Banner




Ud. está aquí
Banner
Banner

Tema Principal

Correo electrónico Imprimir PDF
y_el_futuro_nos_alcanzo
jose_luis_de_la_cruz
mario_di_costanzo

El Viernes Negro del Ciberataque y los Huecos en Digitalización que Producen Vulnerabilidad

*El Banco de México no Está Completamente a la Altura

*Urge Legislar del Tema y de la Tecnología mal Aplicada

*El Engaño Electrónico no Está Tipificado Como Delito

*La Ciberseguridad es Sólo un Elemento, Faltan Otros

*Urgen Expertos que Sepan Enfrentar a los Criminales

Por Jesús Michel Narváez

Por falta de expertos en cibernética que vayan más allá de la programación y los cortafuegos; legislación adecuada a los tiempos “porque el futuro ya nos alcanzó”; medidas de seguridad que impidan el hackeo no solo a los bancos sino a las instituciones del Estado y la ausencia del Instituto Federal de Telecomunicaciones (IFETEL), han puesto en evidencia la inseguridad de las operaciones financieras de todo tamaño y en todos los ámbitos.

El 14 de abril, viernes, las alertas sonaron, pero no lo suficiente. Se detectó que las transferencias electrónicas del Sistema de Pagos Electrónicos Interbancarios (SPEI) tardaban más de lo debido y en algunos casos no se concretaron. Viernes de quincena. Viernes negro para la seguridad en materia financiera.

Durante dos semanas solamente se difundieron rumores. Se hablaba de cinco bancos y una casa de bolsa afectadas. No se revelaron nombres. Sin embargo, el mismo 14 de abril por la noche se sabía con certeza que Banorte había sino uno de los bancos hackeados y que de sus fondos fueron sustraídos 100 millones de pesos. Otros nombres de instituciones afloraron: Cajas Huastecas, Bancomer, Banjército y BanBajío. Oficialmente se reconoció que “cuatro bancos denunciaron el hackeo ante la Procuraduría General de la República”, pero formalmente no se conocen los nombres por la “secrecía de la investigación”.

El pasado jueves, el Banco de México anunció el blindaje en el sistema financiero nacional y junto con éstas, creó un escudo en el que participan la Secretaría de Hacienda, la Comisión Nacional Bancaria y de Valores; la PGR, la Condusef, la Consar, la CNSF y estará encabezado por el Banco Central.

Para el presidente de la Asociación Mexicana de Bancos, Marcos Martínez, el mayor efecto del hackeo fue la “reputación de (los bancos) ante sus clientes.

Ante el ya conocido como “ciberataque”, MISIÓN POLÍTICA buscó opiniones entre quienes conocen el funcionamiento de la seguridad en las instituciones financieras. El doctor José Luis de la Cruz Gallegos, director del Instituto para el Desarrollo Industrial y el Crecimiento económico A.C. (IDIC) y la del presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), Mario di Costanzo para conocer si el Banco de México y los bancos privados están blindados frente a los criminales cibernéticos.

“El hecho de que se haya generado la Dirección de Ciberseguridad en el Banco de México manda dos mensajes. El primero, que fue una acción tardía, es decir una vez que se generó un hecho donde se muestra la vulnerabilidad que las transacciones electrónicas pueden llegar a tener en los bancos, y que la regulación y la supresión evidentemente tienen que revisarse a profundidad, porque es evidentemente que no se tiene contemplado algo muy básico: en la parte digital los hackers y quienes buscan aprovechar de los huecos que hay, de esta parte de comunicaciones, lo van a hacer y ha ocurrido en el sistema financiero mexicano”.

Lo dice De la Cruz Gallegos, quien sostiene también que el Banco de México no está de momento completamente a la altura de esta necesidad en donde todo marcha hacia la digitalización, hacia la automatización.

Mientras, Di Costanzo afirma que urge legislar sobre el tema “porque el futuro ya nos alcanzó” y “lo estamos viviendo. La Banca hace más operaciones a través de las redes, desde la tecnología de información, el uso del Internet, el de las telecomunicaciones para hacer operaciones bancarias, esto como en muchos países del mundo, deja abierta la posibilidad de que la tecnología mal aplicada también opere, tenemos muchos ejemplos en el mundo de bancos, incluso centrales, que se han hackeado como es el caso de Bangladesh”.

Por ello, el exlegislador federal plantea: debemos tener una ley en la materia ad-hoc, por ejemplo, yo lo venía diciendo con el tema de los usuarios, que venimos tratando en la Condusef desde hace dos años, en las medidas de prevención para no dar información, para evitar el pishing, de engaño a la gente para robarle sus datos y hacer operaciones cibernéticas.

“Hay empresas, gobiernos que han sido hackeados, como la Casa Blanca, el FBI, y lo que tenemos que ver es que ya estamos en el futuro y urge actualizar mucho porque no solo son los sistemas, desafortunadamente así es. Yo fui legislador y no existe la ley perfecta, todo es mejorable y en los sistemas es así es un asunto dinámico, no podemos decir que vamos a tener el sistema que va a ser perfecto, ante cualquier hackeo, es un asunto dinámico que va evolucionando pero, lo que si tenemos que hacer es adecuarnos a las nuevas circunstancias”, asevera el presidente de la Condusef

EL ENGAÑO ELECTRÓNICO NO ESTÁ TIPIFICADO

En el Código Nacional de Procedimientos Penales y en el Código Penal Federal no se tipifica como delito que alguien con conocimientos cibernéticos diseñe una página, la suba a Internet y la haga circular entre cuentahabientes de determinado banco.

Por ello, la denuncia por fraude en tarjetas de débito, de crédito y cuentas bancarias aumentó exponencialmente durante el último año.

¿La forma de combatir la presencia de los piratas cibernéticos?, solo hay una en opinión de Di Costanzo:

Trabajar en conjunto e ir incluso adecuando la legislación, porque si hoy una persona hace una página que se llame Bancomer Aclaraciones, no es delito, no está tipificado eso como delito y vaya que con una página de esas puede engañar a cualquier usuario.

“Ya llegó la hora de que vayamos tratando el tema en el Instituto Federal de Telecomunicaciones, porque si finalmente todas las transacciones se hacen por redes, en Internet, creo que el regulador en telecomunicaciones tendrá algo que decir para mejorar una regulación en protección de los bancos y de los propios usuarios”. Asevera en tono enérgico.

Porque finalmente esto los va a llevar a desarrollar nuevos conceptos, se habla mucho de que fueron proveedores los que fallaron y te voy a dar un ejemplo, esto nos debe servir para otros ámbitos no necesariamente solo financieros, habrá que tener cuidado con las bases del IMSS, la Tesorería de Pemex, etcétera.

Y así como tenemos los personajes políticamente expuestos, diría que estamos empezando a conocer un nuevo concepto que se llamaría personajes cibernéticamente expuestos, quién diseña los programas y los sistemas en x o y institución, puede ser bancario o no y si saben cómo están los caminos, conocen cuáles son las fortalezas o las debilidades, y yo creo que una persona así debería ser cibernéticamente expuesto.

¿Hay vulnerabilidad en el control de las transferencias  electrónicas?, se le pregunta a De la Cruz Gallegos. La respuesta a flor de labios:

“Digamos que eso es evidente cuando se nota que existe una pérdida de cientos de millones de pesos en estas transacciones. Es muy claro que eso no se puede negar, además es evidente que ningún sistema electrónico y de comunicaciones electrónicas es cien por ciento seguro; las propias agencias de investigación en Estados Unidos han sido víctimas de hackeo. Sin embargo, cuando se habla de la parte financiera, de la parte de los recursos, de la sociedad, empresas, hogares, uno lo que esperaría es prevención y tener estas unidades contra los ciberataques debió haber sido un elemento que desde el inicio estuviera presente”.

¿Hubo una reacción tardía y hubo un control de daños en lugar de habernos informado lo que había pasado?

JLCG.- Sí, y además habría que ver que, formalmente ya está establecida esta dirección (ciberseguridad) pero tampoco es que se pueda improvisar. Tener el control de todo implica contar con gente altamente capacitada, especializada y con los sistemas de cómputo, de programación operando para evitar que esto ocurra. Apenas va a iniciar y falta toda la infraestructura que requiere.

Frente a las medidas anunciadas y tomadas por el Banco Central, el especialista estima que no son suficientes. Lo explica así: “Yo creo que todavía no, porque si bien se genera esta decisión de Ciberseguridad, pues evidentemente eso es solo un elemento, hay elementos de regulación, elementos de supervisión, temas de infraestructura y de normalización que todavía deberán de implementase para atajar este problema, para que no se repita y para darnos cuenta que en un futuro, esto va a seguir existiendo, y que además todavía se va a hacer más sofisticado, por nuevos esquemas de programación, nueva ingeniería tecnológica, entonces me parece en ese sentido que se debe ser más acucioso”.

De ahí, abunda. La necesidad de que tanto el Banco de México como el resto de las instituciones financieras y bancarias cuenten con personal altamente capacitado en materia cibernética. No se trata, dice, solamente de tener programadores sino de contar con expertos que sepan hacer frente a los criminales que, ellos sí, saben cómo entrar a direcciones electrónicas, crear cuentas falsas, sustraer recursos y después cobrarlos.

EL SILENCIO DE LA TRAMA

Para quienes utilizan el SPEI como camino para dispersar sus nóminas, realizar pagos a acreedores nacionales o extranjeros, cubrir anticipos por compra de artículos y productos entre otras muchas operaciones, el silencio de las instituciones bancarias y del mismo Banco de México, provocó la aparición del pánico.

Nadie explicaba si los desvíos de recursos para depositarlos a cuentas diferentes a las que ordenaban los transferentes afectarían a los usuarios del SPEI.

Durante las siguientes 72 horas –de viernes a lunes- de conocido el rumor y después la confirmación semioficial del hackeo, miles de personas no supieron el destino de sus pagos.

El silencio fue el control de daños.

Escribir un comentario