Secciones
Falla la seguridad bancaria en México
Economía

Falla la seguridad bancaria en México

El sistema operativo del sistema financiero no puede ser el mismo que se usa para descargar Pokémon Go. Hasta ahora los bancos utilizaban las mismas herramientas de conectividad que usamos para ver Netflix, y no, se necesita un sistema exclusivo.

por Agencia

Falla la seguridad bancaria en México

Falla la seguridad bancaria en México

Controles relajados, fallas humanas u omisión de procesos para proteger los sistemas cibernéticos al interior de las entidades bancarias mexicanas son algunas de las causas que analistas expertos en ciberseguridad apuntan como razones detrás del éxito del hackeo a la infraestructura de los participantes del sistema de pagos electrónicos SPEI en México durante los últimos días de abril.

De acuerdo a las autoridades, el ciberataque no afectó a los clientes bancarios.

Si bien en México existen documentos y procesos de buenas prácticas para salvaguardar los sistemas electrónicos del sector financiero, e incluso una Estrategia Nacional de Ciberseguridad, analistas coinciden en que dichas medidas y recomendaciones solo se han enfocado en atacar los síntomas y no el problema de raíz, lo que terminó por abrir la puerta al cibera­taque al SPEI.

“Aquí se ven dos tipos de fallas: la insti­tucional y las de infraestructura. La seguri­dad de la información ha buscado arreglar síntomas y no problemas.

Se gastan millones de dólares en esto, pero no se ha hecho correctamente”, con­signó Daniel Molina, de ciberseguridad en Crompton Group LLC.

 

A pesar de que los reportes en inversión de ciberseguridad dictan que el sector fi­nanciero es el más avanzado en inversión en protección de datos y la aplicación de nor­mativas en el país, los analistas consultados por Expansión argumentaron que una de las razones para que el ataque fuera exitoso -ro­bando aproximadamente 400 millones de pesos de diversos bancos- es el uso de siste­mas electrónicos, como SPEI, en un ambien­te sin los suficientes controles.

 

“El sistema de SPEI fue diseñado para correr en una red cerrada y sin internet. Se adaptó este sistema para que pudiera usarse con internet y no se consideró la verificación e integridad punto a punto del sistema, por­que no era su diseño inicial”, explicó Molina.

Este sistema, que se implementó entre 2005 y 2009 en Banxico, originalmente re­caía en seguridad basada en hardware y no estaba dispuesta para funcionar en ambien­tes 100% conectados.

El consultor agregó que aunque tras este caso Banxico ha dicho que se creará un ente que vigile los procesos de ciberseguridad de la banca nacional, lo que hay que hacer no es poner un nuevo ente de vigilancia, sino exigir el uso de un sistema operativo exclusivo para el sector bancario.

“El sistema operativo que se usa para el sistema financiero no puede ser el mismo que se usa para descargar Pokémon Go. Hasta ahora los bancos han utilizado las mismas herramientas de conectividad que usamos para ver Netflix, y no, se necesita un sistema exclusivo. No se puede correr Windows en un banco y se hace solo por que es más barato pero no es lo correcto”, dijo Molina.

Actualmente diversos bancos y sus cajeros electrónicos continúan utilizando sistemas legados como Windows XP, software al que incluso Microsoft dejó de darle soporte de seguridad en 2014.

Rodrigo Orenday, abogado, advirtió que uno de los siguientes pasos para proveer de más seguridad al sistema es que los bancos tengan el mandato ejecutivo de compartir datos e informar si son víctimas de un ciberataque, como ocurre en EEUU, no solo para este tipo de instituciones, si no para cualquier tipo de empresa.

Temas

Comentarios

Te puede interesar