Ocurrió uno de
los peores escenarios que los órganos de inteligencia civiles y
militares previeron –y desde el inicio del gobierno de Enrique Peña– en
materia de ciberseguridad: un hackeo al banco central.
Este ciberataque no se reduce a la
vulneración del Sistema de Pagos Electrónicos Interbancarios (SPEI) por
simples motivos delincuenciales (el presunto robo de al menos 300
millones de pesos), ni mucho menos se restringe a tres bancos, una casa
de bolsa y una caja de ahorro popular: cimbra todo el sistema financiero
mexicano.
Y es que lo que se ha quebrantado es ni
más ni menos que la seguridad cibernética del Banco de México (Banxico),
es decir, de la autoridad monetaria del país, que ha gastado millones
de pesos en un supuesto blindaje que evidentemente no sirvió de nada?.
Lo que destaca de esta situación es que
el gobierno federal sabía perfectamente las falencias de la seguridad
cibernética de todo el sistema financiero.
De hecho, México es uno de los países más vulnerables a los ataques cibernéticos, consta en la Agenda Nacional de Riesgos
que elaboran, año con año, los órganos de inteligencia del país, y que
coordina y resguarda con gran sigilo el Centro de Investigación y
Seguridad Nacional (Cisen).
Los ciberataques figuran entre las 10
peores amenazas a la seguridad nacional, junto con la delincuencia
organizada trasnacional y el terrorismo y armas de destrucción masiva en
la Agenda Nacional de Riesgos 2017, la más reciente que existe.
Pero la amenaza ya había sido
identificada desde tiempo atrás, por lo que desarrollar sistemas
informáticos al interior del gobierno era una de las principales
instrucciones del gobierno, que evidentemente no se acató.
La Agenda Nacional de Riesgos 2013, a la que Contralínea
tuvo acceso, ya revelaba la alta vulnerabilidad en la que se
encontraban no sólo el Banxico y el sistema financiero, sino también
infraestructuras críticas e información sensible del gobierno.
Según el documento –altamente
confidencial– México carece de capacidad de prevención y presenta casi
nula de reacción ante incidentes cibernéticos con potencial para
comprometer infraestructuras críticas del país e información sensible de
las instituciones y las personas.
En su análisis, los órganos de
inteligencia observaban que la vulnerabilidad cibernética se encuentra
en un nivel de riesgo alto para la seguridad nacional; por lo que “los
instrumentos jurídicos y técnicos para la medición, prevención, reacción
y mitigación de impactos ante incidentes cibernéticos son
ineficientes”.
Ataque al Banxico, por negligencia
Todas esas falencias quedaron
demostradas ya en el ataque al Banxico, institución que “tiene el
objetivo prioritario de preservar el valor de la moneda nacional a lo
largo del tiempo”. Por ello este hackeo a sus sistemas informáticos no sólo es alarmante, sino sobre todo sumamente grave.
Aquí cabe preguntarse si sólo fue el
SPEI o cuántas áreas más quedaron a merced de los autores materiales e
intelectuales de este crimen cibernético, así como las repercusiones que
acarrea para el resto del Banco, que encabeza Alejandro Díaz de León.
Y es que lo que menos ha habido es información certera por parte de la autoridad: cuando empezó a trascender el impacto del hackeo
–porque los cuentahabientes no pudieron pagar con sus tarjetas de
débito, retirar dinero en cajeros o transferir electrónicamente sus
fondos–, se dijo que era un problema de los bancos afectados. Sólo hasta
que la crisis tomó una dimensión mucho peor se aceptó que el ataque fue
directamente contra el banco central.
Parece que la falta de transparencia en
torno al tema busca no sólo minimizar lo que pasó, sino ocultar las
responsabilidades: el hackeo inició el 26 de abril –y aún no se sabe cuándo concluirá–, pero las autoridades reaccionaron hasta los primeros días de mayo.
Así que éste no sólo es un tema de
opacidad, sino también del pésimo manejo de la crisis en una de las
instituciones más importantes en materia económica del país y, por
tanto, de negligencia.
Por eso mismo llama la atención que,
antes de que se deslindaran las responsabilidades al interior del Banco,
se castigara a quienes participaron por acción u omisión y se
transparentara la magnitud del ataque, haya renunciado Lorenza Martínez.
La ahora exdirectora general de Sistemas
de Pagos y Servicios Corporativos del Banxico tendría que haber sido
llamada de inmediato por el Congreso para que explicara claramente la
dimensión del caso. Pero no, en el Banxico se aseguraron de quitarla
rápidamente del cargo para evitar la urgente rendición de cuentas.
La gravedad del ciberdelito no se puede
ocultar y el propio Díaz de León lo empieza a reconocer, quizá porque en
breve podríamos conocer la verdadera magnitud del ataque y sobre todo
la situación que priva al interior del Banco.
En todo este embrollo, el menos
sorprendido es Díaz de León, quien como subgobernador del Banco, habló
de las vulnerabilidades el 23 de octubre de 2017, durante el foro
“Fortaleciendo la ciberseguridad para la estabilidad del sistema
financiero mexicano”.
En ese encuentro, en el que también
participó el candidato priísta José Antonio Meade, entonces secretario
de Hacienda, el gobernador del Banxico admitió que las nuevas
tecnologías “conllevan riesgos intrínsecos y plantean retos para
garantizar la seguridad de los usuarios, las instituciones y el sistema
en general.
“Los riesgos cibernéticos son de
naturaleza cambiante y su creciente sofisticación, frecuencia y
persistencia puede perturbar considerablemente al sistema financiero
tanto por su efecto directo en las instituciones, como por el alto grado
de interconexión entre ellas.
“Así, los delitos cibernéticos y los
ataques a las infraestructuras tecnológicas del sistema financiero no
sólo generarían pérdidas de información o patrimoniales para clientes e
instituciones, también podrían provocar afectaciones al sistema
financiero en su conjunto.”
Por ello, urge que el Banxico aclare exactamente qué pasó, y qué se perdió en este ciberataque. Si ya fue hackeado el SPEI en el banco central, ¿qué sigue?
No hay comentarios.:
Publicar un comentario