Banxico: Así fue el ataque de los hackers a SPEI

La pesadilla inició para el sistema bancario mexicano el pasado 17 de abril. Ese día, un participante del Sistema de Pagos Electrónicos Interbancarios (SPEI) registró un ataque cibernético, pero ese tan solo sería el primero de 4 intromisiones ilegales adicionales: dos el pasado 24 de abril, el 26 de abril y el 8 de mayo, de acuerdo con información del Banco de México (Banxico).

El banco central asegura que los ataques fueron realizados a través de aplicaciones de los bancos y casas de bolsa, pero que no afectaron las cuentas o recursos de los clientes de la banca mexicana.

“El Banco de México y el sistema central del SPEI no han sido blanco de ataques ni han sido vulnerados, y no se han presentado afectaciones en su operación”, dice el banco central en un informe titulado Información sobre los ataques a los Participantes del SPEI, difundido la tarde de este jueves.

Banxico asegura que de los casos identificados y reportados por ser eventos de ciberseguridad fueron efectuados por “aplicativos” desarrollados por terceros, con conexión a SPEI. “La vulnerabilidad pudo tener su origen tanto en los sistemas, como en la infraestructura en la que fue instalado”.

El ataque consistió en la fabricación o inyección de órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago de los participantes afectados.

El “modus operandi” identificado hasta el momento es el siguiente, de acuerdo con Banxico:

1. Los atacantes vulneran la infraestructura tecnológica de los participantes y generan en sus sistemas órdenes de transferencias ilegítimas, con cargo a las cuentas de los participantes, en alguna etapa del proceso previa a su conexión al SPEI.

2. Las órdenes de transferencias siempre incluyen el número de la cuenta emisora y de la receptora. En el caso de las generadas ilegítimamente, los números de las cuentas emisoras son inventados y no corresponden a cuentas de clientes, mientras que las cuentas receptoras son reales. La inserción de estas órdenes de transferencia se realizó en una etapa del proceso ejecutado en los sistemas de los participantes que no contaba con controles para asegurar que dichas órdenes fuesen legítimas.

3. Los sistemas de los participantes que fueron atacados firmaron y enviaron al SPEI las órdenes de transferencias ilegítimas validadas como si fueran legítimas.

4. El SPEI, al recibir las órdenes de transferencias, revisa que estén firmadas por los participantes, las procesa y abona el monto respectivo en la cuenta que le lleva al participante receptor.

5. El participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor (en este caso, la cuenta especificada en la orden de transferencia de pago ilegítima).

6. Finalmente, los recursos ilegítimos son retirados mediante disposiciones de efectivo.

“La afectación a los clientes ha sido la ralentización de los pagos para aquellas transacciones en las que participa alguna institución afectada o que opera bajo el esquema alterno para enviar órdenes de pago a través del SPEI”, dice Banxico, que rechaza nuevamente que el dinero de los usuarios se encuentre en riesgo.

La operación de 48 participantes por sistemas alternos propició la ralentización de algunas órdenes de transferencia a través del SPEI, pero sigue operando el sistema.

Esta tarde, se firmaron las Bases de Coordinación en materia de seguridad de la información por parte de los representantes de 6 autoridades del sector financiero, la Procuraduría General de la República (PGR), diversas asociaciones gremiales del sector financiero mexicano y entidades financieras particulares.

“Las partes reconocen la importancia de tomar en cuenta los lineamientos desarrollados por los organismos y foros internacionales dedicados a la seguridad de la información, así como las mejores prácticas observadas en otros mercados”, dice Banxico, la Asociación de Bancos de México y otras instituciones.

Alto Nivel Equipo de jóvenes periodistas cuyo objetivo es explicar las noticias más relevantes de negocios, economía y finanzas. Nos apasiona contar historias y creemos en el periodismo ciudadano y de servicio.