Fallas en SPEI: Encontrando el hilo negro (Parte 3)

En la parte anterior, les narrábamos cómo a través de ataque sin importancia, se inyectó un malware o código malicioso, con las instrucciones para hacer las transferencias de SPEI en unas fechas determinadas. En este artículo les diremos a dónde llegó el dinero y por qué nadie se dio cuenta quién lo recogió.

Fallas en SPEI 8
Para realizar el robo, se utilizaron mulas financieras

El malware también permitió a los hackers robar controles de acceso de los bancos, con los que podían enviar las solicitudes no autorizadas, con lo que se ocultaban de los controles del sistema SPEI y así, durante los días del ciberataque, los recursos del banco fueron transferidos a una serie de cuentas de otros bancos grandes, bancos que en general reciben un gran volumen de transferencias diariamente. Se confirmó como receptor de algunas de esas transferencias, BBVBancomer, aunque también se maneja que los recursos fueron enviados a cuentas de Banamex y HSBC.

Mulas financieras. Las cuentas de destino no eran cuentas de reciente apertura. La mayoría tenían varios meses de haber sido abiertas.

El Presidente de la Asociación de Bancos de México, calificó la sustracción del dinero como una operación hormiga en ventanilla.

Una vez que la transferencia era confirmada y el dinero se encontraba en la cuenta de destino, a continuación, en lapsos breves, que iban desde unos minutos hasta algunas horas, se presentaba en ventanilla quien aparecía titular de la cuenta, y retiraba los fondos disponibles. Al ser un movimiento habitual de los bancos, esto no levantó ninguna sospecha en las instituciones de destino.

En todos los casos los fondos fueron retirados en efectivo a través de las ventanillas del banco. Lo que resulta curioso, es que, a pesar de que el dinero fue repartido en miles de cuentas, y, por lo menos en teoría, cada cuenta tiene un titular que se presentó a hacer el retiro del dinero, el Presidente de la Asociación Mexicana de Bancos aún busca aclarar cómo se pudo retirar el dinero y cómo se cobraron las comisiones a los delincuentes, sin levantar sospechas.

Además, aún existen dudas acerca de la identidad de las personas que recibieron esos fondos e hicieron los retiros. Según la empresa Biometría Aplicada, (que implementa la tecnología de identificación biométrica en Bancomer, Citibanamex y Santander), dice que al no estar implementada la tecnología de identificación biométrica, que fue establecida para implementarse en un año, contado a partir de agosto de 2017, y de la cual en este mes de mayo se les concedió a los bancos una prórroga de 9 meses para ponerla en marcha; esta circunstancia permitió que se pudieran crear cuentas ficticias, creadas con tiempo de antelación, y que posteriormente fueron borradas, antes de que se detectara la identidad de los cuentahabientes.

Al hablar de miles de cuentas, es evidente que esta situación estuvo perfectamente coordinada, y se tenía todo previsto: fechas, cuentas, encubrimientos.

En nuestra siguiente entrega, lo que se sabe hasta el momento de los participantes en este ciberataque.