Fallas en SPEI: Encontrando el hilo negro (parte 1)

A punto del terminar el mes de mayo, la información sobre los ataques al sistema SPEI y el desvío de, por lo menos oficialmente 300 millones de pesos, sigue generando dudas, y sobre todo, temor de que estos ataque sigan afectando, aunque en una menor escala.

Fallas en Spei 6
Las investigaciones muestran cómo sucedió el ciberataque, y que se vino preparando desde varios meses atrás

Después de que el Banco de México dio a conocer que el fallo en el sistema SPEI sí se trata de un ciberataque que afectó directamente a las instituciones bancarias de las que se sustrajeron, según la cifra oficial, 300 millones de pesos, y que afectó a por lo menos 5 entidades financieras, de las que no se reveló cuáles son, se han dado a conocer más datos de cómo sucedió el ciberataque y cómo fue que no se dieron cuenta.

Según la información, este ataque cibernético al sistema SPEI, no es único ni aislado. En octubre de 2017 se detectó una operación de apertura de cuentas y retiro de dinero en ventanilla, en la que quienes estaban registrados como clientes, hicieron movimientos por aproximadamente 2 millones de pesos. Al ser un monto relativamente pequeño movido a través del sistema SPEI, no se le dio mayor importancia.

En enero de 2018, el Banco Nacional de Comercio Exterior, detectó movimientos anómalos y no autorizados por un monto de 110 millones de dólares. En este caso, los movimientos anómalos fueron detectados a tiempo y el equipo de seguridad del banco evitó que el dinero llegara a las cuentas de destino. Sin embargo, otras instituciones bancarias no hicieron eco a esta situación.

A mediados de abril, la afectada fue una casa de bolsa, Kuspit, en la que sí se produjo el robo de dinero. También se detecta el robo a la caja de Ahorro Las Huastecas, por alrededor de un millón de pesos.

A finales de abril resultaron afectados simultáneamente, la Casa

de Bolsa Kuspit, la Caja de Ahorro de Las Huastecas Banjército, Inbursa y Banorte.

Aunque se detectó y aparentemente se detuvo el ciberataque a la casa de bolsa y la caja de ahorro, se considera que fueron los ensayos finales, ya que después se encontró que se había agregado un código malicioso (un malware), que facilitó el ataque unos días después, a finales de abril, en que atacó simultáneamente a varias instituciones financieras.

Bancomer fue la primera institución bancaria en reportar que parte del dinero sustraído llegó a cuentas de esa institución, donde fue retirado en ventanilla. Posteriormente se supo que también llegó a otras instituciones bancarias grandes, con alto volumen de movimientos para pasar desapercibidas, como son, según algunos informes, Citibanamex y HSBC.

¿Cómo funcionó el malware y cómo se sustrajo el dinero? En la siguiente parte les narraremos qué es lo que se sabe y interrogantes que quedan pendientes.