A través del seguimiento de un código informático malicioso, la Fiscalía General de la República (FGR) identificó a los probables responsables de al menos cuatro ciberataques contra bancos e instituciones financieras en México en 2018, y que dejaron un quebranto de más de 500 millones de pesos.

Banxico confirma ciberataque a bancos y crea nueva dirección de seguridad

Uno de los ataques ocurrió en mayo del año pasado y estuvo dirigido al Sistema de Pagos Electrónicos Bancarios (SPEI). El Banco de México informó en ese momento que resultaron afectadas varias instituciones financieras, junto con la casa de bolsa, y que se detectaban montos irregulares de cerca de 300 millones de pesos.

Entre los bancos que resultaron blancos de este ataque se encontraron Banorte, Banjército, e Inbursa.

En octubre pasado, la aseguradora AXA también reportó un ataque cibernético relacionado con las operaciones efectuadas vía SPEI. Lo anterior provocó, de acuerdo al comunicado oficial, que se decretara una alerta roja en el sistema electrónico bancario ante posibles nuevos ataques que, al menos, se repitieron una vez más en el año.

“Esta Unidad logró identificar el código malicioso usado para afectar las transacciones del sistema SPEI que básicamente fue la plataforma afectada en todos los eventos (…) Entonces tenemos muy claro cómo se realizó, hay unos datos muy interesantes al interior de las carpetas de investigación que nos apunten a unos posibles responsables”, dijo en entrevista el jefe de la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas, Marcos Arturo Rosales García.

¿Cómo se hizo y quienes están detrás?

Rosales García explicó que para perpetrar estos ataques, los criminales se aprovechan de vulnerabilidades en los sistemas informáticos que les permiten introducir un software malicioso creado a propósito para esta actividad ilegal. En este caso se trató de generar órdenes de transferencia vía SPEI para mover dinero a cuentas creadas para este esquema.

Es decir, se trató de encontrar huecos en todo el sistema informático a través del cual pudiera introducirse el programa malicioso que se asienta en el propio sistema, y cuando se le da la orden remota ejecuta los movimientos ilegales.

“Logramos identificar cómo se realizó toda la operación y ataque al interior del banco porque estos malware y códigos maliciosos que permitieron las transacciones fraudulentas pues estaban ya alojados al interior de la propia red de los bancos que se vieron afectados”, explicó Rosales.

La investigación de la Fiscalía también confirmó que el código malicioso se albergó en los sistemas de los bancos afectados y desde ahí se realizaron las órdenes de pago al sistema SPEI. También descarta que el origen haya sido en las empresas que sirven de intermediarias y operan el referido sistema.

En el caso específico del ataque ocurrido en mayo se descubrió —de acuerdo a lo difundido por el noticiero En Punto de Televisa, conducido por Denisse Maerker— que el dinero fue transferido a 150 cuentas bancarias, el 80 % de ellas abiertas a propósito para este fraude, de donde fue retirado posteriormente.

El jefe de la Unidad de Investigaciones no dio a conocer la identidad ni ubicación precisa de los probables responsables. Lo que sí detalló es que no se trata de personas que operan de forma individual, sino de grupos bien organizados compuestos no solo por hackers sino por otros especialistas.

“No es un muchachito sentado detrás de una computadora, son grupos delictivos de varias personas coordinadas para realizar este tipo de conductas y con distintos perfiles. Además se requieren distintas capacidades para realizar estas conductas delictivas. Son grupos bien estructurados y coordinados y repito no solo con el perfil de hacker sino multidisciplinario”, subrayó Rosales García.

La pérdida económica y los afectados

De acuerdo con el funcionario de la Fiscalía General, los ataques cibernéticos al sistema bancario ocurridos el año pasado dejaron pérdidas por más de 500 millones de pesos.

Incluso, precisó que hay una “cifra negra” de daño económico que no se conoce públicamente, dado que distintas instituciones financieras prefieren no precisar dicha información para no generar publicidad adversa.

Lo que precisó Rosales García es que los ataques del 2018 no generaron una afectación directa a los usuarios o clientes de los bancos, ya que la pérdida fue absorbida directamente por las instituciones.

“No hubo ciudadanos afectados. Lo que los bancos tienen es una canasta concentradora de recursos y a partir de esa canasta cuando hay una transferencia vía SPEI lo toman pero eso es del banco. Entonces como todas las transferencias se hicieron sacando los recursos de la canasta del banco, en realidad no hubo ni un usuario del sistema financiero que tuviera que pagar estas consecuencias”, explicó el funcionario.

Los investigadores

La Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas se especializa en la investigación de delitos que involucran plataformas informáticas, y ha estado en operaciones desde septiembre de 2017, pues fue creada para apoyar en investigación criminal.

“Lo que hacemos básicamente es investigar delitos cometidos a través de tecnologías de la información, ya sea en contra de estas tecnologías o utilizándolas para perpetrar otros ilícitos distintos”, dijo su titular.

En esta unidad trabajan actualmente 98 personas, entre ellos investigadores y policías. El perfil e identidades del personal es clasificado, sin embargo Rosales señaló que cuentan desde personal recién egresado de instituciones educativas con carreras afines, hasta personal con maestrías en riesgos informáticos , ingenieros en sistemas, e incluso especialistas en ciberseguridad provenientes del Ejército.

Rosales subrayó que esta unidad buscará fortalecerse en el próximo año pues existe consenso internacional en que los ataques en contra de los sistemas bancarios continuarán.