El Banco de México dio a conocer la situación que prevalece en el Sistema de Pagos Electrónicos Interbancarios (SPEI), señalando que se tienen registrados 5 participantes con vulneraciones de ciberseguridad y que todos los ataques que se han observado han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del sistema de pagos.
Estos han estado enfocados en los sistemas de los participantes con los que se conectan al SPEI. Los montos involucrados en envíos irregulares y sujetos a revisión son de aproximadamente 300 millones de pesos.
«El sistema central del SPEI, que opera el Banco de México, no se ha visto afectado y no ha
sido blanco de ningún ataque. El sistema central opera de manera segura y eficiente como
lo ha hecho desde su creación».
Mediante un comunicado asegura que los recursos de los clientes de instituciones financieras están seguros, no estuvieron en peligro y no han sido el objetivo de los ataques. Los recursos que se han extraído han sido de los participantes (bancos, casas de bolsa, etc.).
«Los atacantes han buscado vulnerar las conexiones de las instituciones con el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo cual afecta la cuenta transaccional de los participantes en el SPEI, pero no las cuentas de los clientes finales. Los recursos de los clientes están seguros porque radican en un sistema separado con validacionesindividuales por operación».
Se destaca que el Banco de México alertó a los participantes en el SPEI y solicitó a los participantes con un mayor perfil de riesgo migrar la operación a una plataforma contingente. Este esquema de operación contingente y las validaciones adicionales que han implementado los participantes han propiciado la ralentización de los flujos de pagos.
El Banco de México se dice consciente de la preocupación y malestar de los clientes, por lo que trabaja arduamente para que los participantes agilicen sus procesos para abonar en el menor tiempo posible los recursos de sus clientes y con ello minimizar la afectación a los mismos.
«Los participantes de SPEI tienen obligaciones de ciberseguridad establecidas en la regulación que emitió el Banco de México desde julio de 2017. Las principales medidas en materia de seguridad debían estar aplicadas a finales de 2017».
Los procesos de supervisión para el cumplimiento de requerimientos de ciberseguridad durante 2017 detectando un nivel de cumplimiento heterogéneo. A la fecha se tienen iniciados procesos de supervisión sobre el cumplimiento de requerimientos de ciberseguridad por parte de los participantes en diferentes sistemas del Banco de México.
«La seguridad de los datos personales que se encuentran en posesión del Banco Central con motivo de la operación del referido sistema pagos no ha sufrido vulneración alguna. Al respecto, debe destacarse que el Banco de México tiene implementadas las medidas de seguridad necesarias para la debida protección de los datos personales y los recursos involucrados en su tratamiento, las cuales cumplen con los estándares nacionales e internacionales y buenas prácticas en la materia».
El comunicado señala que ninguno de los participantes en el SPEI ha mencionado al Banco Central la existencia de algún tipo de vulneración a la seguridad de los datos personales en su posesión.
«Como se ha informado, los ciberataques que dichos participantes sufrieron buscaron afectar la cuenta transaccional de esas instituciones en el SPEI, no así las cuentas de los clientes finales».
No obstante lo anterior, de detectarse algún caso de vulneración, dichos participantes deberán proceder de conformidad con lo dispuesto en Ley Federal de Protección de Datos Personales en Posesión de los Particulares y hacerlo del conocimiento de los titulares respectivos.
