19.5.18

Cisen y Banxico conocían vulnerabilidad cibernética

Nancy Flores

Ocurrió uno de los peores escenarios que los órganos de inteligencia civiles y militares previeron –y desde el inicio del gobierno de Enrique Peña– en materia de ciberseguridad: un hackeo al banco central.

Este ciberataque no se reduce a la vulneración del Sistema de Pagos Electrónicos Interbancarios (SPEI) por simples motivos delincuenciales (el presunto robo de al menos 300 millones de pesos), ni mucho menos se restringe a tres bancos, una casa de bolsa y una caja de ahorro popular: cimbra todo el sistema financiero mexicano.

Y es que lo que se ha quebrantado es ni más ni menos que la seguridad cibernética del Banco de México (Banxico), es decir, de la autoridad monetaria del país, que ha gastado millones de pesos en un supuesto blindaje que evidentemente no sirvió de nada?.

Lo que destaca de esta situación es que el gobierno federal sabía perfectamente las falencias de la seguridad cibernética de todo el sistema financiero.

De hecho, México es uno de los países más vulnerables a los ataques cibernéticos, consta en la Agenda Nacional de Riesgos que elaboran, año con año, los órganos de inteligencia del país, y que coordina y resguarda con gran sigilo el Centro de Investigación y Seguridad Nacional (Cisen).

Los ciberataques figuran entre las 10 peores amenazas a la seguridad nacional, junto con la delincuencia organizada trasnacional y el terrorismo y armas de destrucción masiva en la Agenda Nacional de Riesgos 2017, la más reciente que existe.

Pero la amenaza ya había sido identificada desde tiempo atrás, por lo que desarrollar sistemas informáticos al interior del gobierno era una de las principales instrucciones del gobierno, que evidentemente no se acató.

La Agenda Nacional de Riesgos 2013, a la que Contralínea tuvo acceso, ya revelaba la alta vulnerabilidad en la que se encontraban no sólo el Banxico y el sistema financiero, sino también infraestructuras críticas e información sensible del gobierno.

Según el documento –altamente confidencial– México carece de capacidad de prevención y presenta casi nula de reacción ante incidentes cibernéticos con potencial para comprometer infraestructuras críticas del país e información sensible de las instituciones y las personas.

En su análisis, los órganos de inteligencia observaban que la vulnerabilidad cibernética se encuentra en un nivel de riesgo alto para la seguridad nacional; por lo que “los instrumentos jurídicos y técnicos para la medición, prevención, reacción y mitigación de impactos ante incidentes cibernéticos son ineficientes”.

Ataque al Banxico, por negligencia

Todas esas falencias quedaron demostradas ya en el ataque al Banxico, institución que “tiene el objetivo prioritario de preservar el valor de la moneda nacional a lo largo del tiempo”. Por ello este hackeo a sus sistemas informáticos no sólo es alarmante, sino sobre todo sumamente grave.

Aquí cabe preguntarse si sólo fue el SPEI o cuántas áreas más quedaron a merced de los autores materiales e intelectuales de este crimen cibernético, así como las repercusiones que acarrea para el resto del Banco, que encabeza Alejandro Díaz de León.

Y es que lo que menos ha habido es información certera por parte de la autoridad: cuando empezó a trascender el impacto del hackeo –porque los cuentahabientes no pudieron pagar con sus tarjetas de débito, retirar dinero en cajeros o transferir electrónicamente sus fondos–, se dijo que era un problema de los bancos afectados. Sólo hasta que la crisis tomó una dimensión mucho peor se aceptó que el ataque fue directamente contra el banco central.

Parece que la falta de transparencia en torno al tema busca no sólo minimizar lo que pasó, sino ocultar las responsabilidades: el hackeo inició el 26 de abril –y aún no se sabe cuándo concluirá–, pero las autoridades reaccionaron hasta los primeros días de mayo.

Así que éste no sólo es un tema de opacidad, sino también del pésimo manejo de la crisis en una de las instituciones más importantes en materia económica del país y, por tanto, de negligencia.

Por eso mismo llama la atención que, antes de que se deslindaran las responsabilidades al interior del Banco, se castigara a quienes participaron por acción u omisión y se transparentara la magnitud del ataque, haya renunciado Lorenza Martínez.

La ahora exdirectora general de Sistemas de Pagos y Servicios Corporativos del Banxico tendría que haber sido llamada de inmediato por el Congreso para que explicara claramente la dimensión del caso. Pero no, en el Banxico se aseguraron de quitarla rápidamente del cargo para evitar la urgente rendición de cuentas.

La gravedad del ciberdelito no se puede ocultar y el propio Díaz de León lo empieza a reconocer, quizá porque en breve podríamos conocer la verdadera magnitud del ataque y sobre todo la situación que priva al interior del Banco.

En todo este embrollo, el menos sorprendido es Díaz de León, quien como subgobernador del Banco, habló de las vulnerabilidades el 23 de octubre de 2017, durante el foro “Fortaleciendo la ciberseguridad para la estabilidad del sistema financiero mexicano”.

En ese encuentro, en el que también participó el candidato priísta José Antonio Meade, entonces secretario de Hacienda, el gobernador del Banxico admitió que las nuevas tecnologías “conllevan riesgos intrínsecos y plantean retos para garantizar la seguridad de los usuarios, las instituciones y el sistema en general.

“Los riesgos cibernéticos son de naturaleza cambiante y su creciente sofisticación, frecuencia y persistencia puede perturbar considerablemente al sistema financiero tanto por su efecto directo en las instituciones, como por el alto grado de interconexión entre ellas.

“Así, los delitos cibernéticos y los ataques a las infraestructuras tecnológicas del sistema financiero no sólo generarían pérdidas de información o patrimoniales para clientes e instituciones, también podrían provocar afectaciones al sistema financiero en su conjunto.”

Por ello, urge que el Banxico aclare exactamente qué pasó, y qué se perdió en este ciberataque. Si ya fue hackeado el SPEI en el banco central, ¿qué sigue?

No hay comentarios.: