COMUNIDAD MEDIATELECOM

COLUMNISTAS

SPEI: los puntos claros

Mediatelecom

Publicado

en

Excélsior – Alicia Salgado

Desde 2013, en el Banco de México y en el país, se han llevado a cabo acciones que han permitido ir previendo acciones de ciberseguridad, pero la forma en que escala la tecnología de redes y los protocolos de enlace, suites, ruteadores, etc., esas estrategias deben revisarse y fortalecerse a la par.

Pero como le comenté desde el primero de mayo, la integridad del sistema de pagos no ha sido afectada. Las 9 instituciones que tienen contratado a LGEC, proveedor de enlaces al SPEI, están operando con normalidad a través del COA (en modo de comprobación) para validar los envíos que tardan entre 60 y 120 minutos en transferencias mayores a 50 mil pesos y, una vez que llegan verificadas las solicitudes al SPEI, se transfieren y depositan en segundos en las cuentas receptoras.

Además, de la revisión de la ruta del dinero desde las cuentas concentradoras de los bancos o instituciones no bancarias identificadas como “vulneradas” por la intrusión externa (Banorte, Inbursa, Banjército, CPM y casa de bolsa Kuspit), se ha recuperado una buena cantidad del dinero que no fue recolectado en las cuentas receptoras después de la dispersión.

El gobernador del Banco de México, Alejandro Díaz de León, puntualizó que la suma extraída fue menor a 300 millones de pesos, mientras que el vicepresidente de la Asociación de Bancos de México, Luis Robles y presidente de BBVA Bancomer, dijo ayer que eran como 100 millones por la recuperación señalada.

Por otra parte, aquéllos que pensaron que después del niño ahogado Banxico tapaba el pozo con la creación de una Dirección de Ciberseguridad se equivocaron, pues el gobernador Díaz de León, detalló que desde el 2013 el instituto central constituyó una gerencia de cibercrimen y tiene todo un protocolo en la materia para sus sistemas y para la supervisión de las instituciones financieras que funcionan en el sistema de pagos. Toda la información de los tres sistemas, el de pagos de bajo valor, alto valor y dólares, está disponible y es pública.

Pero dicen que a la autoridad financiera siempre le beneficia la ocasión y la falla más notable fue la de coordinación entre instituciones, no sólo de la ABM que preside Marcos Martínez, sino en todos los gremios financieros relevantes donde hay custodia de recursos captados (ahorro).

Por ello, y reconociendo el avance de la tecnología y la pronta entrada en vigor de la regulación Fintech, se está revisando el Protocolo de Coordinación entre autoridades, de autoridades con las instituciones y, entre instituciones.

La ciberseguridad es un tema sofisticado y complejo, no sólo por la vistosidad noticiosa de los ataques, sino por el creciente y cambiante universo de aplicativos y modelos Fintech, por lo que la revisión de estándares de seguridad, confiabilidad y de respuesta ante contingencias, será permanente, para que siempre sean los más robustos y claramente reflejados a los consumidores y usuarios.

Así, este Protocolo de Ciberseguridad, que trabaja el subsecretario de Hacienda, Miguel Messmacher y presidente de la CNBV, Bernardo González, en coordinación con Banxico, delinea acciones de comunicación y reacción en contingencia.  El modelo es preventivo y no es sancionatorio de ninguna institución ex ante.

Se espera que esté listo y firmado por los representantes de los gremios para el viernes próximo, y presenta la forma y ruta que deberán seguir todas las instituciones financieras para reaccionar cuando haya un evento técnico, un evento operativo, o la violación interna o externa de sistemas para intentar sacar dinero por medios tecnológicos.

Para ello cada gremio (comenzando por bancos) integrará un grupo de análisis al que todos tienen obligación de informar lo sucedido, sin que ello implique que se viola la secrecía bancaria o empresarial, y ese grupo debrá avisar a las autoridades de CNBV y Banxico, para que se atienda la contingencia sin que se afecte la continuidad operativa del sistema (que funciona como toda red, como efecto dominó).

Si se identifica que el problema es técnico u operativo se arregla con aviso al resto de las instituciones del gremio e intergremial, como ocurrió con el aplicativo de BBVA Bancomer para banca móvil o el problema del disco duro del servidor de Citibanamex que afectó la operación de sus tarjetas de débito.

Si es interno o externo realizado por hackers o personal por medios tecnológicos, tienen que avisar a autoridades y, tipificar el uso de la tecnología para la realización del fraude, la que se dará a conocer al resto de las entidades para que se protejan de manera que un miembro vulnerado no implique un sistema vulnerado.

Una vez que se tipifica, el banco tiene que realizar un análisis forense en el que deben participar las autoridades de investigación de delitos financieros y cibernéticos.

Con esto se evita que los bancos no reporten a sus pares y a las autoridades lo que les está sucediendo, y se quita el oscurantismo del siglo XX.

Por último, habrá grupos de respuesta de autoridades coordinados con los involucrados para alinear el trabajo, y se obligará a cada institución a constituir un comité exprofeso para emitir los mensajes al público, el que deberá estar integrado por una persona operativa, el jurídico y el oficial de comunicación.

Los protocolos serán obligatorios para los 50 bancos comerciales, las 44 sofipos, las 157 sociedades cooperativas de ahorro y préstamo y las 89 uniones de crédito, las 36 casas de bolsa 26, el Indeval, los switches de pago, las dos bolsas y todas las asociaciones gremiales y, propongo que hasta las Fintech se sumen, ¿o no?

CLIC PARA SEGUIR LEYENDO
Advertisement
CLICK PARA COMENTAR

DEJA UN COMENTARIO

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

COLUMNISTAS

Día del internet

Mediatelecom

Publicado

en

La Razón – Roberto García Requena

El día de ayer se celebró el Día del Internet, herramienta que cada vez cobra mayor relevancia en la vida del mundo, y de todos los mexicanos en particular.

De acuerdo con cifras del Inegi, presentadas al cierre del año pasado, 71.3 millones de personas, de 6 años o más, usa Internet. Aunque esta cantidad representa un 63.9% de la población, hay un porcentaje importante de ésta que aún se encuentra desconectada.

Con base en el mismo estudio, es evidente que hay una correlación entre el uso de la red y el nivel de estudios.

Asimismo, se han generado cambios importantes en los modelos y dinámicas sociales, gracias a las tecnologías de la información. Por ejemplo, las redes sociales, las cuales se han convertido en herramientas de gran alcance para difundir información y estar conectado en todo momento.

Es por esto por lo que hoy en día muchas empresas mexicanas encuentran oportunidades de negocio en torno a las redes tecnológicas, ya sea por medio de la creación de aplicaciones, dispositivos electrónicos y en servicios de conectividad a bajos costos.

Sin embargo, como comenta Samuel Bautista, coordinador de investigación de telecomunicaciones y radiodifusión de The Social Intelligente Unit, todavía hay una brecha digital importante que atacar.

Menciona que el acceso a las tecnologías de la información y la comunicación a internet constituyen un derecho en la Constitución, pero, aun así, la mitad de los hogares mexicanos aún se encuentran offline.

Cabe mencionar que, aunque el uso de las redes tecnológicas y su desarrollo va en aumento, el porcentaje de hogares que aún se encuentran desconectados en México, es debido a las complicaciones geográficas y del despliegue de la infraestructura en estas zonas, por lo cual sigue siendo un mercado poco atractivo para los inversionistas.

En otro tema. Una vez más Tercer Grado se volvió el protagonista informativo de nuestro ambiente político. Teniendo como invitada a Margarita Zavala, la hoy excandidata sorprendió a los comunicadores de Tercer Grado al anunciar que dejaba su candidatura.

El guion y preguntas de los periodistas tuvieron que modificarse, después de la noticia que dio esta invitada en el programa. Joaquín López Dóriga, Denise Maerker, Raymundo Riva Palacio, Carlos Loret, René Delgado, Leo Zuckermann y el propio Leopoldo Gómez, demostraron a la audiencia su capacidad, su nivel de información y su agudeza, pues hicieron preguntas pertinentes y, por supuesto, propiciaron un gran programa.

La audiencia habla sola: más de 1.5 millones y más del 14% de share —televisores encendidos— fue lo que se llevó el programa, dejando ver que la TV abierta es el medio de información más importante de nuestro país.

CLIC PARA SEGUIR LEYENDO

COLUMNISTAS

Cada banco tendrá Comité de Ciberseguridad

Mediatelecom

Publicado

en

Excélsior – José Yuste

El protocolo que firmarán las autoridades con los bancos obligará a las instituciones financieras a tener un Comité de Ciberseguridad.

La creación del Comité de Ciberseguridad en los bancos es vital y ha sido analizada por la Comisión Nacional Bancaria y de Valores. Ahí, el banco deberá tener un equipo técnico, operativo y de comunicación que pueda identificar, en ese momento, qué tanta es la vulnerabilidad de un ataque cibernético.

EL AVISO RÁPIDO A LA CNBV

Sucede que muchas veces se puede confundir un ataque cibernético con lo que sería un error técnico u operativo. El ataque cibernético debe definirse por el Comité de Ciberseguridad, el cual, desde luego, verá el momento en que se trata de un fraude, ya sea provocado desde adentro o desde afuera.

Y dicho Comité será el que avise a la Comisión Nacional Bancaria y de Valores. De hecho, ha sido ésta, ahora presidida por Bernardo González, la que lleva adelante la rápida respuesta a un evento de ciberataque.

Desde que Jaime González Aguadé presidía la CNBV ya se habían detectado los puntos débiles por posibles ataques cibernéticos, y hasta se habían firmado siete principios con los distintos intermediarios. González Aguadé ya traía la preocupación de posibles hackeos. Pero la creación de este protocolo frente a un ciberataque es un paso más allá: es la constitución dentro del banco de un grupo especializado y su vinculación inmediata con las autoridades.

CNBV AVISARÁ A TODOS GUARDANDO EL ANONIMATO

En el momento en que la CNBV fue avisada de un intento de fraude cibernético, en ese instante se tipificará la caracterización del ataque. Y, quizá lo más importante: se avisará a todos los demás bancos.

Es importante mencionar que el ciberataque puede mantener el anonimato del banco o casa de Bolsa o caja de ahorro. ¿Por qué? Porque los bancos, casas de Bolsa o cajas de ahorro no quieren que se sepa que tienen un hackeo, por el temor de perder depósitos y clientes muy rápidamente.

Sin embargo, como vimos en este caso, siempre se termina sabiendo a qué banco atacó el hackeo, como fue el caso de Banorte, Inbursa y Banjército. Al fin y al cabo las cuentas de los depositantes no sufrieron merma. Todos los cuentahabientes siguen teniendo su dinero intacto.

La CNBV también definirá si el ataque cibernético es un evento sistémico, en contra de todos los bancos con el SPEI o más bien se trata sólo de un ataque a una institución. Y vendrá el grupo de respuesta inmediata. El Comité de Respuesta Inmediata estará compuesto por la CNBV (Bernardo González), Hacienda (José Antonio González Anaya), Banco de México (Alejandro Díaz de León), PGR y Policía Cibernética.

RECOMPOSICIÓN EN LA CNBV

De hecho, en la misma Comisión Nacional Bancaria y de Valores se aprovechará la incorporación de más personal (alrededor de 80 nuevos trabajadores) por la Ley Fintech (de alta tecnología), para mejorar los controles internos de ataques cibernéticos en varias áreas.

Como vemos, el ataque cibernético que se tuvo el 27 de abril ha apurado los esfuerzos para prevenir estos hackeos, pero también para saber cómo los bancos y casas de Bolsa pueden responder y avisar a las autoridades lo antes posible.

CLIC PARA SEGUIR LEYENDO

COLUMNISTAS

El Banxico cambia, más abierto; SPEI, intacto; Lorenza, hace un mes…

Mediatelecom

Publicado

en

Excélsior – José Yuste

El Banco de México decidió tomar por los cuernos la crisis de información del ciberataque a instituciones financieras. Y por segunda vez en la semana ha sido el mismo gobernador del Banco de México, Alejandro Díaz de León, quien ha salido a dar la cara.

Insistió ayer en la conferencia de las 6 de la tarde en un tema crucial, y para que quede claro: el Sistema de Pagos Electrónicos Interbancarios (SPEI), no fue vulnerado.

EL MOMENTO DEL FRAUDE… ANTES DE TOPARSE CON EL SPEI

El banquero central, por primera vez, mostró en qué parte del flujo operativo de la transferencia electrónica fue el fraude cibernético, y dejó en claro que el SPEI no fue afectado.

Las órdenes de pago de los bancos emisores tuvieron problemas al toparse con el SPEI, dado que en ese punto de conexión del banco con el SPEI fue el problema, es decir, donde el banco emisor prepara las instrucciones de pago para enviarlas al SPEI y firmarlas digitalmente. Es la manera del Banco de México de señalar que el sistema de pagos electrónico no ha sido atacado, sino al contrario: sus prevenciones y canales alternos, funcionaron bien.

Sin embargo, todavía han quedado muchas dudas, y por eso mismo están creando en la página del Banco de México el micrositio sobre SPEI, donde viene su funcionamiento y su status; Díaz de León aprovechó para decir abiertamente: “Nuestro tramo de operación electrónica, está intacto”.

LORENZA SE DECIDIÓ UN MES ANTES

También, Díaz de León, aprovechó para tocar el tema de Lorenza Martínez, directora general de Sistemas de Pagos y Servicios Corporativos del Banco de México. Lorenza ya había solicitado su salida del Banco de México desde hace un mes.

Ha sido una funcionaria eficiente, como lo muestran los resultados de la Ley Fintech (que el instituto central elaboró con Hacienda), y también todos los esfuerzos y advertencias para consolidar el SPEI. Incluso, la misma Lorenza Martínez confirmó que las órdenes de pago de los bancos con fraude, no pudieron entrar a través del SPEI. Por eso se les pidió a esos bancos con problemas electrónicos que utilizaran la conexión alterna, mucho más lenta, pero que no afecta al SPEI.

Lorenza regresó al Banco de México cuando llegó Carstens. Recordemos que durante el sexenio pasado fue subsecretaria en Economía. Y ahora, ya con la salida de Carstens (y quizá al no haber sido designada subgobernadora), pidió su salida del banco central. No fue por la crisis del ciberataque ni porque se lleve mal con Díaz de León. Se debe a una decisión personal.

APERTURA DE BANXICO SOBRE EL TEMA

Díaz de León confirmó lo que se sabía: el monto de fraude fueron 300 millones de pesos,y sí fueron cinco instituciones afectadas: tres bancos, una casa de bolsa y una caja de ahorro popular (sabemos, de manera extraoficial que los tres bancos fueron Banorte, Inbursa y Banjército, así como la casa de bolsa Kuspit y una caja de ahorro).

Lo que no se sabía fue que desde el 17 de abril se tuvo un primer ciberataque. Pero fueron diez días después, el 27 de abril, cuando un banco grande tuvo un ataque de magnitud, y es justo cuando Banorte notificó de sus problemas.

De esta manera, el Banco de México hace bien: sale al paso a toda clase de rumores y dudas que existían. Si bien el instituto central se tardó en salir a explicar de manera contundente, pues fueron dos largas semanas que se tenía poca información, ahora podemos decir que el instituto central ha empezado a tener una mucho mayor apertura en su estrategia de información sobre este primer gran ciberataque.

CLIC PARA SEGUIR LEYENDO

RELEVANTE

Bitnami