El ciberataque que afectó al sistema financiero bancario tuvo sus primeros ensayos desde octubre de 2017. En una operación de apertura de cuentas y retiro de efectivo por supuestos clientes se lograron sustraer al menos 2 millones de dólares a través de la conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI).
Según el director de Ciberseguridad de la empresa especializada Mnemo-CERT, Eduardo Espina, el modus operandi es muy similar al reportado por el Banco de México sobre el ciberataque que hasta el momento ha arrojado pérdidas para los bancos por 300 millones de pesos. En aquel entonces, ningún banco o autoridad reportó el incidente y, al tratarse de un monto pequeño, pasó desapercibido.
La segunda alerta se presentó el 9 enero de este año. El Banco Nacional de Comercio Exterior(Bancomext) reportó una intromisión a sus sistemas que estuvo a punto de ocasionar un robo por 110 millones de dólares. El dinero iba en camino a las cuentas de depósito cuando fue bloqueado por parte del equipo de seguridad del banco.
Tres meses después comenzó el ciberataque que mantiene en vilo a las autoridades financieras en México.
Según la investigación, a la cual ha tenido acceso EL UNIVERSAL, a mediados de abril, la casa de bolsa Kuspit denunció a las autoridades la intromisión a sus sistemas y robo de dinero de sus cuentas. La empresa refuerza sus controles, pero una semana después le vuelven a sustraer recursos.
De acuerdo con las líneas de investigación, el ataque a Kuspit es uno de los ensayos finales para realizar los robos masivos a los bancos. Los cibercriminales habían logrado inyectar un código malicioso en su sistema de conexión a SPEI.
Más víctimas
La siguiente víctima fue Banjército. A finales de abril se detectó un robo con las mismas características que el ocurrido a Kuspit, pero por montos de dinero muy bajos.
Los delincuentes también habían ensayado su modo de operación con la caja de ahorro Las Huastecas, a la que le pudieron sustraer poco menos de un millón de pesos.
En la investigación se explica que, a partir de estos eventos, se determina que la operación de los hackers penetró los canales de acceso de las dos firmas al SPEI y que se trataba de pruebas para iniciar los ataques de mayor volumen.
Una semana después, las autoridades son notificadas de que Banorte fue víctima de un robo por 153 millones de pesos, de la misma forma que Kuspit y Banjército.
El común denominador que existe en los robos es la empresa desarrolladora del soporte a la conexión a los sistemas SPEI del Banco de México: la firma LGEC.
Los directivos de esta empresa fueron visitados por las autoridades y no se descarta que personal en el interior esté involucrado en la operación del ciberataque.
A la siguiente semana, el banco Inbursa también sufrió una sustracción de dinero por 156 millones de pesos. En esta institución, la proveedora de la conexión a SPEI es la firma Apesa. Lo que llama la atención de las autoridades es que la operación en el robo es diferente a las anteriores.
En este caso, se detectó un código malicioso con el que al enviarse a la conexión de SPEI los sistemas del Banco de México recibían la instrucción de distribuir dinero a cuentas que no habían sido solicitadas en el permiso de transacción. Esto contrasta con la operación en los primeros robos, donde se depositaban recursos a cuentas específicas.
Hasta este momento, los delincuentes habían logrado robar controles de acceso a los bancos que les permitían enviar solicitudes de depósito no autorizados, es decir, podían enviar una orden oculta que engañaba a los controles de SPEI y depositar en varias cuentas sin ser detectados.
La investigación señala que se trata de un grupo de delincuentes muy sofisticado, donde las indagatorias hasta el momento señalan que operan en México, sin descartarse que haya conexiones con otros países.
De igual forma, en las líneas de investigación también se explica que, como el sistema SPEI se desarrolló en México y solamente se utiliza por el Banco de México, es altamente probable que los hackers sean gente interna de los mismos bancos o de las empresas de tecnología o que hayan laborado en ellos, con lo que tienen los conocimientos necesarios de las conexiones y su operación.
Evitan robo mayor
En mayo, las instituciones financieras y el Banco de México lograron contener el ataque y se evitó que el monto de robo fuera mayor; si bien oficialmente se reconoció una pérdida de 300 millones de pesos sustraídos directamente de los recursos de los bancos sin afectar a clientes, no se descarta que haya una cifra negra que las instituciones, por temas reputacionales, no hagan pública.
La semana pasada, la todavía directora general de Sistemas de Pagos del Banxico, Lorenza Martínez, dijo que las instituciones financieras que incumplieron con la regulación y las medidas de seguridad establecidas el año pasado serán acreedoras de sanciones económicas considerables.
Las mulas
Después de la dispersión de dinero que se realizó a miles de cuentas de los principales bancos en el país, nombres como Bancomer, CitiBanamex o HSBC se encuentran en la indagatoria. Ahora se centra en la forma en que se obtuvo el dinero.
El presidente de la Asociación de Bancos de México, Marcos Martínez, reconoció, a partir de que el Banco de México aceptó el ciberataque, que en una operación hormiga desde ventanilla se retiró efectivo.
La investigación arroja hasta el momento que las cuentas no fueron creadas en las fechas del ciberataque, sino que tenían tiempo en las instituciones, con lo que se busca aclarar la forma en que se pudo retirar el dinero en algunos casos sin levantar sospecha y cómo se cobró la comisión al momento de entregar el dinero a los delincuentes.
Así, el modelo de “mula”, empleado por el crimen organizado para el trasiego de mercancía o de droga, no se descarta por las autoridades. Dicho esquema también se detectó en el primer hackeo de octubre de 2017.
La explicación de los depósitos a los bancos más grandes del país es muy sencilla. Se usó a las instituciones con el mayor número de operaciones para no llamar la atención con movimientos poco comunes en bancos con menor número de clientes.
Como parte de las investigaciones, las autoridades darán a conocer en breve más detalles del hackeo al SPEI y cómo se logró introducir códigos que vulneraron los sistemas del Banco de México.
Se cuenta hasta el momento con la colaboración de los bancos afectados y se espera que entreguen más información interna sobre el ciberataque a sus cuentas.
Las autoridades reconocen que los ciberataques son frecuentes en el sistema financiero mexicano y que no hay un sistema tecnológico infalible para evitarlos. Sin embargo, es claro que alguien “abrió” la puerta para facilitar la operación de este hackeo, que, si bien ha sido mitigado, aún no hay certeza que haya concluido en su totalidad.