A Bancomext le robaron por unas horas 110 mdd y ningún banco se enteró cómo

Publicado por

Aletia Molina

Un martes por la mañana, a principios de enero, el sistema informático del Banco Nacional de Comercio Exterior (Bancomext), entidad del Gobierno mexicano, se volvió loco. Algunos de los trabajadores de la institución no pudieron encender sus computadoras, el internet iba lento y las operaciones de rutina tardaban más de lo normal.

Dentro del edificio del banco, en la Ciudad de México, un técnico informático monitoreaba los mensajes entrantes en la red Swift, el sistema que controla los envíos de dinero alrededor del mundo. Su trabajo era verificar las transferencias de fondos para asegurarse de que coincidieran con las órdenes de pago emitidas por Swift.

Ese día, el volumen de transacciones era varias veces mayor al normal. El empleado revisó los mensajes de Swift hasta que descubrió algo: transacciones inusuales en la cuenta de Standard Chartered que Bancomext utilizaba para hacer transferencias internacionales. El banco más tarde descubriría que hackers de presunta procedencia norcoreana habían tratado de desviar más de 110 millones de dólares, obligándolo a suspender temporalmente las operaciones en su plataforma internacional de pago.

Esta narración de los ataques cibernéticos se basa en conversaciones con personas con conocimiento de los incidentes, quienes pidieron no ser identificadas porque las investigaciones de las autoridades aún siguen abiertas.

En todo el mundo, una serie de ataques dirigidos a las conexiones de los bancos con la red Swift ha ocasionado que las instituciones financieras establezcan nuevas medidas de seguridad. El ataque más famoso se produjo en 2016, cuando delincuentes intentaron robar mil millones de dólares al Banco Central de Bangladesh. Pero en México, tanto las autoridades como el banco mantuvieron en secreto los detalles que rodearon el asalto a Bancomext, lo que significa que el sistema financiero del país nunca recibió la valiosa llamada de alerta que podría haberlo ayudado a protegerse contra una nueva serie de intrusiones cibernéticas.

Pocos meses después, en abril, los hackers emprendieron una ofensiva contra instituciones financieras mexicanas atacando sus conexiones al sistema de transferencia de pagos del país, conocido como SPEI. Hasta el momento, el robo asciende a por lo menos 15 millones de dólares. Si bien las autoridades no saben dónde se originaron los ataques, sospechan que fueron orquestados por grupos sofisticados que se confabularon con los titulares de las cuentas para retirar cantidades masivas de efectivo de sucursales bancarias en todo México. Las autoridades dicen que aún no están seguras de que los ataques hayan terminado.

“Todavía hay una cultura de reactividad cuando se trata de riesgos cibernéticos”, dijo Michael Rohrs, director asociado de ciberseguridad de la consultora Control Risks en Washington.

Un representante de Bancomext dijo que la entidad siguió todos los protocolos de seguridad y se comunicó con las autoridades desde el principio. Los responsables de prensa de Standard Chartered y Swift se negaron a comentar el caso.

Los expertos en ciberseguridad y los ejecutivos bancarios que hablaron con Bloomberg señalaron que las fallas en la comunicación y la mala coordinación entre las instituciones financieras y los reguladores contribuyeron a propagar el ataque actual dirigido a tres bancos, una correduría y una unión de crédito. Si hubieran sabido cómo se perpetró el asalto a Bancomext, los bancos se habrían protegido mejor.

Una portavoz del Banco de México (Banxico) dijo que compartir información es muy importante, pero que las instituciones que sufren ataques cibernéticos no siempre los reportan por temor a que afecte su reputación. Banxico dice no tener ningún motivo para creer que el actual incidente con el sistema SPEI esté relacionado con el intento de atraco de Bancomext en enero. Aunque ambos consistieron en “ataques de intermediario”, dijo, uno explotó la vulnerabilidad en los sistemas internacionales de pagos, mientras que los últimos ataques afectaron al sistema doméstico de transferencias electrónicas. El Banco Central ha mantenido una línea de comunicación abierta con todos los participantes de SPEI desde el primer incidente, indicó la portavoz.

En las oficinas de Bancomext, los ejecutivos tomaron medidas en cuanto se descubrieron las anomalías en el sistema Swift. El banco, con 13 mil millones de dólares en préstamos activos y responsable de promover el comercio internacional de México, suspendió operaciones y envió a algunos trabajadores a casa. Los teléfonos se desconectaron y el banco cerró su servidor de correo electrónico. Los funcionarios pronto identificaron que las transacciones inusuales eran pagos que habían sido disfrazados como una donación del banco mexicano de comercio exterior a una iglesia coreana.

Afortunadamente para Bancomext, cuando ocurrió el incidente, en Seúl eran las 03:00 horas y los bancos aún no abrían, así que el dinero no había llegado a destino. El banco tuvo tiempo para ponerse en contacto con funcionarios de Standard Chartered, que pudieron detener la transferencia.

Una vez que el Banco Central tuvo conocimiento del ataque contra Bancomext, instruyó a otros bancos que verificaran la seguridad de sus operaciones, pero no les proporcionó ningún detalle sobre qué buscar, según dos personas con conocimiento del tema que pidieron no ser identificadas. Una portavoz del Banxico dijo que el “nivel de detalle” proporcionado por el Banco Central reflejaba la cantidad de información disponible en ese momento.

Los expertos consultados por Bancomext luego informarían que los hackers habían logrado penetrar su conexión Swift gracias a un virus de nueva generación que probablemente se activó luego de que un empleado hiciera clic en un archivo malicioso adjunto a un correo. Probablemente pasó inadvertido durante varios meses o incluso años, lo que permitió que los piratas informáticos recopilaran datos sobre las operaciones típicas, de modo que fuera más fácil ocultar el robo.

En el más reciente ataque dirigido al sistema de pagos electrónicos interbancarios operado por el Banxico, los perpetradores han logrado robar hasta ahora unos 300 millones de pesos (15 millones de dólares). Al final, las instituciones afectadas asumirán el costo de esas pérdidas, dijo el Banco Central.

Banxico detectó por primera vez irregularidades en la conexión de una pequeña institución financiera con la red SPEI el 17 de abril, pero no tenía suficiente información para saber la magnitud de la operación.

Más o menos una semana después del primer ataque, empleados de Grupo Financiero Banorte notaron que cientos de transacciones irregulares se enviaban a través de SPEI, de acuerdo con una persona familiarizada con el asunto. El mayor banco mexicano había sido víctima de un ataque cibernético como el descubierto por Banxico una semana antes. La portavoz de Banorte, Verónica Reynold, dijo que su banco actuó en coordinación directa con Banxico.

No fue sino hasta el 27 de abril que el Banco Central emitió un comunicado de prensa diciendo que algunas firmas financieras habían experimentado “incidentes” en los últimos días con el sistema SPEI y que esas instituciones se conectarían a la red de pago a través de un método alternativo que era más complicado pero también más seguro.

Pero incluso entonces, la autoridad no mencionó un ataque cibernético.

Para entonces, las conexiones de tres instituciones con la red SPEI se habían visto comprometidas. Dos semanas después, el número aumentó a cinco. El Banco Central aún no ha revelado de forma oficial los nombres de las firmas afectadas.

Altos ejecutivos de cuatro bancos en México se quejaron con Bloomberg Businessweek de que la decisión del Banco Central de guardar silencio sobre los detalles de los ataques dificultó que reforzaran sus sistemas. Los ataques a Banorte se detuvieron luego de que se conectara por medios alternativos a la red de pagos operada por el Banco Central. Pero pasaron días y semanas antes de que la autoridad pidiera a otros bancos cambiar a una conexión alterna.

En Latinoamérica, México es el país con más ciberataques después de Brasil, según un reporte de enero de 2017 del Wilson Center.

El sector financiero ha sido víctima de intentos de extorsión y ataques de denegación de servicio, así como interrupciones en la plataforma de negociación, según un informe de Control Risks de 2015.

Hace aproximadamente dos años, Banorte también fue víctima de un hackeo a cajeros automáticos presuntamente orquestado por un grupo criminal ruso, según una persona con conocimiento del tema que pidió no ser identificada porque la información es privada. Pero al igual que ocurrió con el ataque de Bancomext, los detalles nunca se compartieron con otros bancos.

Los robos parecen salidos de una película: una camioneta destartalada se detiene junto a un cajero, varios hombres encapuchados descienden y uno de ellos tumba una puerta de plástico del cajero automático e inserta una unidad USB que contiene un virus. Los delincuentes que operan el software malicioso ordenan a las máquinas escupir efectivo según su voluntad.

Los hackers suelen buscar blancos más fáciles de infiltrar y es de suponer que los delincuentes asumen que las entidades en países en desarrollo son un objetivo más fácil, asegura Marcus Christian, abogado de seguridad cibernética y privacidad de datos en el bufete Mayer Brown en Washington

“Siempre están sondeando, tratando de encontrar vulnerabilidades”, explicó Christian. “Este podría ser uno de esos casos en los que tuvieron suerte”.

En el robo de Bangladesh, los ladrones lograron sustraer 81 millones de dólares a través del envío de mensajes falsos de Swift que engañaron al Banco de la Reserva Federal de Nueva York para que transfiriera dinero a cuentas en Filipinas.

Bancos en Ecuador y Vietnam también fueron blancos de robos similares al ataque contra el Banco Central de Bangladesh. Swift, el acrónico de Society for Worldwide Interbank Financial Telecommunication o Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales, ha dicho que su sistema no ha sido violado, sino que los problemas de seguridad se originaron en los sistemas de los propios bancos.

El año pasado, Banxico emitió una reglamentación asociada al SPEI que exige que las instituciones financieras fijen protocolos de emergencia para responder a los ataques, entre otros requisitos. Las reglas, que entraron en vigor este año, son tecnológicamente neutrales, lo que significa que no prescriben el uso de un método particular de defensa o un determinado software.

En enero, Banxico evaluó el cumplimiento de las nuevas normas de seguridad cibernética y encontró que algunos bancos no las acataban plenamente, dijo el gobernador del Banco de México, Alejandro Díaz de León, en una entrevista el 18 de mayo. Hasta ahora, la autoridad no ha impuesto ninguna sanción.

Si bien el Banco Central no ha sido particularmente comunicativo con respecto a los ataques, tampoco los bancos atacados han hecho un esfuerzo por compartir la información con otras firmas. Los analistas de seguridad cibernética especulan que eso podría deberse a que temen ser castigados por no tener suficientes controles, no quieren dar a sus competidores ninguna información que les dé ventaja y no quieren sufrir el estigma que acompaña a quien admite haber sido víctima de un robo.

Pero los expertos coinciden en que compartir la información fortalece todo el sistema.

“Es muy importante que estos bancos hablen entre sí, que compartan las mejores prácticas. Y falta eso” en México, advierte David Schwartz, director ejecutivo de Florida International Bankers Association, una asociación del gremio con sede en Miami.

Hay muchas teorías sobre cómo se produjeron los últimos ataques. Algunos sospechan la participación de empleados actuales o antiguos del Banco Central, pero Díaz de León lo ha negado. Otros dicen que los hackers tenían acceso a las contraseñas de los tokens de autenticación de las cuentas, lo que sugeriría que empleados de los respectivos bancos podrían haberlos ayudado a infiltrarse en sus sistemas.

México finalmente está adoptando medidas tras los ataques al sistema SPEI para garantizar que las autoridades y los bancos tengan una mejor manera de compartir información entre ellos para poder coordinar las respuestas la próxima vez que un ciberataque se presente, dijo el gobernador del banco central. Díaz de León también ha creado una nueva división de ciberseguridad para establecer políticas que protejan mejor la información bancaria. Hasta el cierre de esta edición no se había anunciado al encargado del área.

Hasta ahora, la seguridad cibernética no era una preocupación mayúscula para el sector financiero de México, señala Federico De Noriega, socio del grupo financiero de Hogan Lovells en la Ciudad de México. Y citó su experiencia como representante de una compañía de seguros extranjera que vendía pólizas para proteger a las instituciones financieras contra los ciberataques.

“Había mucha ignorancia”, expuso. “Eso te dice que las personas no son conscientes de este riesgo o que no lo toman en serio. Creo que ahora lo tomarán mucho más en serio”.

Fuente: El Financiero