Recordemos que el SPEI es el Sistema de Pagos Electrónicos Interbancarios creado por el Banco de México, pero al ser un espacio en donde se mueve mucho dinero, a mucha gente le parece algo peligroso, pues no saben nada de cómo viaja el dinero durante una transferencia y temen que no haya forma de conocer su destino.

Sin embargo, al SPEI únicamente tienen acceso las instituciones financieras reguladas y supervisadas por las autoridades financieras mexicanas para limitar los riesgos que los participantes pudieran generar al sistema, pues en caso de que entre cualquiera y hubiera un ataque, sería muy complicado saber quién fue el eslabón débil.

Además, cualquier institución que se quiera conectar al SPEI, deberá acreditar, previo a su ingreso, requisitos técnicos, de seguridad informática y de gestión del riesgo operacional. Los requisitos de acceso de todos los participantes en el SPEI son esencialmente los mismos, por lo que existe un trato equitativo para el ingreso al sistema.

Para tener la seguridad de que las transacciones se hacen correctamente y no haya nada malicioso, Banxico tiene una serie de regulaciones hacia las instituciones financieras, desde exámenes de confianza a todo el personal que tenga acceso al sistema.

Además las instituciones financieras deben designar un oficial de seguridad de la información responsable del diseño, implementación y verificación de las políticas de prevención de riesgos de ciberseguridad, así como de la implementación de medidas correctivas ante la materialización de estos riesgos que pudiera afectar la operación de la institución en el SPEI.

Para las instituciones digitales y pagos del mismo tienen que identificar las cuentas pertenecientes a este tipo de clientes con el fin de estar en posibilidad de implementar validaciones adicionales previas a la acreditación de recursos provenientes de transferencias de fondos a través del SPEI.

Existen medidas de seguridad para participantes del SPEI que lleven cuentas a nombre de los clientes indicados, las cuales piden abonar los recursos correspondientes a las órdenes de transferencias de fondos que reciban, al día hábil siguiente al de su recepción, hasta en tanto cuenten con la autorización del Banco de México, como administrador del SPEI, para llevar a cabo en plazos distintos, validaciones adicionales que tengan como propósito asegurar la legitimidad de dichas órdenes.

Además, deberán abstenerse de poner a disposición de este tipo de clientes los recursos correspondientes a las órdenes de transferencias que reciban, el mismo día de su recepción, en aquellos casos en que el Banco de México emita avisos ante posibles ataques a la infraestructura tecnológica del sistema.

Las cuentas que los participantes del SPEI lleven a este tipo de empresas deberán ser cuentas de depósito de dinero a la vista abiertas únicamente en aquellas instituciones financieras facultadas para ofrecerlas (instituciones de crédito, sociedades financieras populares, sociedades financieras comunitarias y sociedades cooperativas de ahorro y préstamo).

El SPEI no es infalible

Si bien el Sistema de Pagos Electrónicos Interbancarios es un sistema desarrollado para hacer todo en automático, a lo largo de sus años ha presentado algunas fallas que a veces afectan a todo el sistema bancario y otras tantas cuando solo afecta a unas cuantas instituciones. Usualmente porque se desconectan de él.

Hemos visto a lo largo de los años que a veces usuario de bancos señalan que no pueden mover su dinero a otras cuentas, lo que usualmente está ligado con el SPEI. Sin embargo, un fallo del Sistema usualmente dura unos minutos o incluso unas horas, para que más adelante se pueda realizar cualquier transacción, pero han habido casos más graves.

En mayo de 2018 el Banco de México señaló que el SPEI no sufrió afectación y notificó que no existieron indicios de afectaciones a los recursos de los clientes de ninguna de las instituciones participantes en el referido sistema, pero los clientes de los bancos señalaron que las transacciones, la aplicación y todo el sistema estaba intermitente.

En un comunicado Banxico señaló que “ como medida preventiva, los participantes afectados mantuvieron su conexión al SPEI bajo esquemas de contingencia que podrían afectar el servicio que dichas instituciones prestan a sus clientes”. Esa fue la razón por la que muchos sufrimos afectaciones en nuestros bancos, desde lentitud hasta retrasos de consultas.

Días después de eso, Banxico dijo la verdad: detectó movimientos no autorizados y sujetos a revisión por la cantidad de 300 millones de pesos, en donde 5 participantes se vieron involucrados con vulneraciones de ciberseguridad, y todos los ataques han sido dirigidos hacia los bancos, casas de bolsa y otros participantes del sistema de pagos.

Sin embargo, el Banco Central señaló que los atacados fueron los bancos y no así el SPEI, el modo de operación es que los atacantes vulneraron las conexiones de las instituciones con el SPEI, inyectando instrucciones de pago fraudulentas a partir de cuentas inexistentes, lo cual afecta la cuenta transaccional de los participantes en el Sistema, pero no las cuentas de los clientes finales.

Por ahora, solo el sistema se ha reforzado en seguridad desde los puntos de acceso. La gente sigue confiando en el sistema, de acuerdo con las cifras publicadas por la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros (Condusef), las transferencias realizadas vía SPEI en 2020 aumentaron un 72.2% respecto al 2019, por lo que para abril de 2021 se hayan realizado en total 149 millones 404 mil operaciones.