La ciberseguridad es un compromiso que involucra a todos los que participan en la economía digital. Esta es una postura en la que el Banco de México (Banxico) no tiene dudas, y para confirmarlo, basta con observar las disposiciones que emitió para el Sistema de Pagos Electrónicos Interbancarios (SPEI) y el Sistema de Pagos Interbancarios en dólares (SPID).

Dichas medidas, cuya implementación debe realizarse a más tardar en abril de 2024, establecen requisitos de ciberseguridad para las entidades financieras que realizan operaciones en estos sistemas de transferencia de fondos -que son administrados por el banco central mexicano. 

En lo que toca al SPEI, Banxico ha fijado un criterio de “ciber resiliencia”, lo que implica que las entidades financieras, a grandes rasgos, deberán documentar su capacidad reflejados en planes de contingencia y recursos, para prevenir y superar un ciberataque que comprometa su operación en el sistema, es decir, afectaciones a la infraestructura digital o a la integridad de la información. La disposición, además de demandar informes periódicos sobre ciberseguridad, define conceptos como Data Center, infraestructura de cómputo y telecomunicaciones. 

Respecto al SPID, en el que también se determinan diversas medidas de ciberseguridad, como son protocolos de comunicación, monitoreos, y detección de virus, se establece que las instituciones vinculadas al sistema deben tener un director de Seguridad de la Información (CISO; Chief Information Security Officer).

Desde su posición, el CISO debe verificar, a través de evaluaciones y reportes periódicos, que la infraestructura tecnológica cumple con los requisitos de ciberseguridad necesarios, lo que incluye a terceros que podrían afectar la operación y contar con un listado actualizado de las personas con acceso a información crítica del sistema. 

Una decisión positiva y necesaria 

Estas disposiciones de ciberseguridad de Banxico, enfocadas en los servicios de SPEI y SPID, representan pasos en la dirección correcta. Aunque en el país aún predomina el uso de efectivo, ambos sistemas están ganando terreno entre la población mexicana, especialmente después de la pandemia de Covid-19, lo que incrementa su atractivo como objetivos de un ciberataque. 

De acuerdo con información del banco central mexicano, durante 2022, en la plataforma del SPEI se realizaron más de 2,834 millones de operaciones; el año previo se llevaron a cabo poco más de 2,028 millones de operaciones. En el caso del SPID, Banxico reporta 4.1 millones de operaciones en 2022, superando las 3.6 millones de operaciones ejecutadas en 2021. 

Por otro lado, como parte del sector financiero, ambos sistemas de pago electrónico se ubican en un territorio de alto riesgo. Desde hace varios años, según distintas instancias, en Latinoamérica, la industria financiera como bancos, aseguradoras y casas de bolsa, están entre los 10 ámbitos productivos más atacados por el cibercrimen. 

El rol de los socios tecnológicos 

Para las entidades financieras que operan en SPEI y SPID y que fueron consultadas previamente sobre las disposiciones de ciberseguridad que pondría en marcha Banxico, las nuevas reglas de ciberseguridad, en buena medida, implican una mirada más profunda a su infraestructura digital; valorando y documentando la capacidad de dicha infraestructura para prever y sobreponerse a ataques dirigidos a sus operaciones en el SPEI, y en el caso de los pagos interbancarios en dólares, estableciendo un cargo de responsabilidad (el CISO) que vigile el cumplimiento de los criterios de seguridad digital en la plataforma del servicio. 

Esta situación, seguramente, también incidirá en los proveedores de innovaciones tecnológicas, que entregan soluciones de conectividad, nube, ciberseguridad, Big Data y Data Center, que apoyan a las organizaciones financieras en la construcción y operación de sus servicios digitales. 

Ante las nuevas disposiciones de ciberseguridad de Banxico, las entidades que tienen actividades en los sistemas SPEI y SPID darán prioridad a los asociados tecnológicos que puedan mostrar credenciales como: 

• Experiencia probada en el ámbito de la ciberseguridad. Este factor no sólo conlleva una relación cercana con proveedores de soluciones de seguridad, sino una visión de la protección informática que privilegia la inteligencia de ciberseguridad, entendiendo que la protección digital hoy implica múltiples condiciones de uso como movilidad, una disposición preventiva y experiencia probada en diversas áreas tecnológicas. 
• Entendimiento de la ciberseguridad que demanda el actual ecosistema tecnológico. La protección que necesitan los servicios digitales de las entidades financieras puede involucrar distintas tecnologías y componentes de infraestructura digital; de ahí que las nuevas reglas de ciberseguridad de Banxico especifican, en el caso de las operaciones en SPEI, aspectos puntuales como Data Center. Por eso será vital contar con proveedores que tengan experiencia y conocimiento para proteger infraestructuras de conectividad, nube o Data Center, entre otros escenarios de innovación tecnológica. 

Facilidad para entender los desafíos de un CISO

En el caso de las instituciones que realizan operaciones en el SPID, los CISO optarán por los asociados tecnológicos que tienen, gracias a su entendimiento del entorno de ciberseguridad, una visión más empática de los desafíos y necesidades que vienen con el cargo. Estos proveedores mostrarán solvencia en tareas como diseño de pruebas, análisis de situaciones de riesgo y generación de reportes de protección digital. 

Banxico y las instituciones financieras están trabajando para fortalecer la seguridad digital de dos servicios importantes. Los proveedores de soluciones innovadoras tienen que sumarse al esfuerzo y hacer la parte que les corresponde. El esfuerzo conjunto es la mejor arma para enfrentar los desafíos en ciberseguridad.

Por: Alejandro Hernández Bringas, CEO en MCM Telecom.