El Banco de México (Banxico) informó que fueron cuatro los ataques cibernéticos asociados al Servicio de Pagos Electrónicos Interbancarios (SPEI), el más reciente, el 8 de mayo, además de los tres reportados, dos el 24 y uno el 26 de abril. En este nuevo caso, no se reportó daño a los recursos de los clientes.
En un informe, el banco central señaló que en todos los casos, los ataques se presentaron en los aplicativos que usan los participantes (bancos, casas de bolsa o cajas de ahorro) afectados para preparar las órdenes de transferencia y conectarse al SPEI, cuyos proveedores no son certificados ni validados por el banco central.
“El adecuado funcionamiento de dichos aplicativos es responsabilidad de cada participante”, indicó en un comunicado de prensa.
Agregó que dichos aplicativos pueden ser desarrollados por la propia institución o bien provistos a esta por un tercero, y radican en equipos de los participantes.
Asimismo, expuso que los recursos afectados fueron los de dichos participantes, no de los clientes.
El banco central explicó que el ataque consistió en la fabricación o inyección de órdenes de transferencia apócrifas en los sistemas de los participantes, generando órdenes de transferencias ilegítimas, con cargo a las cuentas de los participantes, en alguna etapa del proceso previa a su conexión al SPEI.
"La inserción de estas órdenes de transferencia se realizó en una etapa del proceso ejecutado en los sistemas de los participantes que no contaba con controles para asegurar que dichas órdenes fuesen legítimas".
Subrayó que Banxico y el sistema central del SPEI no han sido blanco de ataques ni han sido vulnerados, y no se han presentado afectaciones en su operación, por lo que el SPEI funciona normalmente en términos de seguridad, pero en algunos casos con mayores tiempos de procesamiento.
Fuente: ELFINANCIERO