Banxico entregó un informe al Congreso, en agosto, donde explica muchas cosas, pero deja sin resolver algunas de las preguntas más importantes, incluyendo: ¿cómo se hizo el ataque?
Fueron cinco ataques entre el 17 de abril y el 8 de mayo, los intrusos se llevaron entre 300 y 400 millones de pesos. Se vulneraron 10 instituciones bancarias. Ustedes los recuerdan porque en esos días los pagos de nómina se retrasaron y las transacciones vía SPEI se volvieron muy complicadas.
Esto marcó un antes y un después en materia de ciberseguridad en México. El Banco de México entregó un informe al Congreso, en agosto, donde explica muchas cosas, pero deja sin resolver algunas de las preguntas más relevantes, entre ellas la principal: ¿cómo se hizo el ataque?
El hackeo fue uno de los temas relevantes en RSA, una de las conferencias sobre ciberseguridad más importantes del mundo. El mexicano Josu Loza expuso el caso: todo se planeó con varios meses de antelación, fue un ataque hecho por expertos, que fue posible por las deficiencias de la arquitectura de seguridad del sistema financiero y las fallas de supervisión del SPEI, la plataforma de transferencias de dinero del Banco de México.
La ponencia de Loza fue retomada por la prestigiosa revista Wired. Ofrece detalles que llenan algunos “vacíos” de la explicación oficial. El sistema de seguridad cibernético de los bancos tenía grietas que permitieron a los atacantes acceder a los servidores desde sitios públicos de Internet y lanzar ataques de phishing que vulneraron las cuentas de ejecutivos de los bancos.
El problema se agravó, según el experto, porque muchas de las instituciones financieras no tenían controles eficientes de acceso a sus redes y éstas no estaban segmentadas: vulnerar a un banco les permitió acceso a otros bancos conectados con el SPEI y, eventualmente, llegar a los servidores donde se hacían las transferencias de esa plataforma.
Una de las cosas más delicadas, de acuerdo con Loza, es que los datos de transacciones no estaban tan protegidos como deberían. Esto dio a los intrusos la posibilidad de rastrear y manipular datos, a pesar de que la comunicación entre los usuarios individuales y sus bancos estaba encriptada. Loza sugiere que la app del SPEI carecía de mecanismos adecuados para verificar y bloquear las transacciones “malas”. Esto permitió que algunas operaciones tramposas fueran procesadas como si fueran buenas.
En el origen, podría estar una cuenta fantasma, que era conectada con una cuenta real, y la conexión de los bancos con el SPEI era incapaz de detectarla. El retiro de dinero se hacía tan rápido que los bancos no tenían tiempo de reaccionar. Fueron miles de operaciones de montos relativamente bajos, en el rango de miles de pesos. Para ejecutarlas, se emplearon a cientos de personas que funcionaron como “mulas” para retirar y entregar el dinero. Cada “mula” cobró alrededor de 5,000 pesos.
Esto fue hace menos de un año. La duda es: ¿qué tanto cambiaron las cosas desde entonces? Los bancos han incrementado su inversión en sistemas y el Banco de México subió los estándares, además, creó una dirección de ciberseguridad. Suponemos que los “malos” también evolucionaron, pero no sabremos cuánto hasta que venga el próximo gran ataque. Si la víctima es un banco pequeño, el golpe podría ser letal. Los banqueros lo saben. Necesitamos colaborar más y explorar, incluso, la posibilidad de desarrollar o comprar soluciones compartidas de ciberseguridad para varios bancos “pequeños”, dice Julio Carranza, director general de Bancoppel y vicepresidente de la ABM. ¿Podrán colaborar? ¿El miedo hará el milagro?
Minuto a minuto
