Hasta ahora no ha habido suficientes acciones concretas después del hackeo por 400 millones de pesos a los bancos, y al parecer no tenemos consciencia de lo que tenemos que hacer en México para vivir en el mundo cibernético sin tantos costos.
En este ámbito, las leyes tienen que actualizarse constantemente y nadie puede comprar un sistema 100 por ciento antihackeo, por lo que se requieren medidas legales y acciones para minimizar estos costos.
Porque no sólo está este enorme hackeo a los bancos, sino que también, de acuerdo con cifras de la Condusef, el número de consumidores por Internet que fueron víctimas de delitos cibernéticos se incrementó en 47% respecto a 2016, pasamos de 22 millones de personas afectadas, que representan el 48 por ciento de los cibernautas en 2016, a 33 millones de afectadas en 2017, que representan el 64 por ciento.
Para Mario Di Costanzo, presidente de Condusef, hay motivos para pensar que en el hackeo a los bancos hubo insiders; es decir, que personas de adentro del Banco de México o de los bancos privados participaron y operaron contra los propios bancos, lo cual hace mucho más grave este ataque.
Explica que lo que se hackeó es la conexión entre la cuenta concentradora que administra el Banco de México con los bancos privados, que tienen como un pequeño cajón en esta cuenta concentradora con su propio dinero, y crearon un Sistema de Pagos Electrónicos Interbancario (SPEI) fantasma para ello, para el cual necesitaba un número de clabe.
Esto significa que los hackers alquilaron cuentas para enviar el dinero y esto es imposible de parar, porque hay que seguir muchas cuentas, además a quienes prestaron su cuenta para recibir el dinero no se les puede perseguir por ningún delito, y lo peor que les puede pasar es que le caiga una auditoría de la Secretaría de Hacienda, que por cierto finalmente tampoco es cosa menor.
El otro caso es que abrieron una cuenta exprofeso, con robo de identidad, y ahí enviaron el dinero. Aquí tanto el banco como el hacker tienen responsabilidad, ya que el gerente debe validar si la credencial de elector que se presenta es por lo menos vigente para votar, y debieron haber identificado si había una falla y en ese caso avisar a la Fiscalía Especializada para la Atención de Delitos Electorales (FEPADE), porque se tiene conocimiento de un presunto delito.
Di Costanzo asegura que debe ampliarse la figura de cibernéticamente expuesto, que actualmente se utiliza con los funcionarios públicos de alto nivel, a quienes se les piden muchos requisitos, y además la Secretaría de la Función Pública envía reportes especiales para tener un mayor control.
Pide trasladar al ámbito privado el concepto de cibernéticamente expuesto, ya que deberían de tener las normas y cuidado que los organismos públicos y los reguladores financieros, que cuentan todos con un área de ciberseguridad.
Se debe considerar, comenta, también a los directores generales de tecnologías de la información de algunas dependencias, al que opera los sistemas de bases de datos, a los que operan los sistemas de las tesorerías de Pemex, porque son personas que por omisión o por intención pueden dejar pasar algo.
Además, explica que en el mundo cibernético se hacen licitaciones para dar servicio a los servidores y que muchas veces las empresas subcontratan a una persona, por ejemplo en la India, y esta misma persona es subcontratada por otras empresas, lo cual lo debe convertir en cibernéticamente expuesto.