- Ahora, su sistema bancario está siendo golpeado por una nueva ola de ataques
- Los responsables de las políticas están siendo criticados por la falta de comunicación
En una mañana de martes a principios de enero, el sistema informático del banco estatal de México se descontroló. Algunos de los trabajadores de Bancomext no pudieron encender sus PC. Internet fue lento Las operaciones rutinarias tardaron más de lo normal.
Dentro del edificio de concreto y vidrio del banco en las afueras del sur de Ciudad de México, un técnico de nivel medio estaba monitoreando los mensajes que llegaban a la red Swift , el sistema de control de tráfico para enviar dinero a todo el mundo. Su trabajo consistía en verificar las transferencias de fondos para asegurarse de que coincidían con las órdenes de pago enviadas por Swift.
Ese día, el volumen de transacciones fue varias veces más alto de lo normal. El trabajador escaneó los mensajes de Swift hasta que descubrió algo: actividad inusual en la cuenta de Standard Chartered Plc Bancomext utilizada para transferencias internacionales
Posteriormente, Bancomext se enteraría de que los piratas informáticos sospechosos de ser de Corea del Norte habían tratado de desviar más de $ 110 millones, lo que obligó al prestamista a suspender temporalmente las operaciones en su plataforma de pago internacional. Estas cuentas de ataques cibernéticos se basan en conversaciones con personas informadas sobre los detalles de los incidentes, que pidieron no ser identificadas porque las investigaciones de las autoridades no se han completado.
Atraco de Bangladesh
En todo el mundo, una serie de ataques contra las conexiones de los bancos con la red Swift ha llevado a las instituciones financieras a adoptar nuevas medidas de seguridad, y la invasión más famosa se produjo en 2016 cuando los delincuentes intentaron robar mil millones de dólares del banco central de Bangladesh. Pero en México, las autoridades gubernamentales y el banco mantuvieron en secreto los detalles sobre el asalto a Bancomext, lo que significa que el sistema financiero nunca recibió la llamada de atención que podría haber evitado una nueva serie de intrusiones que las autoridades todavía están intentando Contiene.
Apenas unos meses después del ataque de Bancomext, los piratas informáticos comenzaron a secuestrar las conexiones de las instituciones financieras mexicanas con el sistema nacional de transferencia de pagos del país, conocido como SPEI . Hasta el momento, se han escapado con al menos $ 15 millones . Si bien las autoridades no saben dónde se originaron los ataques, sospechan que fueron orquestadas por grupos sofisticados que se confabularon con los titulares de las cuentas para retirar cantidades masivas de efectivo de sucursales bancarias en todo México. Los funcionarios dicen que todavía no están seguros de que los robos hayan terminado.
«Aún existe una cultura de la reactividad cuando se trata de riesgos cibernéticos», dijo Michael Rohrs, director asociado de la práctica de seguridad de la información de Control Risks en Washington. «Todas las noticias sobre el intento contra Bancomext y el incidente de Swift con el banco central de Bangladesh podrían haber sido un llamado de atención bastante fuerte para el sector».
Un representante de Bancomext dijo que el prestamista siguió todos los protocolos de seguridad y se comunicó con las autoridades desde el principio. Los funcionarios de prensa de Standard Chartered y Swift se negaron a hacer comentarios.
SPEI-GATE *
Cómo bajaron los ataques al sistema de pagos interno de México
Los profesionales de ciberseguridad y ejecutivos de bancos que hablaron con Bloomberg dijeron que la mala coordinación entre las instituciones financieras y los reguladores ayudó a propagar las recientes redadas contra tres prestamistas, una correduría y una cooperativa de crédito. Saber más sobre cómo se produjo el asalto de Bancomext y otros ataques cibernéticos podría haber ayudado a las empresas a protegerse.
Una portavoz del banco central dijo que el intercambio de información es muy importante, pero que las instituciones que sufren ataques cibernéticos no siempre las denuncian debido a las preocupaciones sobre su reputación. Es una cuestión de gran interés para el banco, dijo. Un ejemplo: la autoridad no supo acerca de una de las infracciones hasta aproximadamente una semana después de que sucedió porque la empresa no la reveló de inmediato.
Los trabajadores se van a casa
Los funcionarios dicen que no tienen ninguna razón para creer que los problemas actuales con las transferencias de pagos nacionales están relacionados con el intento de atraco de los fondos de Bancomext en enero. Si bien ambos fueron «ataques del hombre en el medio», dijo la portavoz del banco central, uno se enfocó en las vulnerabilidades de los sistemas de pago internacionales, mientras que la actual avalancha de ataques afectaba el sistema nacional de cableado de México. El banco central mantuvo una línea abierta de comunicación con todos los participantes de SPEI desde el primer incidente, dijo la vocera.
De regreso en la sede de Bancomext, poco después de que se descubrieran por primera vez las anomalías de Swift, los ejecutivos tomaron medidas. El prestamista, que tiene préstamos pendientes de $ 13 mil millones y se encarga de promover el comercio internacional, suspendió las operaciones y envió a algunos trabajadores a casa. Los teléfonos de escritorio se apagaron y el banco cerró su servidor de correo electrónico.
Los funcionarios pronto descubrieron que las transacciones inusuales eran pagos que habían sido disfrazados como una donación del banco mexicano a una iglesia coreana.
Afortunadamente para Bancomext, eran más de las 3 a.m. en Seúl y, dado que los bancos todavía no estaban abiertos para el día, el dinero no había llegado. Eso le dio al prestamista un tiempo para ponerse en contacto con funcionarios de Standard Chartered, que pudieron detener la transferencia.
Próxima generación
Una vez que el banco central tuvo conocimiento de los problemas de Bancomext, ordenó a otros bancos que verificaran la seguridad de sus operaciones, pero no les proporcionó ningún detalle sobre qué buscar, según dos personas con conocimiento de la materia que pidió no ser identificado porque la información es privada. Una portavoz dijo que el nivel de detalle que proporcionaba el banco central reflejaba la cantidad de información que tenía en ese momento.
Los expertos consultados por Bancomext luego le informaron al banco que los piratas informáticos habían logrado penetrar su conexión Swift gracias a un virus llamado de «próxima generación» que probablemente se activó luego de que un empleado hiciera clic en un archivo adjunto de correo malicioso. Probablemente no se detectó en los sistemas del banco durante varios meses o incluso años, lo que permitió a los piratas informáticos recopilar datos sobre las operaciones típicas para que sea más fácil ocultar el robo.
Million Dollar Bank Holdups
Los hackers han apuntado a las conexiones de los bancos globales con la red Swift
En la piratería más reciente que involucra el sistema de pagos interno de México, los perpetradores hasta ahora han logrado robar unos 300 millones de pesos ($ 15 millones). En última instancia, las instituciones afectadas serán las que ganen ese dinero, dijo el banco central.
El banco central detectó por primera vez irregularidades en la conexión de una pequeña institución financiera con la red SPEI el 17 de abril, pero no lo reveló hasta 10 días después porque el incidente parecía un evento aislado.
Alrededor de una semana después del ataque inicial, los funcionarios de Grupo Financiero Banorte notaron que cientos de transacciones irregulares se enviaban a través de SPEI, de acuerdo con una persona familiarizada con el asunto. El banco mexicano más grande había sido víctima de un ataque cibernético como el descubierto por el banco central la semana anterior. La portavoz de Banorte Veronica Reynold dijo que el prestamista actuó en coordinación directa con el banco central.
No fue hasta el 27 de abril, después del ataque de Banorte, que el banco central publicó un comunicado de prensa diciendo que algunas firmas financieras habían experimentado «incidentes» cuando operaban el SPEI y que esas firmas se conectarían a la red de pago a través de un método alternativo que fue más laborioso pero también más seguro. Incluso entonces, la autoridad no mencionó un ataque cibernético.
Sin nombres
Para entonces, el banco central tenía conocimiento de que las conexiones de tres empresas con la red SPEI se habían visto comprometidas. El 2 de mayo, una cuarta institución reveló al banco central que también había sido pirateada la semana anterior. Una semana después, la cantidad de empresas pirateadas aumentó a cinco. El banco central aún no ha revelado los nombres de las partes afectadas.
Los altos ejecutivos de cuatro prestamistas en México se quejaron con Bloomberg de que la decisión del banco central de permanecer en silencio sobre los detalles de los ataques hacía más difícil apuntalar sus sistemas. Banorte no ha tenido problemas desde que cambió a la conexión SPEI de respaldo. Pero la autoridad no solicitó a otros bancos que promulgaran planes de contingencia hasta los siguientes días y semanas.
En Latinoamérica, México se clasifica como el país con más ciberataques después de Brasil, según un documento de enero de 2017 del Centro Wilson sobre seguridad en el país. El sector financiero ha sido golpeado con intentos de extorsión y esquemas de denegación de servicio, así como interrupciones en la plataforma comercial, de acuerdo con un informe de Control de Riesgos 2015.
Sin multas
En el trabajo de Bangladesh, los ladrones pudieron salirse con $ 81 millones enviando mensajes falsos de Swift que engañaron al Banco de la Reserva Federal de Nueva York para que transfirieran dinero a cuentas en Filipinas. Swift ha dicho que su sistema no ha sido violado; más bien, los problemas de seguridad se originaron en los sistemas de los bancos.
Alejandro Díaz de Leon
El año pasado, el banco central estableció reglas relacionadas con el sistema SPEI que requieren que las instituciones financieras implementen ciertos protocolos de respuesta de emergencia para cuando atacan los atacantes, entre otros requisitos. Banxico evaluó la adhesión de las instituciones financieras en enero y descubrió que algunos bancos no cumplían plenamente, dijo el gobernador Alejandro Díaz de León en una entrevista el 18 de mayo. Hasta ahora, la autoridad no ha impuesto ninguna multa.
Si bien el banco central no ha sido particularmente comunicativo con respecto a los ataques, tampoco los bancos que fueron atacados se han salido de su camino para compartir lo que sucedió con otros prestamistas. Los analistas de ciberseguridad especulan que eso podría deberse a que temen ser castigados por no tener suficientes controles y no quieren darles a los competidores ninguna información que les pueda ayudar.
Trabajo interior
Pero los expertos coinciden en que compartir información fortalece todo el sistema.
«Es tan importante que estos bancos hablen entre sí, que compartan las mejores prácticas», dijo David Schwartz, director ejecutivo de Florida International Bankers Association, una asociación comercial con sede en Miami. «No hay suficiente de eso» en México, dijo.
Hay muchas teorías sobre cómo se cortaron los ataques más recientes. Algunos sospechan la ayuda de los empleados actuales o anteriores del banco central. Díaz de León ha negado esto. Otros dicen que los piratas informáticos tenían acceso a las contraseñas de los tokens de autenticación para las cuentas, lo que sugeriría que los empleados de los respectivos bancos podrían haberlos ayudado a infiltrarse en sus sistemas.
México finalmente está tomando medidas tras el escándalo de SPEI para garantizar que las autoridades y los bancos tengan una mejor manera de compartir información entre sí para poder coordinar las respuestas la próxima vez que los delincuentes ataquen, dijo el gobernador del banco central. La autoridad monetaria también está creando una nueva división para establecer políticas para proteger mejor la información bancaria.
Ignorancia
«La idea es tener un entendimiento entre las autoridades y entidades financieras de que cada vez que recibas algún tipo de evento de shock o ciberseguridad, deberías compartirlo, y todos tendrán información y claridad sobre lo que está sucediendo», dijo Díaz de León.
Hasta ahora, la seguridad en línea no se ha tomado en serio en el sector bancario mexicano, según Federico De Noriega, socio del grupo financiero de Hogan Lovells en la Ciudad de México. Citó su experiencia como representante de una compañía de seguros extranjera que era una política de mercadotecnia para proteger contra los ciberataques a las instituciones financieras en México.
«Hubo mucha ignorancia», dijo De Noriega. «Eso te dice que las personas no son conscientes de este riesgo, o que no lo toman en serio. Creo que ahora lo tomarán más en serio «.
