Los ciber delincuentes lograron robar una cantidad no definida con precisión, pero que ronda entre 20 y 40 millones de dólares, en un sólo día. El robo ocurrió el pasado 27 de abril, fecha en la cual cinco bancos mejicanos, entre ellos, Citibanamex, Banorte y Bajío fueron atacados con un complejo e ingenioso ciber ataque.
Para efectuar una transferencia electrónica normal entre cuentas en México, el dueño la cuenta de origen ingresa a su homebanking, determina el monto a transferir, el banco y la cuenta de destino. Una vez hecho esto se dispara un proceso a través del cual un sistema interno del banco verifica los datos de ambas cuentas (fondos, inhibiciones, números de cuenta, etc.) para validar la transferencia. Al validarla, este sistema envía los datos de la transferencia al Sistema de Pagos Electrónicos Interbancarios (SPEI). El SPEI informa a otro sistema interfase en el banco de destino, que ha ingresado un monto de dinero y que debe ser depositado en la cuenta de destino. El sistema del banco destino, incrementa entonces el saldo de la cuenta destino en el monto determinado.
¿Qué pasaría si alguien ingresara al sistema interfase del banco de destino, e insertara una orden de transferencia “validada” como si viniera del SPEI? Al estar validada la transferencia, el aplicativo simplemente incrementaría el saldo de la cuenta destino.
El monto simplemente desaparecería de las arcas del banco sin que nadie hubiese depositado un centavo.
Eso es exáctamente lo que ocurrió en esos 5 bancos de México. Un grupo aún no identificado de ciber ladrones ingresaron a los sistemas internos de los bancos de destino (todavía, y a pesar del tiempo transcurrido, los responsables de los bancos no saben cómo), y generaron cientos de transferencias falsas a cuentas fantasmas previamente creadas, retirando el efectivo en una operación cronométricamente perfecta. Para esconder mucho mejor la operación, cada transferencia fue hecha por valores totalmente diferentes, variando desde decenas de miles a cientos de miles de pesos mejicanos.
El Profesor de La Casa de Papel estaría pensando en cómo no se le ocurrió a él este plan. El robo fue hecho a los bancos y no a los usuarios. El ciber-atraco no afectó ninguna cuenta de ningún cliente.
Pero más allá de los montos y de los elementos de color que tiene esta noticia, la realidad es que dejó expuesta la gran debilidad de los sistemas que utilizan los bancos de México.
Es evidente que no sólo nunca evaluaron el ciber-riesgo al que estaban expuestos, sino que mucho menos implementron las contramedidas necesarias para mitigar esos riesgos.
Una de las consecuencias de este “ataque sin precedentes” al sistema de pagos de los bancos de México, fue que el Gobernador del Banco Central de México, Alejandro Díaz, anunció públicamente hace dos días la creación de la unidad de ciberseguridad del Banco . El objetivo de la nueva unidad consistirá en diseñar y emitir directrices sobre seguridad de la información para los bancos del país, que son regidos por el Banco Central de México.
Si bien es altamente positivo que el sistema bancario de México incorpore regulaciones en ciberseguridad, de la misma forma que nuestro BCRA viene haciendo desde hace años, lo que este evento deja claro es que a pesar del inquietante incremento en los ciberincidentes de los últimos años en el mundo, se sigue actuando en forma reactiva. Seguramente los responsables de emitir las definiciones políticas en materia de ciber-protección bancaria, deben haber pensado: “a nosotros no nos puede pasar…“.
Nota por Carlos Benitez