La Auditoría Superior de la Federación (ASF) determinó que durante el ciberataque al Sistema de Pagos Electrónicos Interbancarios (SPEI), operado por el Banco de México, en abril de 2018, el Banco Nacional del Ejército, Fuerza Aérea y Armada (Banjército) no contaba con políticas, procedimientos, ni protocolos de emergencia, lo que lo hizo vulnerable.
De acuerdo con la Cuenta Pública 2018, Banjército incumplió con los requisitos de seguridad informática que se habían solicitado en la Circular 14/2017, además de que no contaba con documentación relacionada con las actividades de protección y custodia de los componentes de infraestructura comprometidos.
“Al momento del incidente, Banjército no contaba con políticas, procedimientos, ni protocolos de emergencia para identificar, notificar, contener, atender, solucionar y mitigar incidentes de ciberseguridad”.
El 24 de abril de 2018, fueron sustraídos más 300 millones de pesos, provenientes de 11 transferencias fraudulentas a través del sistema SPEI; de las 11 transacciones se pudieron realizar 3 recuperaciones totales y una parcial por lo que el nuevo monto extraído fue de más de 200 millones de pesos.
- Te recomendamos Bancos suspendieron factura instantánea por posibles cancelaciones de tarjetas Negocios
La ASF indicó que el Órgano Interno de Control y la Dirección de Auditoría Interna no llevaron a cabo actividades de análisis o investigación respecto del incidente.
Asimismo, en la revisión de la madurez de ciberseguridad, se detectó inicialmente que 2 entidades que resultaron afectadas presentaron niveles muy bajos y los 5 restantes niveles bajos.
La ASF abundó que durante el proceso de auditoría la entidad de fiscalización estableció contacto en diversas ocasiones con las entidades auditadas para revisar los avances de las acciones para cada una de las subcategorías evaluadas, con base en ello las entidades aportaron nueva evidencia, lo que motivó una segunda evaluación por parte de la ASF.
De la segunda evaluación, se observó que una entidad continuó presentando un nivel de madurez muy bajo, tres entidades bajo, una entidad medio bajo y dos entidades niveles medios de madurez, agregó.
“Esta revisión contribuye a la mejora de la ciberseguridad en los Sistemas de Pagos en temas regulatorios, de supervisión, vigilancia y condiciones de operación de los participantes y del administrador de estos sistemas”.
lvm