La mejor implementación de una tecnología es la que pasa desapercibida mientras cumple su función, y así es como había operado durante muchos años el Sistema de Pagos Electrónicos Interbancarios del Banco de México (SPEI), el puente instituido por el banco central para facilitar las operaciones entre bancos. Pero eso cambió
a finales de abril, cuando usuarios comenzaron a reportar problemas con sus transferencias de dinero por internet.
Rápidamente, el banco central salió a explicar que había una falla en el sistema, pero ésta se había originado en la capa de los bancos, no en el SPEI en sí, y que la operación del sistema financiero no estaba comprometida, aunque sí se esperaban tiempos de espera más largos para hacer transacciones por internet.
Dos semanas después, se dio a conocer que
hackers accedieron a los sistemas de cinco bancos en México y robaron entre 300 y 400 millones de pesos. Una vez más, Banxico aclaró que el SPEI no se había visto vulnerado, pero reconoció que se trató de un ciberataque.
¿Cuán seguro es el SPEI? Para Raymundo Peralta, su creador, el sistema “es sólido”, pero también reconoció que “hay muchos componentes que pudieron ser atacados”, particularmente en la capa en la que el sistema tiene contacto con los bancos.
Peralta fungió hasta 2009 como gerente de Sistemas de la Dirección General de Operaciones de Banca Central y dirigió a un equipo de 7 personas que durante 4 años trabajó en el desarrollo del sistema de firma electrónica y del SPEI en el Banco de México.
El exfuncionario público explicó a Forbes en entrevista que, “cuando el SPEI se diseñó funcionaba sobre una red privada, cifrada por hardware y la única forma de poder procesar una orden de pago era si se podía verificar la firma electrónica del responsable que envía la orden de pago, lo cual hace muy difícil un hackeo”.
El siguiente diagrama explica el flujo que siguen los datos en el sistema hasta convertirse en dinero:
El doctor Peralta explica que el proceso del SPEI “es simple a vuelo de pájaro” y lo resume en 5 puntos:
- Los bancos se identifican usando una firma electrónica.
- Los bancos envían órdenes de pago firmadas al sistema.
- El sistema verifica las firmas y, si son correctas, deja pasar las ordenes.
- El sistema netea [concilia el balance del usuario] los datos firmados y los fondos se transfieren al receptor.
- A su vez, los bancos receptores deben verificar la información.
“Si se respeta y mantiene la estructura y la seguridad, se estima muy difícil que alguien se meta en medio”, afirma el experto. No obstante, un sistema es tan fuerte como su parte más débil, y cuestionado sobre si el talón de Aquiles del SPEI son los bancos, el experto explica que dentro de ellos “debería existir un responsable de las ordenes de pago que el banco envía y solo se pueden enviar a una cuenta existente de otro banco, es un sistema cerrado. Si logras entrar al sistema de un banco y hacer transferencias desde cuentas válidas, el sistema va a procesar el pago, y siempre debe ser rastreable”.
Aún no está claro qué bancos fueron afectados y cuán grave fue el daño infligido a cada uno.
El SPEI se ha vuelto una pieza fundamental de la economía mexicana. El sistema comenzó a operar en agosto de 2004, reemplazando al Sistema de Pagos Electrónicos de Uso Ampliado (SPEUA), que dejó de funcionar en agosto de 2005. Para 2016, ya se transferían 181 billones de pesos en 304 millones de transferencias, 57 millones de operaciones más que el año previo y 209 millones más que en 2005, un año después de su puesta en marcha.
