Se encuentra usted aquí

El SPEI y los ciberataques

Miércoles, 23 de Mayo 2018 - 15:00

Autor

captura_de_pantalla_2015-04-21_17.10.49.png
José Luis Fernández

Compartir

ciberataque.jpg

 

En sucesivos comunicados de prensa emitidos por el Banco de México, se informó sobre las afectaciones de algunos participantes en el servicio de transferencias electrónicas del Sistema de Pagos Electrónicos Interbancarios (SPEI). Hasta la fecha no hay ninguna afectación a ningún cuentahabiente.

El periodista Darío Celis en su columna Tiempo de negocios señala que el monto sustraído ilegalmente por los hackers en las últimas cuatro semanas de las cuentas concentradoras de al menos cinco intermediarios financieros asciende exactamente a 310 millones 650 mil pesos.

De la casa de cambio Kuspit en dos hackeos, el 13 y 17 de abril del 2018 sustrajeron 3.3 millones de pesos. Después, el 24 de abril, se fueron contra Banjército, al que le birlaron 3.5 millones de pesos. El pasado 27 de abril del 2018, le bajaron 150 millones de pesos a Banorte. El 8 de mayo del 2018, se consumó el hackeo más alto. Fue contra Inbursa. A esta institución le sustrajeron 153 millones de pesos. Unos días después fueron contra la caja de ahorros Las Huastecas. Le sustrajeron 850 mil pesos.

El dinero sustraído se dispersó en diversas cuentas de BBVA-Bancomer, de Citibanamex, de HSBC y de Santander. De ahí fue retirado físicamente por particulares.

Para entender lo que ocurrió se tiene que comprender el Sistema de Pagos Electrónicos Interbancarios. De acuerdo a Banxico, puede conceptualizarse como una tubería central a la que se conectan los participantes (los bancos, las casas de bolsa y otras entidades financieras reguladas) sobre la cual, se cargan y abonan las cuentas de los participantes con el Banco de México para poder liquidar las operaciones entre participantes, ya sea que hayan sido enviadas por cuenta propia o por cuenta de sus clientes.

Para realizar esta conexión con el SPEI, los participantes realizan desarrollos propios o contratan a terceros para que les brinden este servicio.

El funcionamiento del SPEI comienza cuando el cuentahabiente instruye desde su banca electrónica o aplicación móvil a su institución financiera los pagos que desea realizar. Esto se hace por medio de contraseñas, elementos dinámicos (tokens), pruebas de posesión de dispositivos (como mensajes a teléfonos móviles pre registrados), etc...

Se validan los elementos de seguridad de la instrucción y se guarda evidencia de que realizó esta validación.

La institución financiera prepara las instrucciones de sus clientes, les incluye elementos de seguridad adicionales sobre los cuales únicamente ellos tienen el control y los envían al SPEI de Banco de México. Ésta es la etapa que fue vulnerada en el caso de los ciberataques recientes.

Posteriormente, siguiendo el funcionamiento del SPEI, el Banco de México verifica las firmas electrónicas de los participantes y procede al procesamiento y posterior liquidación al participante receptor del pago.

Por último, se informa a los participantes involucrados en la transferencia de recursos de la liquidación y el participante receptor del pago acredita los fondos en la cuenta de su cliente y envía al Banco de México la información para generar el Comprobante Electrónico de Pago (CEP).

En los últimos años, para reforzar la ciberseguridad el Banco de México ha tomado varias medidas. Así en 2013, el Banco de México creó la Gerencia de Seguridad de Tecnologías de la Información como principal responsable de procurar la ciberseguridad en la Institución.

Las Reglas del SPEI se dieron a conocer mediante la Circular 14/2017 emitida por el Banco de México y publicada en el Diario Oficial de la Federación el 4 de julio de 2017.

Recientemente, el pasado 24 de abril de 2018, la Junta de Gobierno del Banco de México autorizó la creación de una Dirección de Ciberseguridad.

En el mismo sentido, el Banco de México emitió la Circular 04/2018, de fecha 17 de mayo de 2018, en la que se establecen las disposiciones generales aplicables al servicio de transferencias de fondos y los sistemas de pagos administrados por el Banco de México y la Circular 05/2018 también, de fecha 17 de mayo de 2018, en la que se modifican las reglas del Sistema de Pagos Electrónicos Interbancarios (SPEI).

diagrama-spei.png
Diagrama del SPEI

Fuente: Banco de México

acrord32_2018-09-18_14-50-29.jpg
Número 21 - septiembre 2018
Descargar