Durante los últimos días de abril criminales evadieron con éxito las medidas de seguridad del Sistema de Pagos Electrónicos Interbancarios (SPEI) y se llevaron alrededor de $300 millones de pesos desde las arcas de cinco bancos mexicanos. El Banco de México —administrador del sistema— informó en un principio que se trataba de “incidentes operativos” y evitó hacer referencia a delito cibernético, pero con el pasar de los días se vio obligado a confirmar las sospechas iniciales.
Hoy el panorama sigue sin esclarecerse por completo, ni siquiera la cifra total ha sido oficializada, y si bien los involucrados se han esmerado por confirmar la seguridad general del sistema y el nulo impacto que habría tenido sobre los usuarios, muchas preguntas quedan aún en el aire: ¿Quiénes fueron responsables? ¿Están ya protegidas las instituciones para un nuevo ataque de este tipo? ¿Qué acciones están tomando los bancos y —principalmente— el Banco de México para aumentar su seguridad?
La labor del SPEI
El Sistema de Pagos Electrónicos fue lanzado el 2004 para permitir las transferencias de dinero entre cuentas privadas utilizando una red encriptada. Su administración y mantenimiento depende del banco central de México (Banco de México), y según explica en su sitio “el sistema fue desarrollado para facilitar pagos entre instituciones financieras, además de permitirles ofrecer servicios de pago seguros y eficientes al público”.
Esto implica que, de ser afectado por una vulnerabilidad grave, un ataque efectivo al SPEI podría significar pérdidas de dinero tanto para los clientes como para las instituciones. Es por esto que las organizaciones afectadas se apresuraron a desmentir cualquier sugerencia de inestabilidad o consecuencias para los clientes.
El Banco de México había previamente alertado al público respecto a los peligros de los ataques cibernéticos en un reporte del 2017, en el que indicó que los reguladores han reconocido la posibilidad de que los sistemas financieros sean afectados por agresiones sistemáticas. Sin embargo, en el documento el banco central destacó la relevancia y eficiencia de las herramientas con que cuentan las autoridades para preservar la seguridad frente a este tipo de amenazas.
Culpas y responsables
Si algo es indudable en el mundo de la seguridad de la información, es que no hay ningún sistema libre de amenazas. No hay evidencias de que la infraestructura misma del SPEI haya sido afectada, pero lo que sí se vulneró en este caso fueron ciertos aplicativos y sistemas de cómputo que se conectaban al SPEI, un área compleja de manejar ya que tiene una administración mancomunada, entre los bancos comerciales, el Banco de México, y compañías externas que desarrollan la tecnología para realizar la conexión entre los sistemas. Los atacantes lograron intervenir directamente estos conectores y enviar transacciones falsas que fueron tomadas como legítimas sin que hubiera una cuenta subyacente de la cual se retiraran los fondos.
Según las características del ataque se vuelve necesario que los criminales hayan tenido ayuda desde el interior de las mismas instituciones, ahí es donde la trama se complejiza.
“Recientemente el Banco de México emitió unos lineamientos para que estas transacciones siempre vinieran con una firma electrónica. Eso estaba en un proceso de implementación y los afectados fueron justo quienes no lo habían hecho aún, porque no vencía el plazo obligatorio“, explica Pablo Corona, gerente de Certificación de IT de NYCE y experto en ciberseguridad, a IT Masters Mag. “Aquí ya estoy haciendo una suposición personal, pero estos atacantes necesitan haber tenido contacto dentro de los bancos, gente que conocía el desarrollo de estos conectores y gente en la operación de las instituciones: deben dominar el funcionamiento de sucursales, las cuentas, los conectores, etcétera.”
Pero el crimen dista de ser perfecto. Este tipo de operaciones dejan muchos rastros —tanto digitales como físicos— y el Banco de México ya inició una investigación forense con el compromiso de entregar resultados en un par de semanas. La promesa es que los involucrados van a ser identificados.
Esta no es la única acción que inició la institución. Además de las medidas inmediatas, como pasar a los bancos afectados a un sistema paralelo de transacciones, asesorarlos en el incremento de su seguridad y aumentar temporalmente los requerimientos necesarios para utilizar el sistema, el Banco de México anunció hoy la creación de una dirección de Ciberseguridad, que dependerá de su dirección de Tecnologías de la Información, a cargo actualmente de Octavio Bergés Bastida.
Si bien esta medida un paso en la dirección correcta, podría no ser suficiente, puesto que se encuentra muy abajo en el escalafón organizacional. “No va a tener un peso suficiente para que se tomen decisiones fuertes”, detalla Corona. “Estas posiciones deberían reportar a la máxima autoridad en la organización, dado que hacer ciberseguridad requiere una visión más amplia, no sólo de IT.”
¿Hacia dónde se debe construir para evitar estas amenazas? Según el experto, no existe manera de quedar permanentemente blindados. “Pero si se hace una actividad proactiva, constante, que involucre a las distintas partes que tienen capacidades en el tema, podemos hacer que estos ataques sean lo menos frecuentes posibles o reducir al mínimo sus consecuencias”, concluye Corona.