El Banco de México (Banxico) carece de controles mínimos de seguridad para evitar el robo de dinero a entidades financieras del Estado a través de la banca electrónica, como el registrado el 24 de abril de 2018 en contra de Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C. (Banjército), institución de la cual fueron sustraídos tres millones 560 mil pesos.
La falta de protocolos origina riesgos latentes en instituciones del Estado como la Banca de Desarrollo: Banco Nacional de Comercio Exterior (Bancomext), Banco Nacional de Obras y Servicios Públicos (Banobras), Financiera Nacional de Desarrollo Agropecuario, Rural, Forestal y Pesquero (FND), Nacional Financiera (Nafin), Banco del Bienestar (antes Bansefi), Sociedad Hipotecaria Federal, SNC (SHF) y Banjercito.
De acuerdo con la Auditoría de Ciberseguridad a la Banca Electrónica y Medios de Pago del Sistema Financiero del Gobierno Mexicano realizada por la Auditoría Superior de la Federación (ASF), los riesgos se presentan a pesar de que entre los años 2018 y 2019 la Banca de Desarrollo y la Tesorería de la Federación (operada por Banxico) a través del Sistema de Pagos Electrónicos Interbancarios (SPEI) realizaron transacciones por un importe de 52.1 billones de pesos.
El documento menciona que entre los factores que originan la amenaza son: la falta de colaboración entre la CNBV y Banxico para compartir información de los hallazgos detectados en las inspecciones realizadas a cada una de las entidades financieras del Estado.
Según el informe, el 15 de diciembre de 2017 se firmó un “Convenio de Colaboración”, entre ambas partes y en mayo de 2018 se dieron a conocer las “Bases de Coordinación en Materia de Seguridad de la Información”, sin embargo, en ninguno de los casos se establece compartir información de “riesgo tecnológico y seguridad de la información”.
Se recomienda establecer entre Banxico y la CNBV protocolos para compartir información de forma oportuna de los hallazgos y observaciones que se identifiquen durante las visitas de supervisión y revisión en materia de riesgo tecnológico y seguridad de la información
Otro de los factores es que Banxico carece de mecanismos que le permitan determinar el perfil de riesgo de cada participante tomando en cuenta el nivel de cumplimiento de sus controles de seguridad informática y gestión del riesgo operacional, cambios relevantes en su infraestructura, procesos, ciberamenazas, entre otros.
Además, Banxico y las entidades financieras carecen de protocolos mínimos de identificación, protección, detección, respuesta y recuperación en caso de un ataque. En la actualidad, no se alcanza el nivel dos, cuando los estándares internacionales piden cinco. Ante este escenario, la ASF pidió al Banco de México evaluar la conveniencia de incluir en los requisitos de seguridad de la información del SPEI y el Sistema de Pagos Interbancarios en Dólares (SPID), las 62 subcategorías de ciberseguridad que recomienda el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés).
De acuerdo al Capability Maturity Model Integration (CMMI) para alcanzar el siguiente nivel de madurez, es necesario cumplir al menos con el 75.0% del nivel anterior, la Herramienta de Evaluación de Ciberseguridad del Federal Financial Institutions Examination Council (FFIEC) propone 5 niveles de madurez, el primero considera que se deben cumplir todos los requerimientos legales, así como las guías recomendadas por las entidades de supervisión. Los requerimientos solicitados por el manual del SPEI emitidos por el Banxico se encuentran incluidos en los niveles de madurez 1 y 2
Borran evidencia de robo 3.5 millones a Banjercito.
Durante el segundo trimestre de 2018, el Banco Nacional del Ejército, Fuerza Aérea y Armada, S.N.C. reportó el robo de tres millones 560 mil pesos a través de 11 operaciones financieras que realizaron a través de SPEI.
El 24 de abril de 2018, se presentó el incidente de ciberseguridad, que derivó en una extracción de 3,560.5 miles de pesos por medio de 11 transferencias fraudulentas por medio del SPEI, de las cuales se recuperaron 4, resultando una afectación de 2,574.4 miles de pesos
El reporte de la Auditoría, menciona que al momento del incidente, Banjercito no contaba con políticas, procedimientos ni protocolos de emergencia para identificar, notificar, contener, atender, solucionar y mitigar incidentes de seguridad, incumplía con algunos requisitos de seguridad informática solicitados en la Circular 14/2017, carecía de la documentación relacionada con las actividades de protección y custodia de los componentes de infraestructura comprometidos y el Órgano Interno de Control y la Dirección de Auditoría Interna no llevó a cabo actividades de análisis o investigación respecto del incidente.
De acuerdo con el informe de la ASF, solicitó a Banjercito que realicen las investigaciones pertinentes y, en su caso, inicie el procedimiento administrativo correspondiente por las irregularidades de los servidores públicos que, en su gestión, no definieron, documentaron, formalizaron ni publicaron, mecanismos, protocolos, políticas o procedimientos respecto a la identificación, notificación, contención, atención, resolución y mitigación de incidentes de seguridad en sistemas críticos como el Sistema de Pagos Electrónicos Interbancarios.
El 24 de abril de 2018 (funcionarios), no llevaron a cabo una cadena de custodia que asegurara la integridad de todos los componentes involucrados en el incidente de seguridad referido, toda vez que realizaron actividades de borrado de procesos y reinicio de equipos que comprometieron los resultados del análisis forense y revisión de código estático y dinámico ejecutados posteriormente, no consideraron la custodia de equipos con acceso a la red del banco y tampoco hicieron efectiva la garantía de cumplimiento hacia el proveedor en función de la calidad del servicio, al no realizar la terminación anticipada del contrato número 012/2018
(María José Pardo)