Fallas en SPEI: Encontrando el hilo negro (Parte 2)

En la parte anterior, les explicamos lo que hasta el momento se conoce sobre el ciberataque a las instituciones financieras a través del sistema SPEI. En ese artículo nos enfocamos en los primeros ataques, que fueron ignorados por la mayoría de las instituciones. En este parte, explicaremos lo que se conoce sobre la técnica utilizada para hacer las transferencias.

Fallas en SPEI 7
Las investigaciones muestran cómo sucedió el ciberataque, y que se vino preparando desde varios meses atrás

Las instituciones financieras atacadas, en especial la Casa de Bolsa Kuspit, reportó un primer ataque a mediados de abril. Ese ataque aparentemente fue contenido, sin embargo, volvió a ser víctima, simultáneamente al resto de las instituciones atacadas. Esto ha dado pauta a los investigadores a que en el primer ataque fue inyectado un código malicioso, también conocido como malware, en el sistema de la Casa de bolsa, y de la misma forma, en los sistemas de los demás bancos atacados.

Ahora bien, para quienes no estamos muy familiarizados con los términos informáticos, ¿Qué es un malware? Todas las computadoras constan de dos elementos: una parte física, compuesta por la placa principal, el gabinete, teclado, monitor… de todas las partes que podemos tocar y que nos permiten interactuar con la computadora.

La otra parte es una parte lógica, una serie de instrucciones que indican a la máquina qué hacer con cada acción que realizamos físicamente. Esta parte es conocida como software. Un software es un conjunto de instrucciones que sirve para cumplir una serie de funciones específicas.

Cada software cumple una función específica, como el sistema operativo, Navegadores, Suites de Oficina, edición gráfica, reproductores de audio y video, y un sinfín de programas especializados para diversas actividades.

También existen paquetes de instrucciones que pueden causar un mal funcionamiento o realizar una tarea sin que nosotros nos demos cuenta de lo que sucede mientras utilizamos nuestra computadora. Estos paquetes de instrucciones actúan de diversas formas, desde algunas que no son graves, como agregar barras en los navegadores, cambiar los ajustes del navegador, o utilizar la computadora para minería de bitcoin (lo que la hace lenta), hasta acciones como registrar todas las teclas y el orden en que las presionamos en nuestro teclado para enviarlas a un hacker que busca contraseñas, o bloquear carpetas o cierto tipo de archivos de nuestro disco duro. Cada uno de estos pequeños programas recibe un nombre (virus, adware, spyware); debido a la diversidad de funciones que se pueden programar, a este tipo de instrucciones se les llama genéricamente malware.

Volviendo al tema financiero, al parecer las instituciones bancarias sufrieron pequeños ciberataques, algunos más notorios, como los de Kuspit, Caja de Ahorro las Huasteas y Bancomext, y el resto de las instituciones ataques a mucha menor escala, que posiblemente pasaron desapercibidos. Esos primeros ataques cumplieron dos funciones. La primera, detectar hasta qué punto eran vulnerables los sistemas bancarios, y en segundo lugar, implantar el malware con las instrucciones del ciberataque.

Según los explicado por el banco de México, el malware estaba programado para transferir recursos de las cuentas principales de los bancos, dirigidos hacia una o más cuentas específicas. Al transferirse montos pequeños, menores a 100,000 pesos, y debido al alto volumen de transacciones, esto pasó desapercibido en cuanto a los montos transferidos; al mismo tiempo que aumentó el número de transacciones que se realizaban (logrando así que no pudieran detectarse de inmediato las operaciones anómalas), lo que a la larga provocó la lentitud y fallo del sistema.

En el caso de Inbursa, una variante del malware hacía que las transferencias cambiaran de destinatario y en algunos casos se fragmentaran en otras cuentas en donde se recibía el dinero.

En la siguiente parte, les narraremos como se recogió el dinero y porqué nadie se dio cuenta.