Niega Banxico revelar hackeos al sistema financiero
Norberto Vázquez
Si no se tiene una estrategia integral de protección de datos estos ataques seguirán ocurriendo, muy sencillo, no estamos viendo una agenda de ciberseguridad ni la inversión necesaria.
Según el Índice Global de Ciberseguridad 2020 de la Unión Internacional de Telecomunicaciones de la ONU, México se encuentra en el número 52 de 182 países y, de acuerdo con Observatorio de Ciberseguridad en América Latina y el Caribe, el país tampoco ha avanzado en la organización y coordinación de la defensa cibernética durante el último lustro.
Y es sector financiero, ni se diga. En una solicitud de acceso a la información identificada con el número de folio 6110000054019, se le pidió al Banco de México (Banxico) “cuáles fueron los bancos comerciales y de desarrollo hackeados en 2015, 2016, 2017, 2018 y hasta el 10 de septiembre de 2019, así como cuál fue el monto que los hackers se lograron llevar por todos los ataques cibernéticos en 2015, 2016, 2017, 2018 y 2019 y cuántas cuentas bancarias sufrieron un fraude por el hackeo en 2015, 2016, 2017, 2018 y hasta el 10 de septiembre de 2019”.
Pues bien el banco central, me informó que “la divulgación de la información representa un riesgo real. Dar a conocer la información objeto de clasificación, expondría las investigaciones llevadas a cabo por el Ministerio Público, en las cuales se reúnen los indicios para el esclarecimiento de los hechos y, en su caso, los datos de prueba que serían útiles para sustentar el ejercicio o no de la acción penal y la probable responsabilidad del indiciado”.
Argumentó que es posible advertir que la existencia de una carpeta de investigación, constituye el elemento causal que motiva la reserva de la información contenida en la misma, protección contemplada en el precepto transcrito, situación que a su vez, actualiza la causal de reserva prevista en la fracción VII, del artículo 113 de la Ley de Transparencia.
Se me indicó que la divulgación de dicha información puede obstruir la prevención de futuros ataques cibernéticos en contra de las instituciones financieras susceptibles de ser consideradas de riesgo sistémico o del sistema financiero del país, y obstaculizar las acciones implementadas por este banco central para evitar su comisión, o menoscabar la capacidad de éste para evitar su comisión.
Al mismo tiempo, se me explicó que la clasificación de la información se motiva en razón de prevenir la comisión de un delito de carácter cibernético que podría afectar los procesos de continuidad operativa de este instituto central, el tiempo de reaccionar para evitar que en futuras ocasiones individuos o grupos delictivos ataquen o vulneren las medidas tomadas por las instituciones financieras y por este banco central.
Banxico reveló que dar a conocer la denominación o razón social de los participantes del Sistema de Pagos Electrónicos Intervancarios (SPEI) que fueron vulnerados en sus aplicativos, así como el total de cuentas que se vieron afectadas por los eventos operativos de 2018, información, que en su momento, fue proporcionada a la autoridad ministerial con motivo de las carpetas de investigación iniciadas por los intermediarios financieros ante la hoy Fiscalía General de la República, podría alertar a los individuos o grupos delincuenciales a focalizar ataques en dichas instituciones para intentar aprovecharse de las vulnerabilidades operativas de estas.
Se me estableció, que está documentado en la literatura especializada en la materia que los principales elementos de información que requiere conocer un cibercriminal son las instituciones vulneradas o potencialmente vulnerables, la arquitectura de los sistemas, sus especificaciones técnicas, horarios de operación, funcionalidad general, protocolos de comunicación, aspectos de seguridad informática instrumentados, entre otros, para que con dicha información, se logre descubrir y aprovechar los posibles puntos débiles que pudieran existir en estos elementos y atacar a los sistemas.
Pero seamos claros, algunas instituciones requieren de más presupuesto y la austeridad no es la mejor estrategia, los cibercriminales apuntan a objetivos cada vez mayores y un ciberataque puede representar millones de dólares perdidos.
En el más reciente lustro, Pemex, la Secretaría de Economía, el Instituto Nacional de Migración, el mismo Banxico, el Servicio de Administración Tributaria (SAT) y, recientemente, la Lotería Nacional y la Plataforma Nacional de Transparencia (PNT) han experimentado ataques cibernéticos.
Y ojo, la sustracción de los datos puede servir para extorsionar al gobierno y a los bancos privados…el gobierno requiere invertir más en este rubro. Pero bueno, es la 4T.
Así, se me explicó que a la pregunta ¿cuáles fueron las 10 instituciones bancarias en las que se crearon las 836 cuentas bancarias entre abril y mayo del año 2018 que fueron objeto de fraude durante la intervención cibernética que vulnero los Sistemas de Transferencias Electrónicas? Respuesta: reservada por 5 años. Ni hablar, así la transparencia.