Ven similitudes entre contingencia en SPEI y hackeo a Banco de Bangladesh

La revelación del Banco de México (Banxico) acerca de que una cantidad desconocida de fondos fue sustraída de al menos cinco grupos financieros que operan en el país a través de “transferencias no autorizadas” hace que las incidencias relacionadas con el Sistema de Pagos Electrónicos Interbancarios (SPEI) muestren cada vez más similitudes con el robo de 87 millones de dólares al Banco Central de Bangladesh ocurrido en 2016, en el que también se utilizó un sistema de pagos interbancarios para distribuir los fondos robados.

De acuerdo con Mario Islas, director de Marketing y Desarrollo de la empresa española de ciberseguridad Mnemo, durante el ciberataque al Banco de Bangladesh, con el fin de mover los fondos robados a la institución financiera, los ciberdelincuentes utilizaron la plataforma SWIFT.

Igual que el SPEI, SWIFT (Society for Worldwide Interbank Financial) es un intermediario por el que transitan los mensajes o transacciones entre instituciones bancarias y financieras. Mientras que SPEI comunica a alrededor de 100 entidades, entre bancos, casas de bolsa, casas de cambio, afores y otras, dentro de territorio mexicano y bajo la supervisión del Banxico, SWIFT conecta a más de 11,000 instituciones bancarias y de valores que operan en 200 países a través de un sistema controlado por 3,000 instituciones financieras agrupadas en un esquema de cooperativa. 

Ambos sistemas requieren de otros sistemas intermedios (middleware) que conectan a las entidades financieras con la red de transferencias. Dichos sistemas intermedios pueden ser desarrollados por la propia entidad o por un proveedor externo. En el caso de SWIFT, el middleware que fue vulnerado para llevar a cabo el fraude al Banco de Bangladesh fue el programa para servidores  SWIFT’s Alliance Access, de acuerdo con BAE Systems citado por Reuters.      

En México, aunque se ha dado a conocer que el proveedor del software que funciona en la plataforma de conexión entre la banca mexicana y el SPEI es LGEC, Sistemas de Integración y Enlace, Fernando Gutiérrez, su director general, dijo en una entrevista con El Economista que “el fallo reportado no necesariamente proviene de su software” y que no son el único proveedor de este tipo de aplicativos dentro del mercado mexicano.

Según Rubén Aquino, director de Negocio de Mnemo, compañía de seguridad de la información enfocada en buena medida a atender al sistema financiero, han observado en meses anteriores casos de ciberataques en contra entidades de este sector en donde se presenta “un comportamiento de uso de los sistemas de pagos interbancarios para dispersar fondos”.  

“Las instituciones financieras son un objetivo principal de ciberataques. Una de las cosas más relevantes es que al tratarse de sistemas de transferencias interbancarias que son electrónicos hay que tener en cuenta que son susceptibles a ciberataques no para aprovechar una falla en el mismo sistema, sino para utilizarlos realizando otro ciberataque para dispersar fondos”, dijo Aquino.

Según los expertos de Mnemo, desde la incidencia relacionada con el banco central de Bangladesh, existe una mayor conciencia de la seguridad en el sector financiero y aseguraron que es de vital importancia contar con medidas que ayuden a mitigar los riesgos operativos y de seguridad en las instituciones financieras.

Después de que las transferencias bancarias entre participantes del SPEI se vieran ralentizadas durante varias semanas y de que el propio banco central descubriera que sí hubo transferencias fraudulentas durante el periodo de contingencia, Lorenza Martínez, directora del Sistema de Pagos del Banco de México, dijo a la agencia Reuters que no había claridad sobre la cantidad transferida y se abstuvo de nombrar las instituciones afectadas.

Pese a que la funcionaria aclaró que aún no se podía saber si las afectaciones habían sido ocasionadas por un ataque cibernético, también comentó que no se podía rechazar ninguna hipótesis y reiteró que el problema estaba vinculado con el software que las instituciones usan para conectarse al sistema de pagos (SPEI).

De acuerdo con la agencia Reuters, Martínez dijo que no ningún cliente se había visto afectado, ya que las transferencias afectaron las cuentas de las entidades involucradas en el banco central, lo que también confirma la tendencia de que son las instituciones bancarias y no sus clientes los objetivos que los ciberdelincuentes han elegido para cometer este tipo de fraudes cibernéticos. 

rodrigo.riquelme@eleconomista.mx