Hace unos días, escuché a un directivo de la Comisión Nacional Bancaria y de Valores de México decir que en seguridad, como en el fútbol, no hay defensa que frene un autogol.
La analogía la hizo Luis Lima, director general de Supervisión de Seguridad de la Información del regulador mexicano, cuando participó en el FinSeg Day de iupana. La recordé al enterarme de los fraudes que sufrieron Pix en Brasil y el BBVA en Perú, donde trabajadores internos se coludieron con organizaciones criminales para robarse millones.
Y es una gran verdad: no importa cuánto se preparen los bancos y las fintechs para evitar ataques externos, poco pueden hacer cuando la amenaza está dentro del equipo.
Aunque aún no se han revelado cifras oficiales, se estima que la semana pasada se robaron casi US$ 150 millones de cuentas de reserva de instituciones financieras a través de intermediarios tecnológicos que participan en Pix de Brasil.
Los ciberdelincuentes captaron a João Nazareno, trabajador de C&M Software, una empresa autorizada por el regulador que sirve de puente tecnológico para que instituciones pequeñas usen su infraestructura para conectarse a sistemas como Pix.
Nazareno confesó haber recibido un pago de R$ 15.000 (unos US$ 2.700) para entregar credenciales críticas que permitieron a la organización criminal entrar a los sistemas y mover dinero en unas cinco horas.
Algunos pueden decir que esto no se trató de un problema de seguridad, sino de personas corruptas. Pero pensar así es un error pues las instituciones no pueden basar su protección en confiar en que sus empleados harán siempre lo correcto.
En Perú la historia toma otro matiz, pero el enemigo también estuvo adentro. Desde 2019, trabajadores del BBVA, que debían filtrar documentación, validarla y aceptar o rechazar préstamos a pymes, fueron denunciados por el propio banco al identificar irregularidades. Las prácticas fueron ejecutadas hasta 2023 y se estima que defraudaron al banco hasta por US$ 15 millones, aunque cifras extraoficiales llegan hasta los US$ 200 millones.
A fines de junio, una jueza aceptó la solicitud de un fiscal para allanar viviendas de los acusados por tener indicios sólidos de que pertenecen a una red que defraudaba al banco solicitando créditos o factoring con documentación falsa. Una vez desembolsado el dinero, los fondos se repartían hasta llegar a familiares o amigos. El medio local Perú21 tuvo acceso al expediente judicial.
Un caso lo protagoniza la empresa Frío Superfish, que obtuvo en febrero de 2023 un leasing por US$ 4.2 millones del banco. Parte del dinero fue transferido a otra empresa, Maldivas Comercio e Inversiones, para que finalmente una parte llegara a la cuenta personal del hermano del por entonces gerente de una división del banco.
Estos casos revelan la necesidad de los bancos y fintechs apliquen controles para detectar comportamientos sospechosos, incluso si vienen desde adentro. Los atacantes externos seguirán siendo una amenaza, pero los ataques internos son los que más daño hacen, y mientras los controles miren principalmente hacia afuera, el riesgo seguirá entrando por la puerta principal del banco o fintech.
