Todo empezó con problemas para procesar los pagos.
Tres bancos mexicanos tuvieron “incidentes operacionales” al conectarse con la red nacional de pagos centralizados.
Pero rápidamente se hizo evidente que los problemas eran mucho más profundos. Varios bancos mexicanos fueron víctimas de una operación altamente sofisticada, coordinada entre los mundos online y offline. A finales de abril y principios de mayo, criminales digitales transfirieron millones a un network de cuentas bancarias, de las que “mulas” de la vida real, retiraban los fondos en efectivo.
El costo financiero fue enorme. Alrededor de 300 millones de pesos mexicanos (15 millones de dólares) están siendo investigados después de este ciberataque. Pero va más allá de eso.
Mientras los bancos activaron sistemas de contingencia, sus clientes–compañías mexicanas–no lograron hacer sus pagos como siempre. Luego vino el caos, cuando tanto los empleados como los proveedores esperaban por sus pagos.
Más allá de las fronteras de México, el ataque sacudió a bancos en toda la región y comenzaron las preocupaciones al respecto de la ciberseguridad, trayendo el tema a la palestra para las instituciones financieras.
“Inmediatamente después de que vimos el problema del SPEI, comenzamos un proceso interno de revisión en el banco, buscando todos los potenciales puntos débiles,” dice un ejecutivo de tecnología en uno de los bancos más grandes de Sur América.
Para asegurarse de la claridad del mensaje, un nuevo incidente ocurrió en Chile. En Junio, Banco de Chile, uno de los bancos más grandes del país, anunció que también había sido víctima de un ataque. “Delincuentes internacionales altamente sofisticados” habían logrado hacerse de 10 millones de dólares de sus cuentas, dijo el banco.
El tamaño y la sofisticación de cada ataque por separado ya era alarmante. Pero quizás, más preocupante eran las implicaciones: los ataques destruyeron el mito de que los hackers nunca se fijarían en la región.
“Los latinoamericanos nunca creyeron que serían un target,” dijo Daniel Torres, un investigador de vulnerabilidad digital en el CGII, el centro de reportes de incidentes de IT en Bolivia.
Literalmente, haciendo dinero
El hack en México fue un evento sofisticado coordinado que había pasado meses, incluso años, planificándose. Como se dice en lenguaje coloquial de seguridad de la información, una Amenaza Avanzada Persistente (APT por sus siglas en inglés).
Los atacantes consiguieron un punto débil en un software de terceras partes que varios bancos mexicanos usaban para conectarse con el sistema de pagos del país, el SPEI.
Lo usaron para generar instrucciones falsas de transferencias, moviendo dinero de cuentas inventadas a cuentas reales, de acuerdo con el Banco Central de México.
El SPEI está programado para buscar aprobación digital para cada transferencia del banco desde donde se retire el dinero. Durante el ataque, los hackers secuestraron los sistemas para aprobar dichas transferencias, dándole luz verde a transacciones desde cuentas en bancos que no existen.
Con eso, el SPEI reconocía las transferencias como legítimas y les depositaba dinero a las cuentas reales.
Los hackers lograron engañar al sistema para que depositara el dinero de las cuentas falsas: literalmente hicieron dinero. Y finalmente, una horda de gente real retiraba los fondos en efectivo.
Mientras tanto, en Chile, los hackers estaban trabajando en un proyecto por su cuenta. Al descubrir una debilidad en los sistemas del Banco de Chile, explotaron un bug en el software que eliminó discos duros para crear un caos monumental en el departamento de IT del banco, explica Torres. Mientras el equipo de tecnología del banco se concentraba en hacer funcionar los sistemas de nuevo, los hackers transfirieron 10 millones de dólares en secreto a una cuenta fuera del país.
“Fue un ataque que fue planificado por meses,” dijo Torres.
Seguridad en la palestra
Ha tenido múltiples repercusiones.
Además de ser muy caro, los ataques en Chile y México han perjudicado a las reputaciones de los bancos.
Pero si se puede sacar algo bueno de estos eventos, se podría decir que los bancos ahora están redoblando sus esfuerzos en seguridad de la información.
“Los bancos no han estado invirtiendo suficiente en seguridad,” dijo Adriel Araujo, el cofundador y director en Hackmetrix. El startup con sede en Santiago, ofrece una serie de exploraciones de vulnerabilidad estilo white hat automatizados en una página web, que identifica potenciales puntos de entrada para jugadores con malas intenciones. La compañía que se lanzó en febrero y fue seleccionada en los laboratorios de programas de aceleración regional de NXTP 2018, ha visto crecimiento muy rápido de la demanda por sus servicios.
“Gracias al hackeo del Banco de Chile, los reguladores están buscando lo que pueden hacer para fortalecer el sistema,” dice Araujo. “Los bancos van a tomar más precauciones para proteger a sus usuarios y los reguladores van a salir de la época de los noventas con respecto a la seguridad de la información.”
Rommel García, socio en la división de ciberseguridad de KPMG de México, está de acuerdo. Los ataques al SPEI fueron los primeros en su estilo en Latinoamérica, pero los bancos de México no pueden decir que no tuvieron advertencias. “Han atacado a otros países, sobre todo en Europa y Asia y no se tomaron las medidas adecuadas.”
Ahora, él está viendo como los bancos han hecho grandes movimientos en temas de ciberseguridad, dice García. Están mejorando sus capacidades de respuesta y detección y están trabajando en conseguir mejores especialistas de seguridad digital.
Urgentemente se busca: expertos en ciberseguridad
Las amenazas se hacen más avanzadas, así deben serlo las defensas.
“No hay una sola tecnología. No se trata de comprar un software antivirus u otro programa que vaya a solucionar todos sus problemas,” dice García. Se trata de que las instituciones tienen que estudiar sus sistemas y procesos internos y evaluar cuáles son sus debilidades.
“La seguridad no es producto,” dice Torres, evaluador de vulnerabilidad digital en Bolivia. “Es un proceso.” Señala que el hecho de que los emails que engañan a los receptores para que descarguen archivos contaminados siguen siendo un punto de entrada para los sistemas de las empresas.
“Mucha gente no sabe identificar un phishing email,” dice.
Esto hace imperativo que mientras los bancos desesperadamente tratan de aumentar sus números en términos de personal de seguridad de información, también deberían mejorar sus defensas en todos los departamentos. Cualquier empleado que esté conectado a la red del banco puede ser una entrada potencial para agentes maliciosos, por esto, cada empleado debería ser entrenado para reconocer correos sospechosos o cualquier otro medio de comunicación.
Al mismo tiempo, hay una necesidad aguda por conseguir más profesionales que puedan combatir amenazas de ciberseguridad. Los mejores especialistas saben cómo responder a incidentes de estos una vez que hayan sido identificados, dice García. Adicionalmente, se necesitan personas que puedan detectar los riesgos, personas que “puedan reconocer las señales de que un sistema podría estar contaminado, o que si hay una falla de seguridad entienda que es una posible indicación de que se está desarrollando una APT,” dijo.
“Ese tipo de conocimiento es muy limitado,” dijo. “Hay muy pocas personas que lo tienen y tiene una gran demanda, en bancos y en firmas de consultoría.”
¿Estás contratando o buscando trabajo en tecnología, en un banco o en una institución financiera? iupana está ahora publicando clasificados de empleos gratuitos, en nuestro newsletter semanal.
Pon tu oferta de trabajo en el primer lugar de las mentes más especializadas en tecnología financiera de toda la región y suscríbete a nuestro newsletter para que veas las últimas posiciones disponibles en Latinoamérica y el Caribe.