Fallas en SPEI: Encontrando el hilo negro (y Parte 4)

Como ya vimos en los artículos anteriores, el ciberataque al sistema SPEI produjo pérdidas a las instituciones bancarias, por aproximadamente 300 millones de pesos, según la cifra oficial. Esto se logró utilizando un malware que disfrazó las transacciones y dispersó el dinero en miles de cuentas de bancos grandes, recurso que fueron recogidos por personas de quienes se desconoce su identidad. ¿Realmente cuánta gente intervino y en dónde?

fallas en SPEI 9
En este asunto hay demasiados implicados.

Por las noticias que hemos visto y que aquí les hemos dado a conocer, esta operación de ciberataque no fue solamente un ensayo de estudiantes o aspirantes a hacker; lo que se ve es la coordinación de miles de personas para manipular esos recursos.

Hasta el momento ningún grupo de hacerks, ciberterroristas o aficionados a la computación, se ha hecho púbico como autor de este ataque; y la investigación del Banco de México tampoco ha dado a conocer información sobre los autores y partícipes.

¿Quiénes y dónde intervinieron? Por el momento, se conoce la información que han mencionado tanto las autoridades como los expertos en seguridad informática e instituciones bancarias. El Banco de México mencionó que próximamente dará a conocer más detalles de la investigación oficial.

Hackers. Los hackers crearon el código malicioso que contenía las instrucciones para realizar las transferencias, las cuentas de destino, las fechas y horas de las transacciones, así como, posiblemente, su activación remota para los ataques previos y que sirvieron como ensayo.

Empleados de Intermediarios y bancos. El sistema SPEI es controlado por el Banco de México. Para poder ser utilizado por los bancos, requieren el servicio de empresas intermediarias, que, en el caso de los bancos atacados, son LGEC y APESA. Estas empresas proveen el acceso a SPEI y manejan los controles de acceso de cada banco. Esto hace pensar que parte de las personas que intervinieron son personal (o exempleados) de los bancos o de los intermediarios, que facilitaron esos controles de acceso, y que además conocen la infraestructura, conexiones y operación interna de la interconexión de SPEI.

Mulas financieras. Al hablar de miles de cuentas bancarias a las que fue enviado el dinero, y aun suponiendo que una misma persona apareciera en dos o tres cuentas de cada banco de destino, lo que supone entre seis y diez cuentas por persona, Estamos hablando de cientos o realmente más varios millares de personas que actuaron coordinadamente para realizar los retiros en el momento preciso, entre minutos y horas después de haberse hecho la transferencia y antes de que se detectara la transacción anómala.

Hasta aquí lo que se sabe. Aún se desconoce qué grupo de ataque cibernético realizó el ataque, pues ningún grupo conocido o desconocido, nacional o extranjero ha dicho “esta boca es mía”; se desconoce si realmente participaron personas que trabajaron o desarrollaron los sistemas de interconexión con SPEI, y hasta qué punto, y también se desconoce la identidad de las mulas, y a dónde fue a parar todo ese dinero.

Seguramente en los próximos días y meses podremos conocer más información, cuáles son las recomendaciones del Banco de México, así como las medidas que los propios bancos tomarán para garantizar su propia seguridad y la de sus usuarios.

Mientras tanto, el banco de México sigue asegurando que los datos personales y los recursos de los cuentahabientes se encuentran debidamente protegidos. Seguiremos informando.