El Rumbo de la Ciberseguridad en México

El Rumbo de la Ciberseguridad en México

El sistema de pagos electrónicos interbancarios del Banco de México (SPEI), es un puente entre bancos que permite hacer transferencias de dinero las 24 horas del día los 365 días del año. Dicha institución cuenta con tres proveedores autorizados que fungen como intermediarios para llevar a cabo la conexión y realizar 1.7 millones de operaciones diarias. Si bien el sistema es un símbolo de la transición hacia lo digital de nuestro sistema financiero, lo ocurrido el pasado mes de abril pone en tela de juicio las medidas de ciberseguridad de dicha institución y la fiabilidad de todo el sistema financiero.

El robo de aproximadamene 400 millones de pesos sucedió a través de la  suplantación de instrucciones de pago, es decir, se reemplazaron peticiones válidas modificando la información de dicha instrucción. Pese a que el Banco de México mitigó la crisis y tomó medidas, no podemos ignorar la gravedad del asunto y menos aún cuando México se encuentra en el quinto lugar de los países con más ataques informáticos según un estudio del FBI realizado en 2017.

En Itera, como especialistas en seguridad y partners del EC-Council, podríamos hacer una serie de recomendaciones y medidas para evitar que un percance de esta magnitud suceda de nuevo, por ejemplo, poner especial énfasis en las pruebas de intrusión del SPEI y apegarse a los acuerdos internacionales. Sin embargo, estas medidas ya se conocen, lo que hace falta, es cumplir los  acuerdos y apegarse a estos. Me refiero a que  en 2017 se dio el primer foro de ciberseguridad con representantes de la CNVB, la Secretaría de Hacienda y Crédito Público y la iniciativa privada donde se firmó una declaración de principios para fortalecer la seguridad del sistema financiero. Ahí se comprometieron a cumplir cierta normativa para efectos de ciberseguridad. Entre los principales puntos, destacan:

  1. Adoptar y mantener actualizadas políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciberseguridad.
  1. Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades, sobre ataques ocurridos en tiempo real y su modo de operación, estrategias de respuesta, nuevas amenazas, etc.
  1. Impulsar iniciativas para actualizar los marcos regulatorios y legales que den soporte y hagan converger las acciones y esfuerzos de las partes, considerando las mejores prácticas y acuerdos internacionales.
  1. Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros del país.
  2. Fomentar la educación y cultura de ciberseguridad entre los usuarios finales, y el personal de las propias instituciones.

El problema de ciberseguridad en nuestro país no es la falta de medidas o de acuerdos, es el cumplimiento de ellos. Tras el ataque en cuestión, el Banco de México creó una dirección de ciberseguridad, misma que de acuerdo a los principios del foro antes mencionado, debía de existir ya. El tema de la comunicación entre instituciones, dejó mucho que desear; según el punto dos del acuerdo, deberieron existir medidas más claras y sistematizadas. Así se podrían analizar todos y cada uno de los puntos que no se cumplieron y que sin duda hubieran evitado o al menos disminuido el impacto del ataque.

El rumbo de ciberseguridad debería tener un camino más claro, desde nuestro punto de vista, consideramos que es necesario comenzar con lo básico y con ello me refiero justamente al punto número cinco. Educación y cultura en ciberseguridad para empresas, sociedad y gobierno. Debemos comenzar paso a paso si realmente queremos tener un sistema de calidad y avanzar en dicha materia. En una época de cambio político, tener un gobierno 2.0 está en nuestras manos y debe de ser una prioridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.