En alerta roja

El sistema financiero de México vuelve a ser víctima de ataques por parte de ciberdelincuentes. La vulnerabilidad a la que ha estado expuesto durante este año pone en evidencia los vacíos que enfrenta el sector en materia de seguridad

[kaltura-widget uiconfid=”39952882″ entryid=”0_2stivwyf” responsive=”true” hoveringControls=”false” width=”100%” height=”75%” /]
México está bajo amenaza. Los ataques cibernéticos van en aumento y el sistema financiero se ha convertido en uno de los objetivos favoritos de los hackers que buscan obtener ganancias mediante el robo masivo de dinero o información.

“Estos fenómenos los vamos a ver con mayor frecuencia, no sólo porque México esté en una posición de vulnerabilidad, sino porque está ocurriendo en todo el mundo”, dice Mario Di Costanzo, presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).

Los hackeos ocurridos desde inicios de este año evidencian el nivel de sofisticación de los ciberdelincuentes, pues ya no sólo se trata de simples robos, sino que se valen de herramientas tecnológicas para infiltrarse en el corazón de las instituciones financieras para conocer su operación y atacarlas desde adentro

El último caso fue contra la aseguradora AXA, hecho que llevó al Banco de México (Banxico) y a la Secretaría de Hacienda y Crédito Público (SHCP) a poner en alerta roja al sistema financiero.

En un comunicado conjunto, los organismos informaron que el pasado 22 de octubre, con base en elementos del monitoreo del funcionamiento, se solicitó a los participantes de los sistemas de pagos mantenerse alerta con el propósito de detectar cualquier anomalía que pudiera presentarse en su operación.

Las autoridades financieras comunicaron que la compañía de seguros francesa reportó un ataque cibernético en el Sistema de Pagos Electrónicos (SPEI). Sin embargo, en un posicionamiento aparte, AXA confirmó que no se comprometieron datos o recursos de sus clientes.

El ataque cometido en contra de la aseguradora no es el único del que se tiene registro y especialistas adelantan que tampoco será el último, sobre todo, al tomar en cuenta que México es uno de los países que se encuentra bajo la mira de los piratas informáticos.

“México es el país más atacado de América Latina y el tercero a nivel mundial. Es un objetivo atractivo porque no cuenta con sólidos mecanismos de defensa que le permitan hacer frente a estas amenazas”, asegura Eduardo Palacio, especialista en ciberseguridad de IBM.

Al año, una institución financiera que opera en el país sufre alrededor de 85 ataques cibernéticos, que derivan en pérdidas millonarias, de acuerdo con la Comisión Nacional Bancaria y de Valores (CNBV)

Instituciones expuestas

La primera alerta se prendió el 10 de enero pasado cuando el Banco Nacional de Comercio Exterior (Bancomext) difundió un comunicado en el que reconoció que había suspendido sus operaciones y puesto en marcha protocolos de emergencia para contener un intento de hackeo provocado por un tercero el 9 de enero en su plataforma de pagos internacionales.

A inicios de octubre, la empresa de seguridad cibernética Fire Eye dio a conocer que el grupo de hackers norcoreano APT38, también conocido como Lazarus, había sido el responsable de la agresión perpetrada a la institución bancaria.

La segunda alarma se encendió a finales de abril cuando miles de mexicanos se vieron imposibilitados para cobrar su nómina y realizar transferencias electrónicas de fondos.

A pesar de que el fallo en tres tres participantes del SPEI fue visto como una señal de que algo no andaba bien, Banxico descartó que se tratara de un ciberataque.

Días después, en mayo, Alejandro Díaz de León, gobernador del banco central, cambió la dirección de su discurso al manifestar que las irregularidades detectadas por casi 20 instituciones fueron ocasionadas por un hackeo en el que se crearon cuentas para sustraer al menos 300 millones de pesos mediante transferencias por SPEI.

A estos ataques le siguió una alerta amarilla emitida por la CNBV el 5 de julio para exhortar a los integrantes del sector a estar atentos con los sistemas operativos después de que la plataforma mexicana de criptomonedas Bitso informara de un intento de ataque que no afectó los fondos de sus clientes, gracias a los protocolos que siguió

Carlos Estrada, encargado de seguridad cibernética en Vestiga Consultores, considera que los ciberataques al sector financiero en el país son un síntoma que pone en evidencia la vulnerabilidad de México frente a los piratas informáticos.

“Esto apenas comienza. Los hackeos continuarán hasta que las instituciones financieras no mejoren sus sistemas y esto les permita hacer frente a los grupos criminales que cada vez están mejor preparados. En México se sigue utilizando tecnología que data de hace 15 años, estamos muy rezagados”.

Normas obsoletas

El cibercrimen es el enemigo permanente de la banca en México, pero la falta de leyes que ayuden a combatir esta clase de delitos se convierte en otro adversario.

La razón principal es que la legislación que tipifica los delitos informáticos no se ha actualizado desde hace casi 20 años

De acuerdo con un análisis de la Revista Seguridad UNAM, el 17 de mayo de 1999 se publicó en el Diario Oficial de la Federación una reforma en materia penal a nivel federal relacionada con delitos informáticos, la cual incluía dentro de su marco jurídico distintas figuras delictivas que protegen la información contenida en los sistemas y equipos de cómputo.

No obstante, la investigación de la máxima casa de estudios del país refiere que este ordenamiento ha quedado superado por el crecimiento del uso de las tecnologías de información entre los mexicanos.

Por lo tanto, el presidente de Condusef comparte que esta situación ha provocado que la persecución de los ciberdelincuentes en el país sea nula.

“Así como es importante tipificar delitos relacionados con el lavado de dinero o evasión fiscal, también es crucial que exista un marco normativo que permita castigar a aquellos que cometen ataques cibernéticos”
Mario Di CostanzoPresidente de Condusef

Desafíos en ciberseguridad

Diversos análisis ubican a México como punta de lanza para los ataques de delincuentes cibernéticos. Frente a esto, analistas coinciden que esta situación es una tendencia que se presenta en todo el mundo, por lo que las organizaciones deben optimizar sus recursos económicos y humanos que tienen para mejorar la seguridad e innovar en tecnologías disruptivas que les ayuden a enfrentar estos retos.

Durante 2017, en México se registraron pérdidas por 7.7 millones de dólares a causa de estos delitos, de acuerdo con datos de la consultora Statista

33
millones de mexicanos han sido víctimas de algún ciberataque a través de phishing, spam, DoS (denial of service) y ransomware.

Angie Aguilar Domínguez, de la Coordinación de Seguridad de la Información de la UNAM, opina que esto es un problema grave si se considera que en el país hay 71 millones de personas conectadas a internet.

Además de los hackers, otro desafío al que se enfrenta el sistema financiero es que muchas veces el enemigo está en casa.

Alrededor del 45 por ciento de los ciberdelitos son perpetrados por los empleados de las instituciones y los ataques más comunes son el phishing (o sustitución de la identidad), según la CNBV.

Por rubro, el sector financiero es atacado 65 por ciento más en contraste con otras industrias en el país.

Al respecto, Carlos Estrada, encargado de seguridad cibernética en Vestiga Consultores, explica que muchas veces esto tiene como origen que los bancos no suelen ser cuidadosos con el personal que contratan para crear los mecanismos de seguridad.

“La infraestructura y el capital humano con el que cuentan las instituciones muchas veces no cumple con los requisitos básicos para protegerse contra hackeos”, añade el experto.

El año pasado, la Procuraduría General de la República (PGR) creó la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas con el objetivo de apoyar las investigaciones relacionadas con medios electrónicos y tecnológicos bajo la conducción y mando del Ministerio Público de la Federación.

La legislación actual en México para castigar los ciberdelitos está atrasada y se ha visto rebasada por el avance tecnológico, lo que provoca que el país se vuelva un blanco ideal para los criminales

A pesar de que el esfuerzo pudo parecer bueno, Roberto Martínez, analista de seguridad senior en Kaspersky Lab, expone que las instituciones financieras deben reconocer que enfrentan a un adversario con capacidades superiores y los problemas que les causa no se resolverán con tecnología básica.

“Se debe comprender que es una cuestión de estrategia y que están en un juego de adversarios, por lo que deben elevar sus niveles de protección y defensa”.

Detrás del monitor

Nuestro país se ubica en los primeros lugares preferidos para ser atacado por cibercriminales.

Sin embargo, las acciones maliciosas que perpetran estos sujetos en algunos casos no son demasiado sofisticados, como el conocido WannaCry que se adjudicó el grupo Lazarus, que nació en Corea del Norte en el año 2009.

En ocasiones se piensa que los ataques cibernéticos son perpetrados por una sola persona sentada detrás de una computadora, sin embargo, hoy en día estos criminales operan en grupos y planean una estrategia por etapas para ingresar a un sistema

“Este grupo infiltra ‘insiders’ en las organizaciones para conocer cómo funcionan sus sistemas informáticos. Una vez que aprendieron, insertan un virus que se queda en estado latente. Ellos se desaparecen, el virus se activa y es cuando se generan este tipo de ataques”, detalla, Mario Di Costanzo, presidente de Condusef.

Este método, uno de los más sofisticados, fue muy similar al que sufrió el sistema de transferencias electrónicas SPEI en abril pasado.

En este caso particular se presume que los atacantes pudieron mantener colaboración con personal que trabaja al interior de los bancos, quienes proporcionaron información de inteligencia, por lo que tienen experiencia en infiltrar redes y vulnerar sistemas.

Eduardo Zamora, director General de Fortinet México, detalla que como en este caso, los ataques cibernéticos son más complejos por lo que cuidar una sola red ya no es suficiente.

El experto explica que visualizar a un hacker en un sótano rodeado de tecnología es una idea errónea que tenemos en México, pues ahora operan en esquemas similares a los de grandes organizaciones criminales.

“Son organizaciones que desarrollan su propia tecnología y que están muy avanzados, por eso no basta la seguridad tecnológica, debe considerarse también a las personas”
Eduardo ZamoraDirector general de Fortinet México

El especialista destaca que todas las organizaciones son vulnerables a un ataque, pero existen medidas para garantizar la seguridad ante agresiones masivas y dice que en lugar de pánico lo que se debe tener es un plan para atender las eventualidades en el corto y mediano plazo.

Por su parte, Roberto Martínez, analista de seguridad senior en Kaspersky Lab, comenta que estos delincuentes suelen ser expertos en seguridad ofensiva, operan en grupos y planean una estrategia por etapas para ingresar a un sistema.

“No es un tema de México, aquí lo que importa es que siempre existe un actor, un adversario y uno o varios blancos. En este momento hay actores que se han enfocado en sistemas financieros en México y puede ser que los atacantes sean delincuentes regionales”, comenta el especialista.

En tanto, Eduardo Palacio, experto en ciberseguridad de IBM, detalla que estos grupos criminales tienen una operación diversificada para ampliar el contacto con las posibles víctimas, por lo que no tienen un único método para cometer delitos.

Incluso, existen organizaciones que mantienen un esquema similar al de empresas legales, es decir, cuentan con organigramas para establecer jerarquías y también contratan a personas externas para realizar tareas específicas como servicios de programación o para que construyan la infraestructura de red necesaria para sus operaciones.

“Hay hackers de diferentes especialidades que incluso trabajan por proyectos. Se ponen un objetivo particular e intentan diferentes métodos de ataque hasta que uno les resulta exitoso”, explica Palacio

Pero en México las amenazas persisten con ataques dirigidos a determinados segmentos, aunque no siempre se emplean las técnicas más sofosticadas.

En este sentido, el especialista de IBM agrega que para estos delincuentes el truco más viejo es el más exitoso: el engaño.

En la actualidad el ataque que con mayor frecuencia se comete entre usuarios se basa en este método, pues los atacantes generan una relación de confianza con las posibles víctimas, a quienes piden realizar una acción específica desde una página de un supuesto banco u otra institución casi idéntica a la legítima

Eduardo Palacio menciona que este delito cibernético, conocido como phishing, permite a los criminales conocer información personal, como contraseñas o datos de tarjetas de crédito, la seguridad social y hasta números de cuentas bancarias.

“Este delito es particularmente exitoso en México y otros países latinoamericanos por la falta de cultura cibernética entre los usuarios”.

Te puede interesar