Un martes por la mañana, a principios de enero, el sistema informático del Banco Nacional de Comercio Exterior (Bancomext), entidad del Gobierno mexicano, se volvió loco. Algunos de los trabajadores de la institución no pudieron encender sus computadoras, el internet iba lento y las operaciones de rutina tardaban más de lo normal.
Dentro del edificio del banco, en la Ciudad de México, un técnico informático monitoreaba los mensajes entrantes en la red Swift, el sistema que controla los envíos de dinero alrededor del mundo. Su trabajo era verificar las transferencias de fondos para asegurarse de que coincidieran con las órdenes de pago emitidas por Swift.
Ese día, el volumen de transacciones era varias veces mayor al normal. El empleado revisó los mensajes de Swift hasta que descubrió algo: transacciones inusuales en la cuenta de Standard Chartered que Bancomext utilizaba para hacer transferencias internacionales. El banco más tarde descubriría que hackers de presunta procedencia norcoreana habían tratado de desviar más de 110 millones de dólares, obligándolo a suspender temporalmente las operaciones en su plataforma internacional de pago.
Esta narración de los ataques cibernéticos se basa en conversaciones con personas con conocimiento de los incidentes, quienes pidieron no ser identificadas porque las investigaciones de las autoridades aún siguen abiertas.
En todo el mundo, una serie de ataques dirigidos a las conexiones de los bancos con la red Swift ha ocasionado que las instituciones financieras establezcan nuevas medidas de seguridad. El ataque más famoso se produjo en 2016, cuando delincuentes intentaron robar mil millones de dólares al Banco Central de Bangladesh. Pero en México, tanto las autoridades como el banco mantuvieron en secreto los detalles que rodearon el asalto a Bancomext, lo que significa que el sistema financiero del país nunca recibió la valiosa llamada de alerta que podría haberlo ayudado a protegerse contra una nueva serie de intrusiones cibernéticas.
Pocos meses después, en abril, los hackers emprendieron una ofensiva contra instituciones financieras mexicanas atacando sus conexiones al sistema de transferencia de pagos del país, conocido como SPEI. Hasta el momento, el robo asciende a por lo menos 15 millones de dólares. Si bien las autoridades no saben dónde se originaron los ataques, sospechan que fueron orquestados por grupos sofisticados que se confabularon con los titulares de las cuentas para retirar cantidades masivas de efectivo de sucursales bancarias en todo México. Las autoridades dicen que aún no están seguras de que los ataques hayan terminado.
“Todavía hay una cultura de reactividad cuando se trata de riesgos cibernéticos”, dijo Michael Rohrs, director asociado de ciberseguridad de la consultora Control Risks en Washington.
Un representante de Bancomext dijo que la entidad siguió todos los protocolos de seguridad y se comunicó con las autoridades desde el principio. Los responsables de prensa de Standard Chartered y Swift se negaron a comentar el caso.
Los expertos en ciberseguridad y los ejecutivos bancarios que hablaron con Bloomberg señalaron que las fallas en la comunicación y la mala coordinación entre las instituciones financieras y los reguladores contribuyeron a propagar el ataque actual dirigido a tres bancos, una correduría y una unión de crédito. Si hubieran sabido cómo se perpetró el asalto a Bancomext, los bancos se habrían protegido mejor.
Una portavoz del Banco de México (Banxico) dijo que compartir información es muy importante, pero que las instituciones que sufren ataques cibernéticos no siempre los reportan por temor a que afecte su reputación. Banxico dice no tener ningún motivo para creer que el actual incidente con el sistema SPEI esté relacionado con el intento de atraco de Bancomext en enero. Aunque ambos consistieron en “ataques de intermediario”, dijo, uno explotó la vulnerabilidad en los sistemas internacionales de pagos, mientras que los últimos ataques afectaron al sistema doméstico de transferencias electrónicas. El Banco Central ha mantenido una línea de comunicación abierta con todos los participantes de SPEI desde el primer incidente, indicó la portavoz.
En las oficinas de Bancomext, los ejecutivos tomaron medidas en cuanto se descubrieron las anomalías en el sistema Swift. El banco, con 13 mil millones de dólares en préstamos activos y responsable de promover el comercio internacional de México, suspendió operaciones y envió a algunos trabajadores a casa. Los teléfonos se desconectaron y el banco cerró su servidor de correo electrónico. Los funcionarios pronto identificaron que las transacciones inusuales eran pagos que habían sido disfrazados como una donación del banco mexicano de comercio exterior a una iglesia coreana.
Afortunadamente para Bancomext, cuando ocurrió el incidente, en Seúl eran las 03:00 horas y los bancos aún no abrían, así que el dinero no había llegado a destino. El banco tuvo tiempo para ponerse en contacto con funcionarios de Standard Chartered, que pudieron detener la transferencia.
Una vez que el Banco Central tuvo conocimiento del ataque contra Bancomext, instruyó a otros bancos que verificaran la seguridad de sus operaciones, pero no les proporcionó ningún detalle sobre qué buscar, según dos personas con conocimiento del tema que pidieron no ser identificadas. Una portavoz del Banxico dijo que el “nivel de detalle” proporcionado por el Banco Central reflejaba la cantidad de información disponible en ese momento.
Los expertos consultados por Bancomext luego informarían que los hackers habían logrado penetrar su conexión Swift gracias a un virus de nueva generación que probablemente se activó luego de que un empleado hiciera clic en un archivo malicioso adjunto a un correo. Probablemente pasó inadvertido durante varios meses o incluso años, lo que permitió que los piratas informáticos recopilaran datos sobre las operaciones típicas, de modo que fuera más fácil ocultar el robo.
En el más reciente ataque dirigido al sistema de pagos electrónicos interbancarios operado por el Banxico, los perpetradores han logrado robar hasta ahora unos 300 millones de pesos (15 millones de dólares). Al final, las instituciones afectadas asumirán el costo de esas pérdidas, dijo el Banco Central.
Banxico detectó por primera vez irregularidades en la conexión de una pequeña institución financiera con la red SPEI el 17 de abril, pero no tenía suficiente información para saber la magnitud de la operación.
Más o menos una semana después del primer ataque, empleados de Grupo Financiero Banorte notaron que cientos de transacciones irregulares se enviaban a través de SPEI, de acuerdo con una persona familiarizada con el asunto. El mayor banco mexicano había sido víctima de un ataque cibernético como el descubierto por Banxico una semana antes. La portavoz de Banorte, Verónica Reynold, dijo que su banco actuó en coordinación directa con Banxico.
No fue sino hasta el 27 de abril que el Banco Central emitió un comunicado de prensa diciendo que algunas firmas financieras habían experimentado “incidentes” en los últimos días con el sistema SPEI y que esas instituciones se conectarían a la red de pago a través de un método alternativo que era más complicado pero también más seguro.
Pero incluso entonces, la autoridad no mencionó un ataque cibernético.
Para entonces, las conexiones de tres instituciones con la red SPEI se habían visto comprometidas. Dos semanas después, el número aumentó a cinco. El Banco Central aún no ha revelado de forma oficial los nombres de las firmas afectadas.
Altos ejecutivos de cuatro bancos en México se quejaron con Bloomberg Businessweek de que la decisión del Banco Central de guardar silencio sobre los detalles de los ataques dificultó que reforzaran sus sistemas. Los ataques a Banorte se detuvieron luego de que se conectara por medios alternativos a la red de pagos operada por el Banco Central. Pero pasaron días y semanas antes de que la autoridad pidiera a otros bancos cambiar a una conexión alterna.
En Latinoamérica, México es el país con más ciberataques después de Brasil, según un reporte de enero de 2017 del Wilson Center.
El sector financiero ha sido víctima de intentos de extorsión y ataques de denegación de servicio, así como interrupciones en la plataforma de negociación, según un informe de Control Risks de 2015.
Hace aproximadamente dos años, Banorte también fue víctima de un hackeo a cajeros automáticos presuntamente orquestado por un grupo criminal ruso, según una persona con conocimiento del tema que pidió no ser identificada porque la información es privada. Pero al igual que ocurrió con el ataque de Bancomext, los detalles nunca se compartieron con otros bancos.
Los robos parecen salidos de una película: una camioneta destartalada se detiene junto a un cajero, varios hombres encapuchados descienden y uno de ellos tumba una puerta de plástico del cajero automático e inserta una unidad USB que contiene un virus. Los delincuentes que operan el software malicioso ordenan a las máquinas escupir efectivo según su voluntad.
Los hackers suelen buscar blancos más fáciles de infiltrar y es de suponer que los delincuentes asumen que las entidades en países en desarrollo son un objetivo más fácil, asegura Marcus Christian, abogado de seguridad cibernética y privacidad de datos en el bufete Mayer Brown en Washington
“Siempre están sondeando, tratando de encontrar vulnerabilidades”, explicó Christian. “Este podría ser uno de esos casos en los que tuvieron suerte”.
En el robo de Bangladesh, los ladrones lograron sustraer 81 millones de dólares a través del envío de mensajes falsos de Swift que engañaron al Banco de la Reserva Federal de Nueva York para que transfiriera dinero a cuentas en Filipinas.
Bancos en Ecuador y Vietnam también fueron blancos de robos similares al ataque contra el Banco Central de Bangladesh. Swift, el acrónico de Society for Worldwide Interbank Financial Telecommunication o Sociedad de Telecomunicaciones Financieras Interbancarias Mundiales, ha dicho que su sistema no ha sido violado, sino que los problemas de seguridad se originaron en los sistemas de los propios bancos.
El año pasado, Banxico emitió una reglamentación asociada al SPEI que exige que las instituciones financieras fijen protocolos de emergencia para responder a los ataques, entre otros requisitos. Las reglas, que entraron en vigor este año, son tecnológicamente neutrales, lo que significa que no prescriben el uso de un método particular de defensa o un determinado software.
En enero, Banxico evaluó el cumplimiento de las nuevas normas de seguridad cibernética y encontró que algunos bancos no las acataban plenamente, dijo el gobernador del Banco de México, Alejandro Díaz de León, en una entrevista el 18 de mayo. Hasta ahora, la autoridad no ha impuesto ninguna sanción.
Si bien el Banco Central no ha sido particularmente comunicativo con respecto a los ataques, tampoco los bancos atacados han hecho un esfuerzo por compartir la información con otras firmas. Los analistas de seguridad cibernética especulan que eso podría deberse a que temen ser castigados por no tener suficientes controles, no quieren dar a sus competidores ninguna información que les dé ventaja y no quieren sufrir el estigma que acompaña a quien admite haber sido víctima de un robo.
Pero los expertos coinciden en que compartir la información fortalece todo el sistema.
“Es muy importante que estos bancos hablen entre sí, que compartan las mejores prácticas. Y falta eso” en México, advierte David Schwartz, director ejecutivo de Florida International Bankers Association, una asociación del gremio con sede en Miami.
Hay muchas teorías sobre cómo se produjeron los últimos ataques. Algunos sospechan la participación de empleados actuales o antiguos del Banco Central, pero Díaz de León lo ha negado. Otros dicen que los hackers tenían acceso a las contraseñas de los tokens de autenticación de las cuentas, lo que sugeriría que empleados de los respectivos bancos podrían haberlos ayudado a infiltrarse en sus sistemas.
México finalmente está adoptando medidas tras los ataques al sistema SPEI para garantizar que las autoridades y los bancos tengan una mejor manera de compartir información entre ellos para poder coordinar las respuestas la próxima vez que un ciberataque se presente, dijo el gobernador del banco central. Díaz de León también ha creado una nueva división de ciberseguridad para establecer políticas que protejan mejor la información bancaria. Hasta el cierre de esta edición no se había anunciado al encargado del área.
Hasta ahora, la seguridad cibernética no era una preocupación mayúscula para el sector financiero de México, señala Federico De Noriega, socio del grupo financiero de Hogan Lovells en la Ciudad de México. Y citó su experiencia como representante de una compañía de seguros extranjera que vendía pólizas para proteger a las instituciones financieras contra los ciberataques.
“Había mucha ignorancia”, expuso. “Eso te dice que las personas no son conscientes de este riesgo o que no lo toman en serio. Creo que ahora lo tomarán mucho más en serio”.
Fuente: El Financiero