Un ataque cibernético que costó caro a México
El titular del banco central de México dijo que un ciberataque el mes pasado le costó a cinco instituciones financieras 300 millones de pesos (15,2 millones de dólares) debido a transferencias fraudulentas, pero no reveló cuánto de esa cantidad se había retirado en efectivo. El gobernador del Banco de México (Banxico), Alejandro Díaz de León, dijo en una conferencia de prensa que tres bancos, un corredor y una cooperativa de crédito se habían visto afectados por el ataque, pero se negaron a mencionarlos.
También dijo que, según la experiencia internacional, pasarían otros seis meses antes de que se pueda determinar si habría una segunda fase del mismo ataque. Díaz de Léon explicó que el banco está trabajando actualmente para remediar los problemas de seguridad. Agregó que se impondrían sanciones a los bancos si se demostraba que no cumplían con las normas de seguridad al no tener un servidor dedicado para conectarse al sistema de pago interbancario electrónico de Banxico, conocido como SPEI.
"Si la aplicación [fraudulenta] residía en un servidor no dedicado o funcionaba [de una manera] inferior a la [norma] establecida, está claro que no solo es el proveedor [criminal] responsable, sino también el participante [el banco] ", dijo Díaz de León. La directora del sistema de pagos de Banxico, Lorenza Martínez, explicó previamente que el sistema que conecta a las instituciones financieras con el SPEI, en lugar del propio SPEI, se ha visto comprometido. Díaz de León reiteró esa declaración y aseguró a los periodistas que el sistema, similar al sistema global de mensajería de SWIFT, había operado de manera eficiente desde su creación.
La primera transferencia fraudulenta conocida ocurrió el 17 de abril, pero Díaz de León dijo que la escala de ese evento no predijo la magnitud del ataque por venir. Sin embargo, otra violación de seguridad 10 días después, el 27 de abril, alertó a Banxico de que algo más grave estaba sucediendo y provocó una respuesta a mayor escala. Díaz de León describió ese ataque como una "cuenca hidrográfica". El gobernador del banco dijo que las investigaciones de Banxico hasta ahora mostraron que "los atacantes, que intentaron comprometer las instituciones, inyectaron instrucciones de pago fraudulentas de cuentas inexistentes, afectando la cuenta transaccional en el SPEI". "El participante [el banco] autentica y valida la identidad del cliente [y] verifica que tiene fondos suficientes para la operación. Es cuando el banco prepara las instrucciones para el pago y lo envía al SPEI que el proceso se vio comprometido ", explicó.
El diario El Financiero informó el lunes que fuentes anónimas dijeron que el dinero se retiró rápidamente a través de retiros de efectivo de las cuentas falsas. Sin embargo, según Banxico, ningún cliente individual se vio afectado. A pesar de tomar más de dos semanas para admitir que los fondos habían sido robados, el gobernador dijo que la seguridad cibernética ha sido una prioridad para el banco desde 2013. A principios de esta semana, Banxico dijo en un comunicado que estaba creando una nueva unidad de ciberseguridad que elaborará y distribuirá directrices de seguridad para los bancos de México.
