El pasado 27 de abril del 2018, cinco de los principales bancos de México detectaron salida de dinero no autorizada desde aproximadamente 150 cuentas bancarias creadas, no mucho tiempo antes del día del robo, reportando una perdida general mayor a 300 millones de pesos.

Este robo de dinero fue uno de los más grandes que se han sucitado en México arrasando con una cifra entre 300 y 400 millones de pesos, comparándose con casos como el asalto a camionetas de valores en Guanajuato en 2012 con un robo aproximado de 141 millones de pesos o la estafa dada en Lotería Nacional con su organismo Melate y la empresa Just Marketing donde el robo fue de aproximadamente 160 millones de pesos, acordando los datos de la Procuraduria General de Justicia sobre el dinero sustraido en cada uno de los casos mencionados.

Recientemente en San Franciso, CA en la conferecia de seguridad RSA, el experto en seguridad Josu Loza quién participo en respuesta al incidente de abril, presentó el como los ciberdelincuentes lograron realizar esta artimaña digital y lo que más enfásis creó es que a pesar de los meses o años de planeación los delincuentes alcanzaron su objetivo debido a la poco sólida, deficiente e insegura arquitectura de red en el sistema financiero mexicano sobre la principal plataforma de transferencias (SPEI) operada por el Banco de México.

Acorde al reporte de análsis forenses que el Banco de México realizó sobre el incidente, aseguran que la plataforma SPEI no fue vulnerada sino que el tema fue el aprovechamiendo de vulnerabilidades distribuidas en las funciones y procesos para la generación y envío de ordendes de transferencias automatizadas, cegando a las instituciones financieras del conocimineto sobre las operaciones ilícitas realizadas.

Josu Loza sugirió en la conferencias que a pesar de que el objetivo no fue directamente con la plataforma de SPEI, esta también acarrea diversos errores y fallas en la validación adecuada, facilitando las transacciones maliciosas que operaron en el sistema.

Cada una de estas vulnerabilidades hicieron posible un trabajo de campo extensivo, donde establecieron su infraestrctura de personal para el retiro de dinero en las cuentas bancarias creadas.

Los ciberdelincuentes explotaron la forma en como la plataforma de operaciones SPEI valida los montos, destinatarios y el inicio de una transfernecia de dinero. El modus operandi se puede resumir en 4 sencillos pasos:

1. Se incia la transferencia de dinero desde una fuente inexistente.
2. El dinero se recibe en una cuenta «real» que está bajo el control de los delincuentes.
3. La mula (persona encargada de tomar el dinero) retira el dinero de la cuenta bancaria a la que se transfirió el dinero.
4. Eliminación de evidencias.

Todo esto sin que los bancos se dieran cuenta que estaba pasando ya que las transacciones realizadas eran en cantidades de decimas, centésimas o mlies de pesos y en palabras de Josu Loza:

SPEI manda millones y recibe millones de pesos diarimante, estas operaciones de cientos a miles de pesos representan un pequeño procentaje de su operación.

Una de las partes más interesantes sobre su modus operandi es la eliminación de evidencias, ya que una vez concluidas las transferencias maliciosas, los atacantes borraron la mayoría de sus rastros realizados en los sistemas de las instituciones financieras. En la conclusión por parte del reporte del Banco de México, no se especificó como fue esta eliminación, pero a tan alto grado de profesionalismo en su ataque, no caben dudas de que se insertó algún tipo de malware que fuera eliminando sus rastros a medida de avance en el ataque.

Estipulando con Josu Loza sobre el sistema financiero mexicano y el uso de tecnologías en general, aún hace falta la implementación de cultura tecnológica en cuanto a seguridad informática.

Actualmente cualquier tema de seguridad personal se comunica de inmediato: asaltos, robo, secuestros, etc. lo cual lleva a un aumento de seguridad e implementaciones publicas para la reducción de incidentes, eso mismo hace falta en cultura tecnológica y se cree que es la mayor causa de ataques cibernéticos.

No es que alguna empresa vaya a quedar mal, porque al final estos problemas no dejaran de suceder, pero sí se puede reducir su índice de frecuencias y daños, por lo que es importante comunicar los ataques cibernéticos que sucedan, así sean tan básicos como envío de SPAM o intentos de phishing, sólo así con ese conocimiento colectivo y compartido podremos incrementar de gran manera nuestra seguridad informática.