Alcance global

ES EN
Business Advisory Services

Hackeo a SPEI revela vulnerabilidad en el sector financiero

Para el día de hoy la noticia al hackeo de Pagos Electrónicos Interbancarios (SPEI) ya es conocida en todos lados, esto gracias a que el Banco de México lo reconoció en días pasados. El ciberataque al SPEI está identificado, contenido y mitigado; calculan movimientos por hasta 820 mdp y un estimado de 400 millones de pesos retirados. Aunque este ataque ya fue mitigado, los sistemas permanecen en alerta y aún se registran retrasos en dichas operaciones bancarias. 

El robo de los 400 mdp fue a través de un ciberataque a tres proveedores de sistema de comunicación entre bancos y el SPEI. El dinero fue dispersado en varias cuentas y fue retirado de forma inmediata. 

Un factor importante en este caso específico son los proveedores de servicios tecnológicos de las instituciones, ya que las investigaciones indican que la vía por la que se realizó el presunto robo fue a través de los proveedores externos que interconectan a los bancos con el SPEI de Banxico, por lo que varias de las instituciones bancarias, alrededor de 20, optaron por utilizar un programa de contingencia, es decir, un sistema alterno al SPEI, que genera retrasos en las transferencias electrónicas. 

Con esto podemos entender que el problema no está en el sistema del SPEI sino entre la plataforma y el banco, el cual es proporcionado por un proveedor de servicios externo, por lo que el sistema de Banco de México no ha sido vulnerado. 

Derivado a esta contingencia Banxico ha creado un área especializada en ciberseguridad, la cual propone como primera medida que los pagos interbancarios mayores a $50,000 pesos no se operaren el mismo día. 

Para el martes 9 de enero del 2018 empleados del Banco Nacional de Comercio Exterior (Bancomext) fueron desalojados de la sede de la institución por la tarde, después de una alarma sobre un presunto robo de 100 millones de dólares en un ataque cibernético.

El organismo reconoció ese día, en un comunicado, que había suspendido operaciones a las 13:30 horas de manera preventiva "debido a un problema operativo en su red informática interna", pero no habló de un hackeo. Los directivos hasta el día siguiente confirmaron a los empleados que hubo un ataque cibernético que pretendía sustraer el monto millonario pero que el robo fue evitado y el recurso quedó congelado.

En el ataque cibernético que sufrió la plataforma de pagos internacionales de Bancomext no hubo retiros de dinero ni pérdidas, aseguró Efrén García, director de Comunicación Social de la institución. 

Como se puede ver actualmente es más fácil de acceder a nuestra información a través de diferentes dispositivos, incluso móviles. Por ende, esta información también está expuesta a un sin fin de vulnerabilidades que dependen del sistema y de los dispositivos con los que se manipule.

De acuerdo con datos de Symantec, durante 2017 México ocupa el quinto lugar a nivel mundial en pérdidas por ciberataques con un total de 7.7 millones de dólares. 

Todo esto nos hace reflexionar si realmente nuestros sistemas están blindados, si nuestra información es segura y también preguntarnos si nuestros proveedores, aliados o socios que de alguna u otra manera acceden o tienen contacto con nuestros sistemas, cuentan con los niveles de seguridad óptimos, derivado de que los hackers siempre van a buscar el hilo más delgado para vulnerar un sistema, que en este ejemplo se trata de proveedores bancarios, por lo que las instituciones financieras y no financieras deben tomar medidas de mayor seguridad para mitigar este tipo de ataques.

De aquí la importancia actual de la seguridad de los sistemas de información e incluso las pruebas y revisión constante de vulnerabilidades en nuestras empresas, para ayudar a garantizar que se encuentran seguras o fuera de peligro. 

Información Adicional

Grant Thornton México, a través de la División de Business Advisory Services cuenta con personal de experiencia en la materia de seguridad de información, que puede ayudar a revisar o probar los sistemas de seguridad implementados en las empresas privadas, financieras y gubernamentales. 

En el parea de Business Advisory Services también puede ayudar en temas y en servicios  de ciberseguridad como: Hackeo Ético o Pen Test - Identificación de vulnerabilidades - Escaneo de Puertos - Pruebas de penetración externa e interna - Prevención y Detección de Fraudes de TI- - Identificación y evaluación de riesgos de fraude - Pruebas para identificación de deficiencias en las operaciones - Monitoreo de las operaciones - Revisión de privilegios de acceso Forense de TI - Investigación de información de TI - Rastreo de transacciones de TI - Recuperación de información borrada de computadoras y dispositivos - Armado de expedientes con evidencia para fincar responsabilidades.

 

Fuentes: 

http://www.sinembargo.mx/15-05-2018/3418366

https://www.reforma.com/aplicacioneslibre/articulo/default.aspx?id=1296969&md5=77a2f598cd592b61fe33bbb65ee8c0db&ta=0dfdbac11765226904c16cb9ad1b2efe&lcmd5=ee6f95cfb8be90ce79c95e84c7781348