Qué pasó con el Spei

Ciudad de México - Un dolor de cabeza aqueja a varias instituciones financieras en México luego de que a finales de abril tuvieran problemas con las transferencias electrónicas a través del sistema de pagos conocido como SPEI.

Los bancos sufrieron sustracción de recursos no autorizados vía SPEI y los clientes padecieron demoras en sus transacciones electrónicas por una migración a un sistema de pagos más seguro por prevención. Hasta el momento se descartan daños monetarios para los usuarios de la banca.

Pero a todo esto, ¿qué es el SPEI?, ¿hubo un ataque cibernético?, ¿se afectó a los clientes? Esto es lo que sabemos sobre el caso que plantea preocupaciones sobre la vulnerabilidad del sistema financiero mexicano a los piratas informáticos.

¿QUÉ ES EL SPEI?

Las siglas significan Sistema de Pagos Electrónicos Interbancarios. ¿Pero qué es? Primero, un sistema de pagos se refiere a los instrumentos y/o procedimientos para transferir fondos entre instituciones financieras, como los bancos, que aseguran la circulación del dinero. El SPEI es uno de estos instrumentos.

El SPEI se estrenó en agosto de 2004 y permite realizar transferencias electrónicas entre las instituciones financieras por internet o móvil en tiempo real las 24 horas del día todos los días del año.

¿QUIÉNES PARTICIPAN EN EL SPEI?

Bancos, casas de bolsa, casas de cambio, administradoras de fondos para el retiro, instituciones de seguros, sociedades distribuidoras de acciones de sociedades de inversión, sociedades financieras de objeto limitado y sociedades operadoras de sociedades de inversión.

En México operan 50 bancos conocidos como banca tradicional y son sociedades anónimas autorizadas para captar el dinero de las personas en general para luego colocarlo a través de financiamiento, es decir, servicios de banca y crédito. 

¿QUÉ VELA TIENE BANXICO EN ESTE ENTIERRO?

Banco de México (Banxico) opera y es propietario del SPEI. También es su supervisor y regulador. La ley de sistemas de pagos detalla que entre sus objetivos está que los sistemas de pago como el SPEI sean seguros y eficientes.

¿QUÉ PASÓ Y POR QUÉ EL SPEI BRINCÓ A LOS TITULARES?

Banxico reportó desde el 27 de abril "incidentes operativos" en quienes usan el SPEI que afectaron a algunas instituciones financieras en el servicio de transferencias electrónicas.

Debido a esto, cinco instituciones financieras, entre ellas Banorte, registraron transferencias no autorizadas vía SPEI desde el 27 de abril y hasta al menos el viernes 11 de mayo, de acuerdo con Banxico.

Esto significa que las entidades financieras tuvieron retiros de dinero sin autorización desde cuentas falsas.

Mientras que los clientes de las instituciones tuvieron demoras en sus transferencias electrónicas, pero no sustracción de sus recursos.

¿Cómo fue?

Los incidentes se registraron en algunos "aplicativos" e infraestructura de cómputo de algunos participantes para preparar sus órdenes de pago y conectarse al SPEI, explicó el banco central en un nuevo comunicado del 14 de mayo.

Con la información disponible hasta ahora por el banco central, todo apunta a que esas incidencias sí se debieron a un ciberataque que afecto al "aplicativo", dijo el 14 de mayo el gobernador de Banxico, Alejandro Díaz de León.

Hasta ahora (15 de mayo) no hay elementos para concluir si este ciberataque fue de origen nacional o extranjero, precisó el banquero.

La infraestructura y el sistema central del SPEI en Banxico no han sufrido ninguna afectación, aseguró.

Lo que fue hackeado es el desarrollo de algunos bancos contratado a proveedores para conectarse al SPEI de Banxico, dijo el presidente de la Asociación de Banco de México (ABM), Marcos Martínez, en entrevista con Radio Fórmula este 15 de mayo.

"El hackeo, la vulnerabilidad es en uno de esos sistemas, es en esa conexión", explicó Martínez.

Los bancos que desarrollan su propio sistema para conectarse al SPEI no fueron vulnerados.

¿CUÁNDO SE SABRÁ QUÉ PASÓ?

Banxico explicó que esperará el resultado de un análisis forense en proceso para presentar un reporte con mayores elementos sobre qué ocurrió. 

¿ME AFECTA COMO CLIENTE?

Banxico aclaró que las transferencias no provenían de ninguna cuenta de usuario, por lo cual no hay clientes de las instituciones afectadas, es decir, que hayan perdido recursos.

"Sí hubo sustracción de recursos de las instituciones financieras, sin embargo, no de los clientes. Si alguno ha tenido problema con alguna trasferencia tiene que verlo con su banco, pues puede no estar relacionado con esto y tener algún problema operativo porque los recursos no reconocidos por la banca vienen de cuentas no registradas, son cuentas que fueron nada más inventadas para hacer esta transacción recursos", dijo Lorenza Martínez Trigueros, directora del sistema de pagos de Banxico, en entrevista con Radio Fórmula el lunes 14 de mayo.

El titular de la Condusef, Mario Di Constanzo, dijo por su parte que el dinero de los clientes está seguro.

“Que los usuarios tengan la seguridad que su dinero está seguro (...) el dinero de los usuarios no está perdido. Es una obligación de los bancos cuidar ese dinero”, señaló en entrevista con la misma cadena de radio ese lunes.

Y EN PESOS, ¿DE QUÉ TAMAÑO ES LA AFECTACIÓN?

Banxico no ha revelado el monto sustraído a las entidades financieras a través de transacciones "fantasma". Fuentes dijeron a la agencia de noticias Reuters que los delincuentes robaron más de 300 millones de pesos.

El presidente de la ABM, Marcos Martínez, no se sabe aún el tamaño del "fraude", pero estimó que por la cantidad de operaciones que se realizan será poco dinero.

Martínez comentó que una parte del dinero sustraído a los bancos se ha podido recuperar y otro quedo bloqueado.

¿QUÉ MÁS OCASIONÓ?

Tras el incidente, poco más de 20 instituciones financieras usan un sistema de pagos de contingencia para realizar las transferencias de dinero. Esto hace más lentas las operaciones, por lo que los usuarios de estas empresas pueden notar demoras en el envío y recepción de sus transferencias electrónicas.

Esto implica que si un usuario hizo una transferencia electrónica para realizar un pago o depósito esta tarde más en llegar.

"Más que fallas son retrasos que se deben a raíz de los eventos sucedidos hace unos días, algunas instituciones se han movido a un modo alterno de operación que es más seguro y eso implica que los tiempos de envíos y recepción para estas instituciones pueden ser relativamente más lentos. Estos retrasos son de algunos minutos, en lugar de unos segundos pueden llevar hasta 10 minutos", explicó Martínez Trigueros a Radio Fórmula.

Admitió que las demoras en las trasferencias podrían seguir por las próximas dos semanas.

La Condusef detalló que si la demora lleva una semana o más pueden acudir con los asesores de la entidad. Añadió que si, por ejemplo, un depósito no llegó a la cuenta donde estaba dirigido lo más que puede ocurrir es que el dinero regrese a la cuenta de origen, el dinero no se pierde. 

¿Y QUÉ PASÓ CON CITIBANAMEX?

Este banco registró fallas en sus pagos de nómina, demora en transacciones y fallas en sus sistemas de débito, las cuales a decir de la misma entidad y de la autoridad no tienen relación con los problemas con el SPEI.