México, 26 de junio de 2018.- El Banco de México reportó a la Comisión Permanente que esta institución como el sistema central del SPEI no fueron blanco de ataques ni vulnerados por el hackeo ocurrido entre el 24 de abril y el 8 de mayo pasados a 5 instituciones financieras.
En la actualidad, el SPEI sigue procesando órdenes de transferencia entre los participantes con seguridad, aunque en algunos casos con retrasos en los tiempos de servicio.
En un informe de 29 páginas entregado a esta soberanía, el banco central precisa que el SPEI (Servicio de Pagos Electrónicos Interbancarios), los recursos y la información de los clientes de las instituciones financieras afectadas estuvieron seguros y fuera de peligro.
Se detalla en el informe que Banxico hace actualmente una revisión profunda de todos los elementos regulatorios de seguridad de la información relacionados con el SPEI, con el propósito de reforzar los procesos de supervisión, autoevaluación y el involucramiento de todas las capas de gobierno corporativo de las instituciones participantes en la materia.
El banco central hace un recuento de cómo ocurrieron estos ataques a partir del 17 de abril pasado, cuando un participante del SPEI detectó que sus sistemas emitieron órdenes de transferencia de fondos no autorizadas.
A partir de esa fecha se identificaron 4 eventos similares en otros participantes, dos el 24 de abril, uno el 26 de abril y otro más el 8 de mayo.
Estas operaciones se enviaron a 836 diferentes cuentas en 10 instituciones de crédito. Las cuentas se abrieron en 97 diferentes plazas de la República y el 80 por ciento del monto total de las transferencias no reconocidas se envió a 23 plazas.
En el informe se establece que Banxico identificó el “modus operandi” para realizar estas transacciones financieras, consistente en 6 pasos.
Primero, personas no autorizadas vulneraron la infraestructura tecnológica de los participantes y generaron en sus sistemas órdenes de transferencias apócrifas con cargo a las cuentas transaccionales de las instituciones participantes.
Segundo, las órdenes de transferencias siempre incluyeron una cuenta emisora y una receptora. En el caso de las operaciones apócrifas, los números de las cuentas emisoras son inventados y no corresponden a cuentas de clientes, mientras que las receptoras son reales.
Tercero, los sistemas de los participantes fueron vulnerados y enviaron al SPEI órdenes de transferencias apócrifas validadas por dichos sistemas como si fueran genuinas.
Cuarto, el SPEI al recibir órdenes de transferencias revisa que esté firmadas por los participantes, las procesa y lleva a cabo su liquidación mediante el abono del monto respectivo en la cuenta que se le lleva a la institución participante receptora.
Quinto, el participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor.
Y sexto, pretendían que los recursos transferidos de conformidad con lo antes descrito fueran retirados mediante disposiciones de efectivo.
Los participantes afectados se percataron de estas órdenes de transferencias apócrifas por dos vías. Uno, mediante alertas producto de sus procesos de validación de operaciones. Dos, por medio de alertas por parte de otros participantes receptores de operaciones sospechosas.
Banxico destaca que en todos los casos identificados y reportados en donde hubo incidente cibernético, los participantes tenían aplicativos de conexión al SPEI desarrollados por un tercero.
“No obstante la vulnerabilidad pudo tener su origen tanto en los sistemas desarrollados por terceros, como en la infraestructura de los participantes en la que fue instalado”.
En la mayoría de los casos, los participantes recurren a proveedores externos para realizar esta conexión entre sus sistemas centrales denominados “core” y la infraestructura del Banco de México para la operación del SPEI.
Se resalta que los recursos y la información de los clientes nunca estuvieron en riesgo. “Quienes cometieron estas acciones buscaron vulnerar las conexiones de los participantes con el SPEI”, lo cual involucró únicamente recursos de la institución afectada.
Tras estos ciberataques, Banxico aplicó un programa preventivo de seguridad, pues otros 43 participantes tenían un alto perfil de riesgo. Se les requirió conectarse al SPEI a través del esquema de contingencia COA SPEI.
La Procuraduría General de la República lleva a cabo las investigaciones conducentes con el fin de identificar y sancionar a los responsables de este probable ilícito.
