Getty Images/iStockphoto
Banxico fortalece la ciberseguridad en los sistemas de pagos
El Banco de México emitió nuevas disposiciones para los sistemas de Pagos Electrónicos Interbancarios (SPEI) y pagos interbancarios en dólares (SPID) para aumentar su seguridad e impulsar la resiliencia.
La ciberseguridad es un compromiso que involucra a todos los que participan en la economía digital. Esta es una postura en la que el Banco de México (Banxico) no tiene dudas y, para confirmarlo, basta con observar las disposiciones que emitió para el Sistema de Pagos Electrónicos Interbancarios (SPEI) y el Sistema de Pagos Interbancarios en dólares (SPID).
Dichas medidas, cuya implementación debe realizarse a más tardar en abril de 2024, establecen requisitos de ciberseguridad para las entidades financieras que realizan operaciones en estos sistemas de transferencia de fondos, que son administrados por el banco central mexicano.
En lo que toca al SPEI, Banxico ha fijado un criterio de “ciberresiliencia”, lo que implica que las entidades financieras, a grandes rasgos, deberán documentar su capacidad –reflejada en planes de contingencia y recursos– para prevenir y superar un ciberataque que comprometa su operación en el sistema, es decir, afectaciones a la infraestructura digital o a la integridad de la información. La disposición, además de demandar informes periódicos sobre ciberseguridad, define conceptos como data center, infraestructura de cómputo y telecomunicaciones.
Respecto al SPID, en el que también se determinan diversas medidas de ciberseguridad, como son protocolos de comunicación, monitoreos y detección de virus, se establece que las instituciones vinculadas al sistema deben tener un director de Seguridad de la Información (CISO o Chief Information Security Officer).
Desde su posición, el CISO debe verificar, a través de evaluaciones y reportes periódicos, que la infraestructura tecnológica cumple con los requisitos de ciberseguridad necesarios, lo que incluye a terceros que podrían afectar la operación, y contar con un listado actualizado de las personas con acceso a información crítica del sistema.
Una decisión positiva y necesaria
Estas disposiciones de Banxico, enfocadas en los servicios de SPEI y SPID, representan pasos en la dirección correcta. Aunque en el país aún predomina el uso de efectivo, ambos sistemas están ganando terreno entre la población mexicana, especialmente después de la pandemia de Covid-19, lo que incrementa su atractivo como objetivos de un ciberataque.
De acuerdo con información del banco central mexicano, durante 2022, en la plataforma del SPEI se realizaron más de 2.834 millones de operaciones; el año previo se llevaron a cabo poco más de 2.028 millones de operaciones. En el caso del SPID, Banxico reporta 4,1 millones de operaciones en 2022, superando las 3,6 millones de operaciones ejecutadas en 2021.
Por otro lado, como parte del sector financiero, ambos sistemas de pago electrónico se ubican en un territorio de alto riesgo. Desde hace varios años, según distintas instancias, en Latinoamérica, la industria financiera como bancos, aseguradoras y casas de bolsa, están entre los 10 ámbitos productivos más atacados por el cibercrimen.
El rol de los socios tecnológicos
Para las entidades financieras que operan en SPEI y SPID, y que fueron consultadas previamente sobre las disposiciones que pondría en marcha Banxico, las nuevas reglas de ciberseguridad, en buena medida, implican una mirada más profunda a su infraestructura digital. Esta conlleva valorar y documentar la capacidad de dicha infraestructura, para prever y sobreponerse a ataques dirigidos a sus operaciones en el SPEI, y, en el caso de los pagos interbancarios en dólares, establecer un cargo de responsabilidad (el CISO) que vigile el cumplimiento de los criterios de seguridad digital en la plataforma del servicio.
Esta situación, seguramente, también incidirá en los proveedores de innovaciones tecnológicas que entregan soluciones de conectividad, nube, ciberseguridad, big data y centros de datos, que apoyan a las organizaciones financieras en la construcción y operación de sus servicios digitales.
Ante las nuevas disposiciones de Banxico, las entidades que tienen actividades en los sistemas SPEI y SPID darán prioridad a los asociados tecnológicos que puedan mostrar credenciales como:
- Experiencia probada en el ámbito de la ciberseguridad. Este factor no sólo conlleva una relación cercana con proveedores de soluciones de seguridad, sino una visión de la protección informática que privilegia la inteligencia de ciberseguridad, entendiendo que la protección digital hoy implica múltiples condiciones de uso como movilidad, una disposición preventiva y experiencia probada en diversas áreas tecnológicas.
- Entendimiento de la ciberseguridad que demanda el actual ecosistema tecnológico. La protección que necesitan los servicios digitales de las entidades financieras puede involucrar distintas tecnologías y componentes de infraestructura digital. De ahí que las nuevas reglas de Banxico especifican, en el caso de las operaciones en SPEI, aspectos puntuales como el centro de datos. Por eso será vital contar con proveedores que tengan experiencia y conocimiento para proteger infraestructuras de conectividad, nube o centro de datos, entre otros escenarios de innovación tecnológica.
Facilidad para entender los desafíos de un CISO
En el caso de las instituciones que realizan operaciones en el SPID, los CISO optarán por los asociados tecnológicos que tienen, gracias a su entendimiento del entorno de ciberseguridad, una visión más empática de los desafíos y necesidades que vienen con el cargo. Estos proveedores mostrarán solvencia en tareas como diseño de pruebas, análisis de situaciones de riesgo y generación de reportes de protección digital.
Banxico y las instituciones financieras están trabajando para fortalecer la seguridad digital de dos servicios importantes. Los proveedores de soluciones innovadoras tienen que sumarse al esfuerzo y hacer la parte que les corresponde. El esfuerzo conjunto es la mejor arma para enfrentar los desafíos en ciberseguridad.
Sobre el autor: Alejandro Hernández Bringas es CEO en MCM Telecom. Es contador público, con un MBA por la Universidad de Miami, Florida. Ha participado en diversos consejos directivos y comités de trabajo de organismos ligados a su profesión y es experto en la gestión de finanzas y la alta dirección, especializado como perito en materia contable y con un gran gusto por las tecnologías relacionadas con blockchain. Tiene más de 25 años de trayectoria profesional en la industria de Telecomunicaciones y la Responsabilidad Corporativa y Social. Fue presidente nacional del IMEF 2022 y actualmente es presidente del Consejo Consultivo dentro de la misma institución. En su compromiso social, es presidente y fundador de Voz MCM, asociación que apoya a grupos sociales vulnerables en México, y Red Pro BlockChain, que promueve la educación sobre las ventajas de esta tecnología.