Categories
Información

Fallos en SPEI: La nueva medicina

 

Ante los ciberataques sucedidos entre los meses de abril y mayo de este año, los resultados de las investigaciones llevadas y cabo y otras noticias e información sobre ataques similares alrededor del mundo, el Banco de México ha emitido nuevas medidas para evitar estos ataques.

Banxico establece nuevas medidas para futuros ciber-ataques
Banxico establece nuevas medidas para futuros ciber-ataques

En el contexto de los ciberataques de abril-mayo pasado, y ante las dudas e interrogantes que han quedado al aire, el Banco de México ha dado a conocer una serie de medidas para evitar o aminorar futuros ciberataques.

Estas medidas las dio a conocer el 27 de julio al publicarlas en el Diario Oficial de la Federación, y están dirigidas a las entidades financieras, para mejorar las medidas de seguridad.

En resumen, las medidas recién publicadas se resumen en 9 puntos principales:

  1. En caso de alerta de ciberataque, deberán seguir los protocolos de acción que establezca el Banco de México.
  2. Cada Institución Financiera deberá establecer sus propios protocolos de protección y acción ante ciberataques.
  3. Deben designar un Oficial de Ciberseguridad, encargado de diseñar, implementar y operar las medidas y protocolos de protección, así como de verificar y actualiza su funcionamiento.
  4. Deberán establecer controles de confianza tanto a su personal como al oficial y los encargados de la ciberseguridad, y terceros relacionados con el manejo y operación de SPEI, con la finalidad de evitar fugas de información y proteger los datos de los usuarios.

5 Establecer medidas de certificación y validación de la identidad de los clientes emisores, verificación de fondos de la cuenta emisora y de protección y resguardo de esos datos.

  1. Identificar a los clientes que no sean entidades financieras y que ofrezcan en forma habitual o profesional, el manejo de activos virtuales (bitcoin, ethereum y otras criptomonedas) como posibles entidades que manejas recursos de procedencia ilícita.
  2. A esos clientes que manejan activos virtuales, sólo llevarles cuentas a la vista, abiertas en entidades financieras reconocidas.
  3. No abrirles a esos clientes que manejan activos virtuales, cuentas que puedan ofrecer a sus clientes (subcuentas), en las que puedan envío o recepción de fondos a través de SPEI.
  4. Las transferencias de SPEI dirigidas a esos clientes que sin ser entidades financieras manejan criptomonedas, deberán ser siempre, transferencias al día siguiente, permitiendo que actúen los mecanismos de monitoreo y alerta.

Estas medidas se aplican y confirman en concordancia con la información que se ha dado a conocer desde el mes de mayo, y que podemos resumir en los siguientes puntos:

Hubo participación de empleados bancarios y de intermediarios de SPEI para coordinar los ciberataques.

La infraestructura de los bancos no estaba preparada para responder de inmediato a este tipo de ataques.

Muchas de las transferencias se hicieron de forma anónima, sin verificar la identidad ni la cuenta de origen.

Una parte fue transferida a recurso de bancos grandes, donde se retiró en ventanilla, apenas unos minutos después de realizada la transferencia por SPEI.

Otra parte fue transferida a subcuentas manejadas por entidades no financieras, donde fueron convertidos en criptomonedas como el bitcoin, el ethereum o el Ripple; que, por sus protocolos de encriptación, se convierten en recursos difíciles de rastrear por las autoridades.

Seguiremos informando e investigado sobre este tema.