elmercado.mx | México. Carlos Macías. Los focos amarillos se encendieron en enero pasado.
El martes 9 de ese mes, piratas informáticos intentaron desviar el dinero de cuentas administradas por el sistema del Banco Nacional de Comercio Exterior (Bancomext), a través del empleo de un software especializado.
Por fortuna, según informó el banco, los protocolos de emergencia se activaron de inmediato. Detectaron en breve un extraño mal comportamiento del programa. “El dinero fue protegido”, se aseguró.
Conviene precisar, desde luego, que los fondos intercambiados diariamente por Bancomext son una minucia, si se comparan con el monto diario que fluye por el sistema bancario nacional hacia el cada vez más transitado y vital sistema de pagos que administra el Banco de Mexico: el SPEI, el sistema nervioso que da cauce a la actividad financiera cotidiana de los habitantes del país.
El SPEI, como sistema de pago por excelencia, se define como el principal medio por el cual los bancos liquidan transacciones entre ellos y entre sus clientes.
De Ecuador a Bangladesh
El ecosistema financiero mundial está formado por un conjunto de actores en tecnología para las finanzas (compañías de nicho), que no necesariamente permanecen vinculados con los bancos, y/o con los grupos financieros y emisores de plástico (crédito).
Uno de los mayores actores con escasa visibilidad -si se compara con los fabricantes de antivirus- lo representa Swift.
Swift es una compañía con sede en Bruselas que podría catalogarse como un gestor de mensajería financiera global. Swift mueve cada día trillones de dólares. Este tipo de compañías han sido objetivo de hackers, en forma reiterada.
Por ejemplo, en función de los indicios de que se pudo haber vulnerado una línea de servicio bancario en Ecuador (2015) y en Bangladesh (2016), los piratas informáticos robaron, respectivamente, 12 y 81 millones de dólares a instituciones bancarias en ambos países.
Bancomext, como numerosos bancos públicos y privados en el mundo, requiere utilizar el servicio de Swift (o de otra compañía afín). La contratación de un servicio con esas características no depende de la voluntad del banco; es necesaria.
En el caso del intento de hackeo (cibercrimen) de enero, no quedó claro si éste se había originado en la interfaz de gestión de esa compañía belga con Bancomext, o no, porque su portavoz declinó hacer comentarios sobre el caso (lo cual, por sí mismo, podría considerarse una respuesta en el primer sentido), según Reuters.
El SPEI
El estado de ánimo colectivo en México, al menos desde hace algún tiempo, está predispuesto a magnificar historias sobre los efectos de eventuales ataques al sistema bancario del país. (Y de asignar responsabilidades por anticipado). Como siempre, la mejor vacuna será la información oficial puntual.
Deberá aprenderse de este trance. Desde el viernes 27 de abril, el Banco de México informó que había tres instituciones financieras que, por precaución, mantenían sus operaciones “bajo esquemas de contingencia que podrían afectar el servicio que prestan a sus clientes”. Apenas un breve comunicado adicional fue difundido por Banxico el 30 de abril.
Pero ha sido hasta este 14 de mayo cuando los usuarios pudieron disponer de cierta claridad en la información, por parte de la Banca Central.
También la reacción de la banca privada, coaligada, ha sido lenta.
La Asociación de Bancos de México (ABM) emitió un comunicado más austero que Banxico.
Ambos boletines coinciden:
-Los recursos de los clientes de la banca no han estado en riesgo.
-Los bancos responderán a la confianza de sus clientes.
-Hay retrasos en las transferencias, en particular en algunas instituciones, pero las operaciones no se han interrumpido.
-La intromisión no tuvo lugar en la plataforma del SPEI, ni del Banco de México.
El retraso en las operaciones cotidianas
De acuerdo con Marcos Martínez, presidente de la ABM, la afectación se dio en 4 ó 5% de los bancos, y de ninguna manera involucra las cuentas de los clientes. Se trata de dos bancos y una casa de bolsa (aunque también Citibanamex ha decidido extremar sus precauciones).
En realidad, desde el 27 de abril se mencionó a Banorte, a BanBanjío y a una pequeña casa de bolsa, como probables afectados.
Al parecer, los ciberataques no tuvieron como objetivo la plataforma del SPEI, sino el sistema que enlaza a esas dos instituciones bancarias hacia el SPEI.
Es decir, en la esfera estricta de la responsabilidad de Banorte y BanBanjío.
La empresa mexicana que les provee el software y las actualizaciones se denomina LGEC, Sistemas, Integración y Enlace, de acuerdo con una nota de El Economista.
La inquietud de los clientes probablemente sea disipada cuando se explique en qué consiste exactamente el recurso alterno que están empleando los bancos para reforzar su seguridad, lo cual ha acarreado cierta lentitud en las operaciones.
Con todo, debe reconocerse el hecho de que el Banco de México disponga de medidas de contingencia expresas, aplicables en lo inmediato.
El SPEI posee “Reglas del sistema de pagos electrónicos interbancarios”, actualizadas en el 2015. Y esas reglas prevén que, en caso de un imprevisto como el actual, se recurra a una metodología más supervisada, diríamos, casi manual en las operaciones bancarias. De ahí la lentitud en el proceso de pagos percibida desde hace unos días.
Se trata del recurso de contingencia denominado “Procedimiento de Operación Alterna” (POA).
Citamos el párrafo de interés:
“En aquellos casos en que los aplicativos o programas de cómputo de un Participante, que sea institución de crédito o institución para el depósito de valores, presenten un evento que afecte su operación con el SPEI, dichos Participantes estarán obligados a aplicar el procedimiento de contingencia denominado ‘Cliente de Operación Alterno SPEI’ (COAS)”.
En otras palabras, el COA consiste en una verificación casi rudimentaria, a la antigüita, con personal en funciones de refrendo de las operaciones. Mientras tanto, de modo simultáneo, todos los participantes en el sistema bancario están actualizando y revisando los sistemas de seguridad en sus plataformas.
América Latina estará en la mira
Apenas en diciembre pasado, la firma de seguridad cibernética con sede en Moscú IB-Group identificó a un “grupo desconocido de hackers de habla rusa, que presuntamente robaron al menos 10 millones de dólares a bancos estadounidenses y rusos durante el último año y medio”, reportó ABC News.
Al grupo se le conoce como Money Takers por el empleo de un software especializado para la extracción. Entre sus actividades de ciber intrusión, se refirió que penetraron un sistema de cajas de préstamo en Utah, Nueva York y California.
“El grupo Money takers también robó materiales que indican que podría estar preparándose para lanzar nuevos ataques contra instituciones en América Latina, según el informe, y podría estar tratando de violar el sistema de mensajería bancaria internacional Swift”.
Conclusión
Es muy probable que en el futuro se multipliquen las tentativas para vulnerar sistemas de seguridad financiera en el mundo. Parece ser una tendencia, consustancial a la creciente interacción global del dinero.
Las transferencias electrónicas forman parte ya del universo cotidiano, dinámico, que habitamos. La urgencia de una puntual actualización tanto del software como de las aplicaciones empleadas y de los múltiples núcleos de interfaz, por parte de las instituciones financieras y del entorno e-comerce, no es una mera opción para invertir: es un imperativo de sobrevivencia.
La obligada flexibilidad de las transferencias, dentro de los mercados financieros internacionales, también nos recuerda que el sistema de intercambio es ahora más dependiente de la tecnología, y requiere menos de las concepciones de los banqueros tradicionales, es decir, de la añeja atención interpersonal y de la proliferación de sucursales físicas. Hoy son prioridad las inversiones en mejoramiento de la red amigable en línea (incluida una ampliación de la red de cajeros electrónicos confiables), su actualización y el reforzamiento de la seguridad integral.
No sabemos hoy si para las operaciones del dinero del futuro dependeremos de una tercera parte gestora (intermediación), a la luz del despliegue de instrumentos y recursos digitales.
La criptoeconomía ha avanzado en el terreno fangoso de la ciberseguridad, asimilando a los hackers (jóvenes avezados, siempre) con jugosas recompensas por cada hoyo detectado.
Pensemos por un momento en el perfil del intruso en el ciberespacio. Esta será una gran batalla en el siglo XXI. Los jóvenes inteligentes no debieran ser cooptados por las organizaciones criminales, porque éstos transforman su pericia en el activo mayor de los ciberdelincuentes. Rusos o no, abundan ejemplos sobre cómo los jóvenes provenientes de ese país también desarrollan originales y útiles propuestas de innovación. (Véanse aquí nuestras notas sobre Ethereum, Waves, pero sobre todo la caracterización de los perfiles dentro de lo que definimos como Cultura Cripto).
En cierto sentido, hay cierto grupo de hackers en la economía digital no debieran ser vistos como amenaza; son quizá la parte más audaz en un sistema global caracterizado por la dispersión tecnológica que los ha dotado de habilidades y que los mantendrá con el laboratorio abierto: en pleno reto.
Un camino sería reflexionar sobre la forma de asimilarlos a la corriente de mejoramiento técnico, y ponerlos a trabajar al servicio y en defensa de la innovación, como han intentado los grupos de desarrollo en la criptoeconomía. Convocarlos sin descanso en los meetups y ofrecerles recompensas por cada agujero localizado. ¿O cuál ha sido el sentido original de los hackatones?
Existe ya un camino recorrido en la prueba y puesta en marcha de nuevas redes basadas en cadenas de bloques. (Véase nuestra nota acerca de los distintos blockchains). Los desafíos de la inclusión financiera conservan demasiadas conexiones con los desafíos de la movilidad social, pero también con el propio rezago social en las comunidades (y hoy la tecnología otorga cierta visibilidad a los jóvenes que crecen en ese terreno, así sean hackers).
¿Cuál es tu punto de vista sobre este proceso?
Fuentes: Banco de México, Asociación de Bancos de México, Reuters, ABCNews, Swift, El Economista.