El riesgo sigue por el hackeo a SPEI: cuidado con tu dinero

La contingencia con la que aún operan las instituciones financieras en México para el envío y recepción de trasferencias electrónicas por el hackeo que sufrieron cinco instituciones financieras en sus aplicaciones que se conectan al Sistema de Pagos Electrónicos Interbancarios (SPEI) no ha terminado y los usuarios deben guardar y monitorear los recibos de sus pagos.

Desde mediados de abril, cinco instituciones financieras sufrieron un hackeo al sistema que contratan para conectarse con el SPEI del Banco de México (Banxico) por lo que las transferencias que realizan millones de usuarios han sufrido retrasos y en algunos casos siguen sin aparecer en la cuenta de destino.

El gobernador de Banxico, Alejandro Díaz de León, dijo en conferencia de prensa que la situación de riesgo aún no ha terminado y la información que tienen sobre el ataque aún es preliminar, por lo que las instituciones seguirán operando con sistemas de conexión alternos.

“Necesitamos que terminen las pruebas forenses y eso no tiene un plazo cierto, primero tenemos que identificar todas las causas (…) No ha terminado la situación de riesgo”, comentó Díaz de León.

El Banco de México aún no tienen la certeza plena de en dónde se originó el ataque, si en el aplicativo que contratan los bancos para conectarse al SPEI, si ocurrió en el proceso operativo de las instituciones financieras o si participaron directamente empleados de éstas.

“Este tipo de ataques e incidentes no son de baja frecuencia, es un esfuerzo continuo (de los delincuentes), hay múltiples, muchos son muy poco fructíferos y hay otros más complejos y sofisticados”, dijo el banquero central.

De acuerdo con experiencias internacionales, la investigación puede tardar hasta seis meses y por lo pronto, la Procuraduría General de la República (PGR) a través de la Agencia de Investigación Criminal trabaja para esclarecer las afectaciones que han tenido las instituciones financieras. Mientras que los afectados y el propio banco central hacen sus propias investigaciones.

Mientras tanto, los usuarios seguirán viendo posibles retrasos en sus operaciones, ya que varias instituciones operan con sistemas alternos para conectarse al SPEI.

Ahí vienen las Fintech

En medio del ataque que han sufrido instituciones de gran calado y a la espera de la reglamentación de la recién aprobada Ley Fintech, que regula las Instituciones de Tecnología Financiera (ITF), destaca la vulnerabilidad que éstas puedan sufrir ante ataques cibernéticos.

Por ley, las ITF estarán obligadas a crear interfaces de programación estandarizadas que permitan la conectividad de los usuarios. Es decir, la tecnología que se desarrolle a partir de la aprobación y entrada en vigor de esta ley deberá permitir la transferencia de recursos entre bancos y las ITF, y viceversa.

Adicionalmente, la legislación permitirá que el sistema bancario tradicional y las ITF intercambien datos abiertos, que son aquellos que se generan a partir de operaciones y transacciones, sin que contengan información confidencial. Entre estos dos sistemas también podrán compartirse datos agregados con información estadística y de transacciones.

Entre los próximos seis a 24 meses se espera que en la regulación de la Ley Fintech se presenten los elementos de ciberseguridad que las ITF tendrán que cumplir. Cuestionado sobre este tema y la fragilidad que puedan enfrentar estas plataformas, el gobernador de Banxico dijo que efectivamente esto representa otro desafío para los involucrados.

“(El hackeo) nos deja con claridad que en el tema de ciberseguridad, los ataques son más sofisticados y el potencial de daños es mayor. Tendremos mucho cuidado en que los estándares sean robustos y sean reflejados a sus usuarios, es un reto adicional. En la regulación habrá cuidado”, comentó el gobernador.

¿Quiénes son las instituciones afectadas por el hackeo?

El Banco de México (Banxico) dijo que los recursos sustraídos en el hackeo suman hasta ahora, aproximadamente 300 millones de pesos (mdp), aunque la cifra aún es preliminar y podría variar en las siguientes semanas, conforme avancen las investigaciones.

Díaz de León indicó que son tres bancos los afectados, una casa de bolsa y una caja de ahorro popular, aunque por motivos de confidencialidad evitó dar los nombres, sin embargo, extraoficialmente se sabe que entre los afectados de encuentran Banorte, Banjercito y Kuspit Casa de Bolsa.

Díaz de León dijo que según las afectaciones que encuentren serán las multas que se impongan a los bancos, ya sea de acuerdo en salarios mínimos o la disposición de capital de las instituciones financieras.

¿Y los usuarios?

Alejandro Díaz de León, reiteró que los recursos de los usuarios no se han visto afectados ya que el ataque se dirigió a las cuentas concentradoras de las instituciones afectadas, sin embargo, reconoció que la acreditación de algunas operaciones que hagan los usuarios puede tardar varios días.

“Entendemos la molestia de los usuarios, nuestro compromiso es restablecer el sistema de pagos a la brevedad, la limitante para hacerlo es que se haga con seguridad”, dijo Díaz de León.

Explicó que una vez que la operación es recibida en el SPEI el 100% de éstas son procesadas y enviada en segundos.

En tanto que desde que se recibe la solicitud por parte de un cliente en los sistemas del participante (la institución financiera)  hasta el abono final, 55% de las operaciones fluye por el sistema con normalidad, en cuestión de segundos. Mientras que el 99% de las operaciones fluye en menos de dos horas, pero en algunos pagos pueden tardar uno o más días en reflejarse.

Algunos usuarios han visto retrasos de cinco días para recibir el dinero que les envían vía SPEI, además, hay casos en los que su operación está en el “limbo”, ya que al rastrearla con el folio generado por su banco, el sistema no logra ubicarla.

No obstante, ninguno de los bancos afectados ha informado oficialmente de la situación a sus usuarios. Asimismo, mientras que hace algunos días bancos como Banorte tenía disponible el servicio de SPEI las 24 horas del día durante toda la semana, ante la contingencia el servicio se limita de lunes a viernes de 6:00 a 17:00 horas.

El miércoles por la mañana el vicepresidente de la Asociación de Bancos de México, Luis Robles Miaja, dijo en un evento que la cifra afectada era “ridícula”, ante esto Díaz de León dijo que este calificativo está completamente fuera de lugar, ya que el ataque vulnera el funcionamiento del sector y deja a los usuarios preocupados por su dinero.

Por lo pronto, los usuarios pueden ingresar a la página de internet del banco central, en donde diseñó una aplicación para que puedan estar informados de todo lo relativo a la situación del SPEI.

Más vigilancia a las operaciones

Banxico publicó este jueves en el Diario Oficial de la Federación (DOF) una circular sobre las reglas del SPEI con la que los bancos deberán dar un tratamiento especial a transferencias interbancarias iguales o superiores a 50,000 pesos.

Para estas operaciones Banxico establece un plazo fijo de un día para que las entidades receptoras de transferencias de fondos por los montos mencionados puedan entregar a sus beneficiarios los recursos correspondientes a dichas transferencias, únicamente tratándose de disposiciones en efectivo o cheque de caja, sin que, por ello, se afecte la acreditación de dichos recursos en las cuentas respectivas o su disposición de cualquier otra manera.

Las Entidades Receptoras deberán permitir a sus clientes, como beneficiarios de las transferencias , que dispongan de dichos recursos, mediante la entrega de efectivo o cheque de caja emitido, en su caso, por dichas Entidades Receptoras, incluida la entrega de efectivo por el pago de cheques librados, en su caso, con cargo a las correspondientes cuentas de dichos clientes, únicamente a partir del día hábil bancario siguiente a aquel en que se haya ejecutado la transferencia o traspaso de que se trate.

Lo anterior para tener una mayor vigilancia de las operaciones.

Carmen Luna Economista-Reportera, escribo sobre política fiscal y monetaria