viernes 29 marzo 2024

Brecha bancaria de abril aprovechó fallas en software de los bancos: Banxico

por etcétera
Brecha bancaria aprovechó fallas en software de los bancos: Banxico

Los aplicativos que contrataron o desarrollaron algunos bancos, casas de bolsa y otros intermediarios financieros para conectarse al Sistema de Pagos Electrónicos Interbancarios (SPEI), fueron el origen de la falla que provocó el ciberataque, por lo que el Banco de México (Banxico) no tiene responsabilidad alguna, informó el organismo.

En su informe sobre la situación, Banxico recordó que los ataques se presentaron en algunos aplicativos que contrataron o desarrollaron los participantes afectados a terceras partes, para preparar ódrdenes de pago y conectarse al SPEI.

Dichos aplicativos pueden ser desarrollados por la propia institución o bien provistos por un tercero. Al respecto, enfatizó que las propias instituciones financieras son las únicas responsables del buen funcionamiento de esos aplicativos.

“En la mayoría de los casos, los participantes recurren a proveedores externos para realizar dicha conexión entre sus sistemas centrales y la infraestructura del Banco de México. “Cabe señalar que el Banco de México no certifica o valida a los proveedores de este tipo de servicios; el adecuado funcionamiento de dichos aplicativos es responsabilidad de cada participante”, señaló.

Detalló que el 17 de abril, un intermediario financiero registró el primer ataque, y a partir de esa fecha se identificaron otros cuatro, dos el 24 abril, uno el 26 de abril y uno más el 8 de mayo.

Los ataques que se han presentado están focalizados en diversos elementos que componen los aplicativos y en la infraestructura de cómputo y telecomunicaciones de los propios intermediarios financieros. Detalló que en la conexión al SPEI hay una cuenta emisora y una receptora.

Mediante una inserción de órdenes de transferencia, los hackers inventaron números de cuentas emisoras que no corresponden a los clientes y se crearon cuentas receptoras reales. Por ello, los recursos de los clientes bancarios no fueron afectados.

Los intermediarios atacados (bancos y casas de bolsa) no se dieron cuenta y firmaron y autentificaron la orden de transferencia, hacia las cuentas receptoras previamente creadas. El SPEI, controlado por el Banco de México, revisó que las transferencias estuvieran debidamente firmadas y autorizó que se enviaran los recursos de una cuenta a otra.

Los recursos obtenidos mediante este mecanismo, fueron retirados en ventanilla por los autores del hackeo que crearon esas cuentas. Los intermediarios se dieron cuenta de la situación mediante alertas internas y de otros bancos, pero hubo casos donde ya no se pudo evitar la transferencia indebida, detalla el informe.

El Banco de México, reiteró que los recursos de los clientes de instituciones financieras no han estado en riesgo, porque radican en otra parte del sistema. Hasta ahora, la única afectación al público ha sido que el sistema de transferencias interbancarias se ha hecho un poco lento. Reiteró que el SPEI no fue afectado y continúa dando servicio de manera segura.

Recordó que en 2017 entró en vigor una circular donde se establecen las normas y procedimientos de seguridad que deben cumplir bancos, casas de bolsa, casas de cambios, aseguradoras y todos los que se conectan al SPEI. Expuso que según las revisiones realizadas por el banco central, no todas las instituciones están cumpliendo con los requerimientos de ciberseguridad.

Por otra parte, el director de Ciberseguridad de la empresa especializada Mnemo-CERT, Eduardo Espina, señaló que el ciberataque que afectó a algunos bancos en abril, tuvo sus primeros ensayos desde octubre de 2017. En una operación de apertura de cuentas y retiro de efectivo por supuestos clientes que lograron sustraer al menos dos millones de dólares a través de la conexión al SPEI.

El modus operandi es muy similar al reportado por el Banco de México sobre el ciberataque que hasta el momento ha arrojado pérdidas para los bancos por 300 millones de pesos; en aquel entonces, ningún banco o autoridad reportó el incidente y, al tratarse de un monto pequeño, pasó desapercibido, explicó el experto.

La segunda alerta se presentó el 9 enero de este año, cuando el Banco Nacional de Comercio Exterior (Bancomext) reportó una intromisión a sus sistemas que estuvo a punto de ocasionar un robo de 110 millones de dólares. El dinero iba en camino a cuentas de depósito cuando fue bloqueado por el equipo de seguridad del banco.

Tres meses después tuvo lugar el ciberataque que conocemos; de acuerdo con El Universal, a mediados de abril, la casa de bolsa Kuspit denunció a las autoridades la intromisión a sus sistemas y robo de dinero de sus cuentas. La empresa refuerza sus controles, pero una semana después le vuelven a sustraer recursos.

El ataque a Kuspit es uno de los ensayos finales para realizar los robos masivos a los bancos. Los cibercriminales habían logrado inyectar un código malicioso en su sistema de conexión a SPEI. La siguiente víctima fue Banjército. A finales de abril se detectó un robo con las mismas características que el ocurrido a Kuspit, pero por montos de dinero muy bajos.

Los delincuentes también habían ensayado su modo de operación con la caja de ahorro Las Huastecas, a la que le pudieron sustraer poco menos de un millón de pesos.

La operación de los hackers penetró de ese modo los aplicativos de acceso de las dos firmas al SPEI, que se trataban además de pruebas para iniciar ataques de mayor volumen. Una semana después, las autoridades son notificadas de que Banorte fue víctima de un robo por 153 millones de pesos, de la misma forma que Kuspit y Banjército.

El común denominador que existe en los robos es la empresa desarrolladora del aplicativo a la conexión del SPEI: la firma LGEC. Los directivos de esta empresa fueron visitados por las autoridades y no se descarta que personal en el interior esté involucrado en la operación del ciberataque.

A la siguiente semana, el banco Inbursa también sufrió una sustracción de dinero por 156 millones de pesos. En esta institución, la proveedora de la conexión a SPEI es la firma Apesa. Lo que llama la atención de las autoridades es que la operación en el robo es diferente a las anteriores.

En este caso, se detectó un código malicioso con el que al enviar la conexión del SPEI los sistemas de Banxico recibían la instrucción de distribuir dinero a cuentas que no habían sido solicitadas en el permiso de transacción. Esto contrasta con la operación en los primeros robos, donde se depositaban recursos a cuentas específicas.

Se trata de un grupo de delincuentes muy sofisticado, donde las indagatorias hasta el momento señalan que operan en México, sin descartarse que haya conexiones con otros países. Como el SPEI se desarrolló en México y solamente se utiliza por el Banco de México, es altamente probable que los hackers sean gente interna de los mismos bancos o de las empresas de tecnología o que hayan laborado en ellos, con lo que tienen los conocimientos necesarios de las conexiones y su operación.

aml

También te puede interesar