Han pasado 18 años desde que en mayo del 2,000 se infectaron aproximadamente 50 millones de computadores provocando pérdidas de más de 5.500 millones de dólares, la idea era simple: «bloquear computadoras y propagarse» para demostrar la capacidad de los hackers.
Hoy los hackers ya no se molestan en mostrar sus habilidades. Ahora lo hacen por dinero y los gobiernos los utilizan como armas.
Desde el 27 de abril se presentó lentitud en el Sistema de Pagos Electrónicos Interbancarios (SPEI), se atribuyó a un problema con Banorte. Posteriormente el Banco de México (Banxico) aceptó que se trató de un problema de seguridad declarando que una cantidad de $300 millones de pesos fue sustraído de al menos cinco grupos financieros que operan en el país a través de «transferencias no autorizadas», el problema fue provocado por el software cliente que utilizan los bancos para interconectarse con Banxico.
Este tipo de ataque es similar al robo de 87 millones de dólares al Banco Central de Bangladesh ocurrido en 2016, en el que también se utilizó un sistema de pagos interbancarios para distribuir los fondos robados llamado SWIFT, y el cual sigue la misma idiología.
El sistema SPEI es consumido por alrededor de 100 entidades, entre bancos, casas de bolsa, casas de cambio, afores y otras, dentro de territorio mexicano y bajo la supervisión del Banxico.
SPEI funciona a modo de API y requiere de otros sistemas intermedios (middleware) que conectan a las entidades financieras con la red de transferencias de Banxico, estos sistemas intermedios pueden ser desarrollados por la propia entidad financiera o por un proveedor externo.
En Mexico gran parte de las entidades financieras utilizan un software desarrollado por un proveedor externo, este software es el LGEC de Sistemas de Integración y Enlace, su director Fernando Gutiérrez, dice «el fallo reportado no necesariamente proviene de su software y que no son el único proveedor de este tipo de aplicativos dentro del mercado mexicano».
Aunque el director de Sistemas de integración y enlace intente lavarse las manos, las vulnerabilidades del software LGEC son muy probables, ya que los problemas se han presentado en varias entidades financieras, con lo cual el vector de ataque se reduce mucho.
¿Porque los sistemas para detección automática de fraude no funcionaron?
Mi hipotesis es que los sistemas anti-fraude funcionan a nivel de clientes-entidades y no entidades-Banxico, y por tanto las transacciones procedentes de entidades autorizadas por Banxico, son tomadas como reales, ya que no hay manera que Banxico pueda comprobar que una transacción es real o no, esto es responsabilidad de cada entidad financiera.
¿Mis finanzas se verán afectadas? no, aunque si ha sido un robo, la responsabilidad ha sido de la entidad financiera o del proveedor del software cliente y por tanto ellos deberán asumir las consecuencias.
¿Podría repetirse? es probable, este tipo de ataques a software cliente o sistemas que otorguen APIS para la interconexión de servicios son los nuevos blancos de los hackers.
Ejemplos de estos softwares son los sistemas de carga de tiempo aire celular, de transferencias electrónicas o retiro de efectivo que utilizan los centros de conveniencia o los supermercados.
