EL CASO SPEI EXPONE DEFICIENCIAS EN CIBERSEGURIDAD FINANCIERA DE MÉXICO

El hackeo que afectó al sistema para pagos digitales entre bancos expuso lo laxo de los controles en ciberseguridad y la poca protección a la infraestructura crítica del país, advierten analistas.
Gabriela Chávez /

CIUDAD DE MÉXICO (Expansión) –

Controles relajados, fallas humanas u omisión de procesos para proteger los sistemas cibernéticos al interior de las entidades bancarias mexicanas son algunas de las causas que analistas expertos en ciberseguridad apuntan como razones detrás del éxito del hackeo a la infraestructura de los participantes del sistema de pagos electrónicos SPEI en México durante los últimos días de abril.

Si bien en México existen documentos y procesos de buenas prácticas para salvaguardar los sistemas electrónicos del sector financiero, e incluso una Estrategia Nacional de Ciberseguridad, analistas coinciden en que dichas medidas y recomendaciones solo se han enfocado en atacar los síntomas y no el problema de raíz, lo cual terminó por abrir la puerta a un ciberataque como el caso SPEI.

“Aquí se ven dos tipos de fallas: la institucional y las de infraestructura. La seguridad de la información ha buscado arreglar síntomas y no problemas. Se gastan millones de dólares en esto, pero no se ha hecho correctamente”, consignó Daniel Molina, consultor senior de ciberseguridad en Crompton Group LLC, en entrevista con Expansión.

A pesar de que los reportes en inversión de ciberseguridad dictan que el sector financiero es el más avanzado en inversión en protección de datos y la aplicación de normativas en el país, los analistas consultados por Expansión argumentaron que una de las razones para que el ataque fuera exitoso -robando aproximadamente 400 millones de pesos de diversos bancos- es el uso de sistemas electrónicos, como SPEI, en un ambiente sin los suficientes controles.

“El sistema de SPEI fue diseñado para correr en una red cerrada y sin internet. Se adaptó este sistema para que pudiera usarse con internet y no se consideró la verificación e integridad punto a punto del sistema, porque no era su diseño inicial”, explicó Molina.

Share

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *