El Banco de México impuso nuevas medidas a los actores financieros que utilizan el Sistema de Pagos Electrónicos Interbancarios (SPEI), que ha presentado afectaciones desde el 27 de abril pasado. Luego de 17 días de crisis, que han afectado las compras con tarjeta de débito y los pagos electrónicos en México, las agencias afirman no tener la certeza de si el problema con las transacciones entre los bancos fue obra de hackers, un fraude a manos de personal interno o errores.

Las medidas impuestas por Banxico este lunes, luego de la revelación de que el sistema bancario canalizó erróneamente entre 18 y 20 millones de dólares en transferencias interbancarias, van desde el robustecimiento de sus protocolos de conexión al SPEI hasta el uso de sistemas electrónicos paralelos del banco central para mantener activas las transferencias, dio a conocer El Economista.

Sin embargo, en un país donde los correos electrónicos diseñados para suplantar la identidad y los cobradores de deudas independientes a menudo utilizan logotipos y membretes de bancos, no es un secreto que las normas de seguridad de los bancos son laxas.

Las medidas anunciadas por Banxico son las siguientes:

1. Los actores del sistema financiero que utilizan el SPEI tendrán un día entero para entregar en efectivo o cheques de caja los recursos correspondientes a transferencias de fondos o traspasos por montos iguales o superiores a 50,000 pesos, excepto en aquellos casos autorizados expresamente por los participantes, respecto de cada cliente, con base en sus características y operatividad. Todo esto, de acuerdo con la Circular 4/2018.

2. A los participantes en el SPEI que reciban transferencias de fondos, y que así lo soliciten, se les podrá autorizar que puedan llevar a cabo las validaciones de dichas transferencias en periodos de tiempo superiores a los establecidos en las reglas aplicables para el abono de los recursos en las cuentas de los clientes beneficiarios (5 o 30 segundos, dependiendo del tipo de participante), hasta en tanto concluyan las automatizaciones de las verificaciones que deben desarrollar. Todo esto, de acuerdo con la Circular 5/2018.

3. Los actores del sistema financiero que sufrieron afectaciones relacionadas con el SPEI deben operar por vías alternas y mantener su capacidad para enviar órdenes de transferencias a la infraestructura del SPEI.

4. Para mitigar las vulnerabilidades detectadas, los actores del sistema financiero deben establecer elementos adicionales de control para minimizar la probabilidad de que presenten otros incidentes.

5. Los actores afectados deben renovar los elementos de seguridad de sus operadores para autenticarse en los sistemas de pagos operados por el Banco de México.

6. El Banco de México ha ampliado y fortalecido el esquema de soporte a todos los participantes del sistema.

7. El Banco de México emitió disposiciones que otorgan a las instituciones de crédito y demás entidades que prestan el servicio de transferencias de fondos espacio para que éstas implementen medidas de control adicionales encaminadas a fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a dichas instituciones, al resto de los participantes y al sistema en su conjunto.

Banxico insistió que las transferencias electrónicas procesadas a través del SPEI, así como a través del resto de los sistemas de pagos a cargo del banco central, “son un medio seguro para realizar pagos” y aseguró que “continuará ejerciendo sus facultades para implementar las acciones necesarias y cumplir con su finalidad de propiciar el buen funcionamiento de los sistemas de pagos”.

Afectaciones

Los cuentahabientes no serán afectados, pero los bancos sí podrían resultar perjudicados por el dinero perdido, de acuerdo con la información que ha circulado de parte de las agencias de gobierno desde que se iniciaron los problemas de conexión con el SPEI. “Es una lección de que se deben endurecer más estas medidas”, dijo Mario Di Constanzo, presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros.

“Nos hemos percatado desde hace tiempo que las instituciones financieras en general deben cuidar más no sólo la información de los usuarios, sino su propia identidad”, agregó.

No quedó claro exactamente cómo ocurrió el desvío. Di Constanzo dijo que “no se encuentra identificado la identidad y destinatarios de varias transferencias hechas por el sistema SPEI”.

Agregó que la cantidad perdida oscila entre 350 millones y 400 millones de pesos.

El déficit fue descubierto sólo después de que los bancos se colocaron en modo de seguridad tras la detección de vulnerabilidades en el software en tres bancos el 27 de abril. Después de detectar esa vulnerabilidad, los tres bancos abandonaron al contratista externo que proporcionaba el software defectuoso y cambiaron al propio sistema de pagos del Banco de México.

Entonces el banco central requirió que todos los bancos tomaran medidas adicionales de seguridad, lo que hizo demorar algunas transacciones urgentes, como la aprobación de compras con tarjetas de débito y pagos electrónicos. En una sociedad que empieza a optar por una economía con menos efectivo, fue un suplicio para algunas tiendas y usuarios de cajeros automáticos.

Al parecer, los problemas continúan.

La filial de Citibank en México, Citibanamex, reconoció algunos problemas con tarjetas de débito que sólo funcionaron con “intermitencia” el fin de semana. “Lamentamos los inconvenientes causados en las operaciones de nuestros clientes”, afirmó el banco en un comunicado.