El ciberataque que afectó al sistema financiero bancario tuvo sus primeros ensayos desde octubre de 2017. En una operación de apertura de cuentas y retiro de efectivo por supuestos clientes se lograron sustraer 2 millones de dólares a través de la conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI).
Según el director de Ciberseguridad de la empresa especializada Mnemo-CERT, Eduardo Espina, el modus operandi es muy similar al reportado por el Banco de México sobre el ciberataque que hasta el momento ha arrojado pérdidas para los bancos por 300 millones de pesos. En aquel entonces, ningún banco o autoridad reportó el incidente y, al tratarse de un monto pequeño, pasó desapercibido.
La segunda alerta se presentó el 9 enero de este año. El Banco Nacional de Comercio Exterior (Bancomext) reportó una intromisión a sus sistemas que estuvo a punto de ocasionar un robo por 110 millones de dólares. El dinero iba en camino a las cuentas de depósito cuando fue bloqueado por parte del equipo de seguridad del banco.
Tres meses después comenzó el ciberataque que mantiene en vilo a las autoridades financieras en México.
Según la investigación, a la cual ha tenido acceso EL UNIVERSAL, a mediados de abril, la casa de bolsa Kuspit denunció a las autoridades la intromisión a sus sistemas y robos de sus cuentas. La empresa refuerza sus controles, pero una semana después le vuelven a sustraer recursos.
Más víctimas
La siguiente víctima fue Banjército. A finales de abril se detectó un robo con las mismas características que el ocurrido a Kuspit, pero por montos muy bajos.
Los delincuentes también habían ensayado su modo de operación con la caja de ahorro Las Huastecas, a la que le pudieron sustraer menos de un millón de pesos.
En la investigación se explica que, a partir de estos eventos, la operación de los hackers penetró los canales de acceso de las dos firmas al SPEI y que se trataba de pruebas para iniciar los ataques de mayor volumen.
Una semana después, las autoridades son notificadas de que Banorte fue víctima de un robo por 153 millones de pesos, de la misma forma que Kuspit y Banjército.
El común denominador que existe en los robos es la empresa desarrolladora del soporte a la conexión a los sistemas SPEI del Banco de México: la firma LGEC.
Los directivos de esta empresa fueron visitados por las autoridades y no se descarta que personal en el interior esté involucrado en la operación del ciberataque.
A la siguiente semana, el banco Inbursa también sufrió una sustracción de dinero por 156 millones de pesos. En esta institución, la proveedora de la conexión a SPEI es la firma Apesa. Lo que llama la atención de las autoridades es que la operación en el robo es diferente a las anteriores.
En este caso, se detectó un código malicioso con el que al enviarse a la conexión de SPEI los sistemas del Banco de México recibían la instrucción de distribuir dinero a cuentas que no habían sido solicitadas en el permiso de transacción.
Evitan robo mayor
En mayo, las instituciones financieras y el Banco de México lograron contener el ataque y se evitó que el monto de robo fuera mayor; si bien oficialmente se reconoció una pérdida de 300 millones de pesos sustraídos de los recursos de los bancos sin afectar a clientes, no se descarta que haya una cifra negra que las instituciones, por temas reputacionales, no hagan pública.
La semana pasada, la todavía directora general de Sistemas de Pagos del Banxico, Lorenza Martínez, dijo que las instituciones financieras que incumplieron con la regulación y las medidas de seguridad establecidas el año pasado serán acreedoras de sanciones económicas considerables.
Las mulas
Después de la dispersión de dinero que se realizó a miles de cuentas de los principales bancos en el país, nombres como Bancomer, CitiBanamex o HSBC se encuentran en la indagatoria. Ahora se centra en la forma en que se obtuvo el dinero.
El presidente de la Asociación de Bancos de México, Marcos Martínez, reconoció, a partir de que el Banco de México aceptó el ciberataque, que en una operación hormiga desde ventanilla se retiró efectivo.
La investigación arroja hasta el momento que las cuentas no fueron creadas en las fechas del ciberataque, sino que tenían tiempo, con lo que se busca aclarar la forma en que se pudo retirar el dinero en algunos casos sin levantar sospecha y cómo se cobró la comisión al momento de entregar el dinero a los delincuentes.
Así, el modelo de “mula”, empleado por el crimen organizado, no se descarta por las autoridades. Dicho esquema también se detectó en el hackeo de octubre de 2017.
La explicación de los depósitos a los bancos más grandes del país es muy sencilla. Se usó a las instituciones con el mayor número de operaciones para no llamar la atención con movimientos inusuales.
Como parte de las investigaciones, las autoridades darán a conocer en breve más detalles del hackeo al SPEI y cómo se logró introducir códigos que vulneraron los sistemas del Banco de México.
Se cuenta hasta el momento con la colaboración de los bancos afectados y se espera que entreguen más información sobre el ciberataque a sus cuentas. Las autoridades reconocen que los ciberataques son frecuentes en el sistema financiero mexicano y que no hay un sistema tecnológico infalible para evitarlos.