La banca hackeada
El robo millonario a grupos financieros por medio de transferencias vía SPEI puso en evidencia la vulnerabilidad del sistema bancario en México. Pese a los esfuerzos por proteger a las instituciones, el sector aún no está a salvo ya que se esperan más ataques
Nayeli Meza OrozcoLa banca en México está en jaque. Un grupo de piratas informáticos creó cuentas para sustraer millones de pesos de instituciones financieras mediante la transferencia de fondos vía el Sistema de Pagos Electrónicos Interbancarios (SPEI), los cuales fueron retirados de una docena de sucursales en toda la República Mexicana.
“El hackeo por el que estamos atravesando es el más grande en la historia del país, pero, puede ser mucho peor”, advierte Carlos Estrada, encargado de seguridad cibernética en Vestiga Consultores.
Para el especialista, los 300 a 400 millones de pesos que fueron robados representan apenas una quinta parte de los montos que se hurtan en todo el mundo. Además, explica, el hackeo que ha ocurrido en las últimas semanas se ubica en el nivel tres y cuatro de la escala internacional, sin embargo, prevé que en las próximas semanas suba al nivel cinco.
La primera alerta se encendió a finales de abril pasado cuando miles de mexicanos sufrieron un viacrucis para poder ver reflejada su nómina y hacer transferencias electrónicas de fondos. Aunque estos incidentes en la operación de tres participantes en el SPEI fueron una señal de que algo no andaba bien, el Banco de México (Banxico) descartó que se tratara de un ciberataque.
“Se informa que hasta el momento, la infraestructura del SPEI en Banco de México no ha sufrido afectación alguna y no existen indicios de afectaciones a los recursos de los clientes de ninguna de las instituciones participantes en el referido sistema”, precisó la entidad en un comunicado.
Sin embargo, fue hasta inicios de mayo cuando los bancos comenzaron a levantar la voz. Inbursa, Banorte, Banjercito, Citibanamex y BanBajío dieron aviso a las autoridades de las irregularidades.
Aunque el organismo central fue muy cuidadoso al confirmar que el sistema bancario estaba siendo hackeado, conforme pasaron los días tuvo que cambiar la dirección de su discurso, al grado de que Alejandro Díaz de León, gobernador de Banxico, informó que las fallas que han presentado los bancos durante las últimas semanas fueron causadas por un ciberataque.
“Todo parece indicar con la información que tenemos al día de hoy, que sí se trata de un ciberataque”, declaró a inicios de esta semana.
Por su parte, la Asociación de Bancos de México (ABM), la Comisión Nacional Bancaria y de Valores (CNBV) y Secretaría de Hacienda y Crédito Público (SHCP) publicaron comunicados argumentando que la infraestructura del SPEI ha mantenido su operación de manera normal y en ningún momento ha estado en riesgo.
Carlos Estrada califica la respuesta de Banxico como “lenta, imprecisa e insuficiente”. Lenta porque la entidad se tardó de dos a tres semanas en encontrar la raíz del problema sobre si era un hackeo, un error humano o una falla en la operación; imprecisa porque en sus primeros comunicados relacionados con el tema el banco central descartó que se tratara de un hackeo y al final lo confirmó, e insuficiente porque las autoridades han asegurado que necesitan un par de semanas más para poder tener el diagnóstico de lo que ocurre.
“Es un proceso que a nivel internacional en una semana se tiene respuesta, pero, en México esto tardará más de un mes”, lamenta el encargado de seguridad cibernética.
¿Hackers mexicanos?
En un principio, se tenía registro de que 150 cuentas fueron utilizadas para hacer las transferencias del desvío de recursos, pero, estimaciones de especialistas aseguran que la cifra supera las mil y que involucran a la mayoría de los bancos.
Se sabe que hasta el momento ningún banco ha sido hackeado, aunque el robo afectó entre 18 y 20 instituciones financieras, de acuerdo con Banxico.
Estrada detalla que muchas de las cuentas que se ocuparon para el robo millonario son nuevas, de las cuales, la mayoría se crearon este año, mientras que otras tienen una existencia de entre dos y cinco años.
De igual forma, explica, al tener estos datos se puede conocer un poco más sobre cuál es el modus operandi de los responsables del ataque.
Por principio, muchas de las cuentas se abrieron con documentación de personas jóvenes, además, los delincuentes tenían una logística muy bien definida sobre cómo se haría el hackeo para poder retirar el efectivo, ya que éstas tienen como lugar de procedencia toda la República Mexicana, desde Tijuana hasta Yucatán.
“Mucho de lo que ya fue extraído requirió de una operación logística muy fuerte, algo que no tienen los hackers tradicionales”, sostiene Estrada,
Para poner en contexto la magnitud del ataque, el especialista explica que los ciberdelincuentes a nivel internacional no utilizan más 100 cuentas bancarias, mientras que en México se crearon más de mil para sustraer recursos de al menos cinco instituciones financieras.
Históricamente quienes realizan esta clase de ataques en el mundo son un grupo que hackers que se hace llamar Lazarus, una organización que nació en Corea del Norte en 2009 y que se les atribuye la creación del virus WannaCry.
La mayoría de sus actos ha tenido como blanco las instituciones ubicadas en países como Rusia, India, Brasil, Vietnam, Corea del Sur, Bangladesh, entre otros.
En el caso de México, desde hace dos años tienen la mirada puesta en la Comisión Nacional Bancaria y de Valores.
Su estrategia consistió en entrar a los servidores de la Comisión para mandar correos electrónicos apócrifos a los bancos, es decir que se hacían pasar por la autoridad para conseguir transferencias millonarias. Sin embargo, el experto comparte que este mecanismo no les funcionó ya que las instituciones se percataron de la vulnerabilidad, la cual fue corregida el año pasado.
“Que no lo hayan logrado, no significa que no lo vuelvan a intentar y, ahora sí, tengan éxito”, advierte Estrada.
Vestiga Consultores realiza una taxonomía para tratar de descifrar quiénes son los que están detrás de esta clase de incidentes. Por las características no tan sofisticadas técnicamente del ataque, explica el especialista, se podría tratar de un grupo de mexicanos que quizá cuenta con el apoyo de un hacker extranjero.
“No hicieron un ciberataque sofisticado, fue más una cuestión de logística empezando porque no hackearon directamente a un banco, algo que es muy común en otros países”.
El experto comparte que para alcanzar el nivel cinco se requiere que los hackers de otro gobierno ataquen a México. Para que esto ocurra se tiene que afectar el servidor de los bancos y a sus empleados mediante la vulnerabilidad de sus dispositivos personales.
Hoy, el sistema financiero mexicano se enfrenta a infecciones tradicionales que son ocasionadas por un malware o virus.
Frente a la actual situación, Banxico creó la Dirección de Ciberseguridad, que se encargará de proponer lineamientos y establecer políticas de seguridad para mantener resguardada la información que gestiona el banco central, según un nuevo artículo en el reglamento interior de la entidad financiera publicado el martes en el Diario Oficial de la Federación (DOF).
Aunque el anuncio fue bien recibido por las autoridades financieras, para el especialista esta medida llega tarde, sobre todo al tomar en cuenta los grandes vacíos que tiene México en materia de ciberseguridad.
“Con un nueva Dirección no se va a solucionar el problema. Este ataque puso en evidencia que el talón de Aquiles del país es que no existe seguridad cibernética. A pesar de que la industria financiera es una de las que están mejor protegidas, este hackeo nos puso de rodillas”.