n 2007, Facundo Rosas era coordinador de Inteligencia para la Prevención y encargado de despacho de la Policía Federal Preventiva (PFP); en ese puesto lo entrevisté para hablar sobre la ciberseguridad, ya que entonces dicha autoridad protegía a las secretarías de Estado ante posibles hackeos que pusieran en riesgo la seguridad nacional.
La entrevista era para un reportaje que realicé ese año ante la creación — por parte de la fuerza aérea de Estados Unidos— de un Comando Cibernético para proteger el ciberespacio estadunidense y pensamos en el equipo del ya extinto programa de Televisa,
Punto de Partida, que era buena idea preguntarle a las autoridades del país cuál era la dirección que seguíamos en este terreno, ante las acciones que ya estaban tomando otros países.
“Eso es Hollywood, esas cosas son de película, de ciencia ficción, eso no pasa”, me contestó Facundo Rosas en ese momento. El enfoque para 2007 acerca de ciberseguridad era poder rastrear correos electrónicos y mensajes de texto en situaciones de extorsión o secuestro o, en el mejor de los casos, encontrar el origen de una dirección IP; lo otro — proteger al ciberespacio mexicano— eran cosas que no pasaban en la vida real y no tenía caso preocuparse por ellas.
Más de 11 años después de que oficialmente la entonces Policía Federal pensaba que esas cosas —los hackeos eran solo una cuestión de ciencia ficción— se ha llevado a cabo el robo y ciberataque más importante que ha sufrido la banca mexicana.
Ayer se firmaron las Bases de Coordinación en Materia de Seguridad de la Información (Bases de Coordinación) por parte de los representantes de seis autoridades del sector financiero, la Procuraduría General de la República (PGR), diversas asociaciones gremiales del sector financiero mexicano y entidades financieras particulares que, de acuerdo con el comunicado del Banco de México, tendrán por objetivo establecer esquemas de colaboración entre las autoridades, las asociaciones gremiales y las entidades, en materia de seguridad de la información.
El mismo Banxico emitió un documento donde ofreció un resumen puntual de los ataques a SPEI y la reacción de parte de todos los involucrados en proteger el territorio digital de la banca, además de dar a conocer que fueron cinco los ciberataques: uno el 17 de abril, dos el 24 de abril, uno el 26 de abril y uno más el 8 de mayo.
Justo en mayo del año pasado, WannaCry apareció y realizó el ciberataque internacional
Ransomware, el más importante de la historia, secuestrando millones de computadoras en el mundo, gracias a una falla de actualización de los equipos.
Todo esto es para decir que al final del día, aunque sí han existido esfuerzos por parte de autoridades mexicanas para protegernos de estos ataques, fue hasta que era inevitable aceptar que estábamos bajo uno de ellos, que un grupo había penetrado una parte de la seguridad digital del sistema bancario, que se habían robado 300 millones de pesos y que se da a conocer que se forma un equipo de coordinación para protegernos.
Me preguntó si tal vez y, espero que no, alguien como Facundo Rosas en 2007 pensó en este 2018 que eso de los robos cibernéticos era cuestión de ciencia ficción, y si éste fue, además de la gran habilidad de los ciberdelincuentes, por la torpeza de alguna autoridad que no pensaba crear estos grupos de protección y, peor aún, dar a conocer los ataques.
Y es que siempre ha existido cierta opacidad en cuanto el número de ataques cibernéticos que reciben bancos e instituciones públicas, pues, obviamente, esto haría que la confianza en los mismos disminuyera, por eso creo que el punto más relevante de esta coordinación en materia de seguridad de la información es que establece que las entidades crearan un equipo interno de identificación y respuesta a incidentes sensibles de seguridad de la información, mismo que será el encargado de dar a conocer sin demora a la autoridad competente sobre la ocurrencia de un incidente de este tipo.
Esperemos que la autoridad competente también lo informe cuando pase — de manera pública sin demora— ese tipo de incidentes. Ya veremos.