A principios de este 2018, se sabía que el costo promedio de un ciberataque en México es de 1.5 mdd; se sabía ya que México está 13% por encima del promedio global de empresas afectadas por ciberataques; sin embargo, sólo después del ataque que dejó a la banca pérdidas por 400 mdp, supimos que no contaban con estrategias de ciberseguridad.
Como Banxico, miles de empresas están siendo vulneradas diariamente por falta de interés en estrategias de ciberseguridad a la medida. Escatimar inversiones para establecer un sistema de seguridad de la información o simplemente para actualizar sistemas operativos, son escenarios recurrentes.
Hoy es importante saber que las amenazas no se quedan en los sistemas internos de las empresas; el caso del SPEI deja ver los daños que los huecos de un sistema de nube mal administrado pueden provocar.
Cronología de un hackeo
La mayoría de mexicanos se enteró del ciberataque que había sufrido el SPEI el 15 de mayo que las transferencias de nómina no se completaron; pero los errores en el sistema de seguridad estaban siendo reportados desde el mes anterior.
El 27 de abril, Banorte reportó fallas de interconexión con el SPEI y las transferencias electrónicas de tornaron más lentas; en esa fecha, Citibanamex reconoció un problema de procesamiento de archivos que provocó que diversas empresas no pudiesen pagar nómina.
Banxico notificó “incidentes operativos”, pero como no hubo “indicios” de afectaciones a clientes, continuaron operando de “manera normal y segura”.
Pasa el 30 de abril las operaciones por SPEI comenzaron a mostrar retrasos; Banxico explicó que esto se debía a medidas preventivas en los sistemas de los proveedores externos en tres instituciones bancarias.
Te recomendamos leer: ¿De qué manera el Internet impulsa a la economía?
Para el 11 de mayo, de acuerdo a un reporte publicado por Grupo Expansión, el número de instituciones financieras afectadas había pasado de 3 a 30. Comenzó a hablarse de un hackeo, pero Banxico aseguraba que las fallas eran técnicas y continuaban trabajando.
Fue hasta el 14 de mayo que el gobernador del Banco de México confirmó un ataque cibernético que había dejado pérdidas de aproximadamente 400 mdp.
Una vulnerabilidad en el software usado por algunos bancos para conectarse al SPEI, había afectado las transferencias electrónicas; además, se habían realizaron operaciones no autorizadas.
¿Dónde estuvo el error?
El de Banxico y SPEI es un caso ejemplo de un sistema de ciberseguridad no diseñado de acuerdo a las necesidades; la mala adaptación del sistema de transacciones interbancarias al ecosistema digital, es una de las teorías más fuertes de origen del hackeo. ¿Por qué en una institución de tal importancia se dio un error como éste?
El Banco de México entró a la era digital y continuó en ella sin preocuparse por establecer una dirección u oficina de ciberseguridad, que velara porque su sistema de seguridad de la información estuviese diseñado según las necesidades de la banca y los usuarios.
También puede interesarte: 5 Beneficios que un curso de Big Data puede darte
El Sistema de Pagos Electrónicos Interbancarios no corría en un sistema exclusivo, si no en un sistema proveído por terceros; esto no está mal para algunas empresas, pero cuando se habla de la Banca, se sugiere que los sistemas de gestión de la información sean controlados de manera interna. Como con la oficina de ciberseguridad que Banxico anunció que quedaría establecida… después del error.
Invertir para garantizar la ciberseguridad
Ahora bien, si ya vimos que el ciberataque al SPEI no ocurrió de la noche a la mañana; que Banxico cometió un error al delegar el control de su sistema a terceros; es momento de saber cómo pudo evitarse y cómo podemos garantizar la ciberseguridad de nuestras empresas.
Actualmente, el 45% de las empresas cuentan con productos o herramientas obsoletas y 83% tiene dificultades para encontrar las habilidades de seguridad que necesitan.
Si hasta ahora no te habías interesado por la ciberseguridad de tu empresa; lo primero que debes saber es que debes contar con medidas preventivas y reactivas para proteger la información.
Establecer políticas, lineamientos y estrategias para fortalecer la seguridad de la información, irá de la mano del establecimiento de un sistema de gestión de la información y programas de software a la medida para salvaguardar los datos de tu empresa.
En Integra IT implementamos estrategias a la medida de tus necesidades para garantizar la ciberseguridad de tu empresa, comenzando por capacitaciones en seguridad de la información desde estándares internacionales como la interpretación e implementación de ISO 27001, hasta la evaluación y detección de hackeos con Hacking Forensic Investigator.
Hoy hablar de ciberseguridad no debe estar supeditado a hackeos y afectaciones al sector empresarial; la información es el activo más importante y debemos comenzar a ocuparnos por resguardarla.