo esto son delincuentes, aquí a quienes tenemos que tratar de identificar, detener y meter a la cárcel es a quien cometió estos delitos.
Aquí las víctimas, pues es el sector financiero, desde luego, los culpables no son las autoridades, lo que estamos haciendo es tratando de tener las reglas de última generación, las mejores prácticas y los bancos invirtiendo bastante, pero el delincuente es el que hizo esto y es al que hay que perseguir y es al que hay que meter a la cárcel.
Con las Fintech el número de intermediarios crecerá, ¿Cómo se van a supervisar?
BGR: Ellos ahora, a partir de la emisión de la Ley Fintech, tienen la obligación de solicitar autorización a la Comisión Nacional Bancaria, tampoco es como que de pronto tendremos oleadas de Fintech, hemos identificado 23 empresas de crowdfunding, quizá dos o tres instituciones de fondo de pago electrónico que son las que vamos a tener que supervisar como cualquier otra entidad financiera.
Estarán sujetas a un proceso de revisión por parte de la Comisión y de aprobación del Comité Interinstitucional, así como de la junta de gobierno de la Comisión Nacional Bancaria.
Lo vamos hacer de manera ordenada, estamos trabajando con ellos como saben ustedes bien, estamos trabajando en las disposiciones secundarias que nos mandata la ley a publicar el primer paquete en septiembre de este año y hasta en tanto eso suceda, pues estaremos trabajando con ellos para tener ordenados los procedimientos y la gente que va supervisar a las entidades, hay que decir, lo que también por mandato del secretario de Hacienda, se nos han otorgado plazas adicionales en la Comisión Nacional Bancaria y estamos reclutando perfiles que conozcan los temas Fintech y de tecnología.
¿Qué harán las autoridades para encontrar a los responsables de los ciberataques?
BGR: La metodología de cómo se dio este evento, creo que está muy claro, pues quienes retiraron el dinero fueron a una sucursal bancaria dieron la cara, la verdad es que creo que tenemos suficiente información como para perseguir el delito, pero además confiamos completamente en que la Procuraduría, porque lo estamos viendo, está absolutamente involucrada en la investigación, en todas las líneas de investigación respecto a las hipótesis por lo cual ocurrió esto. Tengo mucha confianza de que, en este caso, pues vamos a saber qué fue lo que sucedió cómo y quiénes participaron.
Algunas versiones dicen que los involucrados eran mayores de edad y también que es crimen organizado, ¿Es cierto esto?
Más que la magnitud, creo que es la mecánica operativa, la mecánica operativa es la que nos preocupa, en la que sí participa gente, que en algunos casos eran cuentas abiertas hace tiempo, ahí lo que puede ser es que les ofrecieron dinero, quizá, los extorsionaron, es lo que se está investigando, pero si participaron voluntariamente tengan por seguro que estarán involucrados en la comisión de un delito.
¿Se puede decir que hubo empleados de los bancos involucrados?
BGR: Sería especular, hasta que no tengamos definitivamente la conclusión de todos los análisis que han estado haciendo los bancos y el propio Banco de México, en el momento en el que se tengan, pues estaremos informando, obviamente el Banco, ya toda la mecánica operativa. Lo que tienen que estar seguros ahorita es que la PGR está investigando y que no solo eso, la PGR también fue uno de los que firmó el protocolo de actuación para participar en el grupo de respuesta inmediata y que es fundamental su participación y de la policía cibernética para identificar las direcciones de internet de donde se cometen estas cosas.
¿Existen los elementos para llegar al fondo y encontrar a los autores intelectuales y castigarlos?
BGR: Yo sí lo creo, porque a pesar de que es un crimen sofisticado, no mucha gente puede cometerlo y eso acota mucho el universo de posibles responsables.
¿Qué tan rápida será este grupo de respuesta, cómo actuará?
BGR: Lo primero es si hay un evento tecnológico operativo que les generé preocupación, se tiene que constituir este grupo interno, ellos tienen que evaluar si se trata de un problema de hardware, software, algún problema interno, un virus, algo que pudo haber pasado adentro y por una falla tecnológica.
Y nos lo tienen que reportar a las autoridades, pero con un grado de alerta distinto, si identifican que están tratando de extraer recursos o que se trata de un ataque externo, entonces notifican al grupo de respuesta inmediata y nosotros de inmediato, estamos hablando que la gente ya está designada, para recibir estos mensajes y comunicarlo al resto de las entidades del sistema financiero para decirles: está ocurriendo un intento de fraude de esta manera y traten de prevenirlo.
¿Qué pueden hacer los usuarios para protegerse contra un ataque?
BGR: El mayor número de fraudes ocurren por el conocido ‘fishing’ que es cuando te hacen llamadas, te envían correos electrónicos pidiéndote tu usuario y tu clave para operar servicios, cuando tú lo das ya perdiste el control de tu cuenta, nadie, ningún banco te pide por teléfono, ni tu usuario, ni tu clave, ni por correo electrónico, y esa es la mayor vulnerabilidad que vemos de frente a los usuarios.
Por favor, decirle a la gente que no den su clave, su usuario, pero ni siquiera a gente de confianza o gente conocidos, porque se puede hacer un mal uso de ellos y esa creo que es la mejor defensa para que no te roben tu dinero.
Hay otras estafas más sofisticadas, pero esas la verdad es que son menos comunes, la que vemos constantemente es esta del ‘fishing’, en el que la gente confiando que si es gente del banco da datos, das tu dirección si te hablan de un banco y te ofrecen una tarjeta o un seguro baratísimo y acabas dando información de más, la verdad es que las cosas ya no funcionan así en el sistema financiero.
¿Las cuentas de los usuarios se vieron afectadas?
BGR: En ningún momento se vio afectada ni las cuentas de los usuarios ni la estabilidad de alguna de las instituciones que sufrió por este evento.
Te puede interesar: Transferencias no autorizadas afectaron a 5 grupos financieros: Banxico
Con información de Alebrijes, Águila o Sol
JLR/LHE
