- Los bancos se identifican usando una firma electrónica.
- Los bancos envían órdenes de pago firmadas al sistema.
- El sistema verifica las firmas y, si son correctas, deja pasar las ordenes.
- El sistema netea [concilia el balance del usuario] los datos firmados y los fondos se transfieren al receptor.
- A su vez, los bancos receptores deben verificar la información.
¿Cómo funciona el SPEI? Su creador lo explica
Ante el robo de 400 mdp a 5 bancos del país, el creador del Sistema de Pagos Electrónicos Interbancarios del banco central afirma que éste es sólido y detalla su operación.
La mejor implementación de una tecnología es la que pasa desapercibida mientras cumple su función, y así es como había operado durante muchos años el Sistema de Pagos Electrónicos Interbancarios del Banco de México (SPEI), el puente instituido por el banco central para facilitar las operaciones entre bancos. Pero eso cambió a finales de abril, cuando usuarios comenzaron a reportar problemas con sus transferencias de dinero por internet.
Rápidamente, el banco central salió a explicar que había una falla en el sistema, pero ésta se había originado en la capa de los bancos, no en el SPEI en sí, y que la operación del sistema financiero no estaba comprometida, aunque sí se esperaban tiempos de espera más largos para hacer transacciones por internet.
Dos semanas después, se dio a conocer que hackers accedieron a los sistemas de cinco bancos en México y robaron entre 300 y 400 millones de pesos. Una vez más, Banxico aclaró que el SPEI no se había visto vulnerado, pero reconoció que se trató de un ciberataque.
¿Cuán seguro es el SPEI? Para Raymundo Peralta, su creador, el sistema “es sólido”, pero también reconoció que “hay muchos componentes que pudieron ser atacados”, particularmente en la capa en la que el sistema tiene contacto con los bancos.
Peralta fungió hasta 2009 como gerente de Sistemas de la Dirección General de Operaciones de Banca Central y dirigió a un equipo de 7 personas que durante 4 años trabajó en el desarrollo del sistema de firma electrónica y del SPEI en el Banco de México.
El exfuncionario público explicó a Forbes en entrevista que, “cuando el SPEI se diseñó funcionaba sobre una red privada, cifrada por hardware y la única forma de poder procesar una orden de pago era si se podía verificar la firma electrónica del responsable que envía la orden de pago, lo cual hace muy difícil un hackeo”.
El siguiente diagrama explica el flujo que siguen los datos en el sistema hasta convertirse en dinero:
El doctor Peralta explica que el proceso del SPEI “es simple a vuelo de pájaro” y lo resume en 5 puntos: