Andrea Deydén
Alberto Gómez Alcalá tomó la palabra luego de que Marcos Martínez Gavica, presidente de la Asociación de Bancos de México (ABM), terminara de responder a un reportero sobre las medidas que tomaría la organización tras el ataque cibernético que afectó a cinco instituciones financieras a través del Sistema de Pagos Electrónicos Interbancarios (SPEI), ocurrido casi un mes antes.
“Vamos a hacer una inversión millonaria para tener una plataforma de comunicación anónima para delatar las inconsistencias que cada banco perciba y que tratan precisamente de atacar este tipo de problemas”.
Era 24 de mayo y Gómez Alcalá, presidente ejecutivo de la cúpula de instituciones financieras, se había reunido horas antes con miembros de su asociación.
Las preguntas siguieron. Todas estaban relacionadas con el hackeo que resultó en el robo de alrededor de 300 millones de pesos a través del SPEI. No hubo respuestas claras, en especial cuando los reporteros tocaban el quid de la cuestión: ¿el personal bancario tuvo relación con el ataque?
“Si hay empleados involucrados, no lo sabemos. Es difícil pensar que no hay nadie involucrado, pero tampoco podemos como asociación de bancos asegurar que hay alguien. Descartarlo, no podemos, pero tampoco asegurarlo”, dijo Martínez Gavica.
A casi ocho meses del ataque, la pregunta sigue en el aire y tampoco se han dado comentarios sobre el avance en la plataforma o sus participantes.
La evidencia de los análisis forenses practicados por las instituciones financieras apuntan a que estuvieron involucradas personas con un conocimiento muy avanzado de los procedimientos de seguridad interna.
La vulneración cibernética “requirió contar, por parte de los atacantes, con un conocimiento profundo de la infraestructura tecnológica y los procesos de las instituciones vulneradas; así como del acceso a ellas”, informó la versión pública del Reporte del Análisis Forense, publicada por el Banco de México el 29 de agosto.
“Para estos ataques se utilizaron técnicas comunes como robo de credenciales, escalamiento de privilegios, movimientos laterales entre servidores, inserción de archivos o ejecución de instrucciones y borrado de bitácoras”, detalla el documento, que muestra hallazgos de terceros especializados cuya identidad no fue revelada por el banco central.
La brecha de seguridad es investigada por la Procuraduría General de la República (PGR), que en mayo aseguró tener “diferentes líneas de investigación, las cuales se encuentran en proceso de análisis”. Desde entonces, no se han dado a conocer más detalles, como el modo de operación, los posibles sospechosos o el número total de cuentas involucradas. Tampoco el plazo que tendrán las autoridades para esclarecer los hechos.
No obstante, las características del ataque permiten a los expertos en la materia pensar que hubo componentes tanto técnicos como humanos.
“Uno de los principales problemas que se detectaron en el caso SPEI fue el factor humano, ya fuera por colusión o por descuido”, considera el especialista Ignacio Sotelo, director de la Asociación Mexicana de Ciberseguridad. En su opinión, para llevar a cabo el hackeo se requirieron, al menos, dos partes: la que identificó y explotó la vulnerabilidad y la que falló en implementar los procesos o filtros adecuados.
México, en el ojo de los hackers
Aunque el caso SPEI ha sido el de mayor alcance en las instituciones financieras mexicanas, no es el único en lo que va del año. Hace unas semanas, se registró una vulneración a la aseguradora AXA, cuyos detalles todavía se desconocen.
El 10 de enero de 2018, el Banco Nacional de Comercio Exterior (Bancomext) informó que fue víctima de una “afectación en su plataforma de pagos internacionales provocada por un tercero”.
“Las autoridades confirmaron que el modus operandi de los presuntos hackers es similar a las intromisiones ocurridas en otras instituciones en México y América Latina”, informó el banco.
El hecho, en el que no se registró ningún robo, se dio casi dos meses después de que se firmara la Estrategia Nacional de Ciberseguridad, que tiene como uno de sus objetivos estratégicos fortalecer los mecanismos en la materia para proteger a los diferentes sectores productivos del país y propiciar el desarrollo e innovación tecnológica, así como impulsar la industria nacional de seguridad cibernética para contribuir al desarrollo económico de individuos, organizaciones privadas, instituciones públicas y sociedad en general.
Sin embargo este documento no es vinculante, lo que abre la posibilidad para que los particulares se adhieran o no a sus lineamientos. “Nadie está obligado (a seguirla), es un marco de referencia que puede ser adoptado por cualquier organización o empresa”, mencionó Sotelo.
Tras el atentado, la firma especializada Fire Eye Inc. fue la encargada de realizar análisis y recomendaciones para minimizar este tipo de ataques.
Estos documentos están reservados, debido a que revelan datos sensibles de esta banca de segundo piso, de acuerdo con la respuesta de Bancomext a la solicitud de información 0630500006318, publicada el 2 de julio de 2018.
El 3 de octubre, Fire Eye compartió un reporte donde detalla que APT38, el grupo que afectó a la institución, está respaldado por el régimen de Corea del Norte y es responsable de robos cibernéticos en otras partes del mundo. Según los cálculos de la empresa, la agrupación criminal ha intentado robar más de 1,100 millones de dólares a nivel global.
Bancomext rechazó hacer comentarios a EL CEO.
Este tipo de brechas cobra más relevancia cuando se considera que México ocupa el segundo lugar en ciberataques en América Latina y que vio un incremento de 40% en sus ataques entre 2013 y 2014, de acuerdo con el estudio El estado de la ciberseguridad en México: una revisión publicado por el Woodrow Wilson International Center for Scholars en 2017.
El número de personas que cuentan con al menos un producto bancario en México pasó de 39 millones a 52 millones entre 2012 y 2015, de acuerdo con el más reciente Reporte Nacional de Inclusión Financiera.
En este escenario, proteger la seguridad digital en el sistema financiero cobra vital importancia. Y la ausencia de protocolos de respuesta efectivos y transparentes por parte de sus participantes, queda en evidencia.
Cuando estalló el caos
Tres meses después del ataque a Bancomext, los bancos comerciales sufrieron una violación a su seguridad que derivó en un robo de alrededor de 300 millones de pesos que fueron transferidos a otras cuentas.
El 27 de abril, Banorte -una de las instituciones financieras afectadas- avisó de un problema con sus sistemas de transferencias y pagos a nómina.
En respuesta, Banxico reportó que tres instituciones financieras habían tenido “incidentes operativos” que pudieron haber afectado las transferencias de dinero, sin precisar cuáles, y aseguró que sus sistemas no habían sido vulnerados.
Al día siguiente, el banco central señaló que los problemas se dieron en el aplicativo, el software proveído por empresas externas para conectarse al SPEI, e instó a las instituciones financieras a migrar a un esquema alternativo de transferencias.
Esa misma jornada, Lorenza Martínez, entonces directora general de Sistemas de Pagos y Servicios Corporativos de Banxico -y que renunció menos de un mes después a su cargo-, señaló que “no se contaba con evidencia suficiente para concluir o descartar” alguna amenaza cibernética.
Martínez anunció también la realización de análisis forenses para determinar lo que había pasado.
“La tendencia de dónde vienen los ataques (cibernéticos) no es otorgada por entes inteligentes como los Equipos de Respuesta a Emergencias Informáticas (CERTS). Quienes proveen esa información son los fabricantes”, como Palo Alto o Cisco, explicó Sotelo.
Debido a que la mayoría de la infraestructura de las instituciones financieras proviene de unas cuantas empresas especializadas, las estadísticas sobre la procedencia de las brechas de seguridad se pueden detectar en poco tiempo, indicó.
Pero esos datos no eran suficientes.
Peritos especializados en contabilidad y sistemas acudieron por parte de las firmas de reaseguros antes de que los bancos pudieran cobrar sus pólizas. El proceso toma entre tres y seis meses.
“Cuando tienes un ataque es necesario determinar qué fue lo que lo causó”, por lo que se deben realizar investigaciones dentro del banco, dijo en entrevista Octavio Careaga, el director de la reaseguradora THB México, que presta servicio a una de las instituciones afectadas.
Banxico no se pronunció de manera oficial hasta dos semanas después, cuando informó que cinco instituciones financieras habían registrado transacciones no autorizadas. Para ese momento, al menos una treintena de firmas operaban en el esquema de emergencia de transferencias interbancarias. El servicio era lento y caótico.
El 14 de mayo, el gobernador del banco central, Alejandro Díaz de León, confirmó que el ciberataque vulneró el software de un proveedor que conectaba a los bancos con el SPEI.
Habían pasado 18 días desde que se avisara del primer ataque.
En medio del caos, solo una cosa era segura: al SPEI ningún hacker había entrado.
Los motivos que libraron a este sistema de pagos interbancarios de la brecha de seguridad no son claros, sin embargo, una posibilidad es que no haya sido del interés de los atacantes. La otra -más probable- es que las particularidades del sistema dificultaran el acceso.
El SPEI se basa en un protocolo abierto que pertenece al Banco de México y no sigue el estándar internacional, explica el documento Sistema de Pagos Electrónicos Interbancarios (SPEI). Divulgación del cumplimiento y adopción de los Principios para las Infraestructuras del Mercado Financiero, publicado por el banco central.
Esto significa que fue creado ex profeso para el mercado mexicano y no responde a los parámetros del SWIFT, una plataforma altamente utilizada en el sector bancario internacional.
“Por lo que se refiere a riesgos de seguridad informática, el SPEI tiene implementados diversos procedimientos y herramientas para monitorear la actividad del sistema y evitar afectaciones por ataques informáticos, además de que las comunicaciones viajan cifradas y las instrucciones de pago y los avisos de liquidación están firmados digitalmente”, indica el documento.
“El SPEI está diseñado y construido en México; es perfectamente actualizable y manejable, de esta forma es posible definir los niveles de seguridad y la tecnología que se usa”, explicó a EL CEO Raymundo Peralta, creador de la plataforma.
Sobre las ventajas de construir una plataforma no estandarizada con otras a nivel internacional, Peralta alude a motivos de seguridad: “cuando se usa la tecnología criptográfica extranjera, se corre el riesgo de que se tenga que cumplir regulación extranjera que obligue a que haya puertas traseras”.
“La seguridad del sistema del lado de Banco de México no se rompió en los ataques de abril y si se actualiza inteligentemente no hay ninguna razón para que no se mantenga segura”, agrega Peralta.
El creador explica que el costo del sistema es lo más bajo posible, porque la gente que lo diseñó, mantiene y opera lo hizo por su sueldo en Banxico y no recibe ningún tipo de beneficio adicional (hasta donde él sabía), “lo cuál no sería así si se usara un sistema internacional que opera para obtener beneficios”.
A finales de 2015, los participantes en el SPEI incluían a 52 instituciones financieras bancarias y 55 no bancarias, las cuales utilizaban el sistema para realizar pagos relacionados con su propia operación y para ofrecer servicio de pago a sus clientes, señala el documento de Banxico.
“El SPEI corre en una red privada, cifrada por hardware y firma las operaciones electrónicamente, asigna responsabilidades claras al manejo de información una vez que esta está en las computadoras del banco, y tiene claro que la información por el simple hecho de estar firmada no es segura, sino que además es necesario verificarla”, dice Peralta.
Entonces, ¿dónde quedó la bolita?
La brecha de seguridad se dio por medio de uno de los intermediarios bancarios que proveen servicios de conexión bancos – SPEI. Esto quiere decir que la “puerta de entrada” para perpetrar el ataque se dio en un sistema que habría permitido a los criminales realizar ataques transversales o moverse dentro del sistema.
“El nivel de seguridad que tienen los bancos es muy alto. Por eso el ataque no lo hicieron al banco, sino al sistema de dispersión externo”, explica Octavio Careaga, director de THB México.
Esta firma realizó peritajes independientes antes de proceder al pago de la póliza a una de las instituciones afectadas. Sin embargo, no queda claro si el ataque contó con la participación desde dentro de las instituciones.
Al respecto, Fernando Gutiérrez, director general de LGEC, una de las empresas que prestan este servicio a varios bancos, entre ellos Banorte, que son los clientes quienes al adquirir la licencia reciben el software y lo instalan directamente en su infraestructura.
“Es responsabilidad de cada una de las instituciones financieras su actualización, instalación y cumplimiento con la regulación, detalladas en las circulares 13/2017 y 14/2017, emitidas por el Banco de México”, comentó al diario El Economista en mayo.
Al ser consultado para este reportaje, Gutiérrez declinó hacer comentarios.
En este juego de “dónde quedó la bolita” entre bancos e intermediarios, Banxico ha hecho clara su postura.
El gobernador del banco central, Alejandro Díaz de León, explicó en mayo que independientemente de la procedencia del ataque, se fincarán sanciones en caso de que las instituciones financieras hayan incumplido las normas de seguridad cibernética.
“Si el aplicativo (vulnerado) residía en un servidor no dedicado o si tenía una actividad inferior a la establecida, es claro que no solo el proveedor es el responsable, también el participante”, informó.
Las sanciones pueden ser de hasta 100,000 salarios mínimos (alrededor de 9.2 millones de pesos), según lo establecido en el artículo 108 de la Ley de Instituciones de Crédito. De acuerdo con la Ley del Banco de México, pueden representar un porcentaje de su capital.
A partir de que la información sobre el hackeo se hizo pública, se modificaron las reglas de operación del SPEI. Entre estas destaca el diferimiento de un día en pagos de transferencias superiores a 50,000 pesos y la posibilidad de que los bancos que reciban dinero por esta vía lleven a cabo validaciones adicionales.
Banxico también informó de cambios internos. El 15 de mayo anunció la creación de su dirección de ciberseguridad –que fue autorizada desde el 24 de abril por la Junta de Gobierno–, según detalla la Estrategia de Ciberseguridad del Banco de México.
“Con respecto a cuidar la ciberseguridad del ecosistema, se están creando nuevos contratos y disposiciones a la banca, en conexión con la red financiera, que imponen requerimientos de seguridad de la información”, explica el documento, actualizado tras la vulneración de abril.
Banxico rechazó hacer comentarios al respecto del tema al ser consultado por EL CEO.
Por otra parte, la Comisión Nacional Bancaria y de Valores (CNBV), el órgano desconcentrado de la Secretaría de Hacienda y Crédito Público (SHCP) que supervisa y regula a las integrantes del sistema financiero, convocó a la creación del Grupo de Respuesta a Incidentes de Seguridad de la Información (GRI) para responder ante “contingencias operativas” y evitar su propagación.
De aprobarse la propuesta, el GRI estaría conformado por la SHCP, Banxico, la CNBV y la PGR. El sector estaría comprometido a informar incidentes de seguridad de la información al regulador bancario.
Lo que no queda claro es cuáles serían las violaciones de seguridad que deberán reportarse, pues actualmente queda a discreción de cada firma.
La CNBV declinó hacer comentarios sobre los avances del proyecto, por el momento.
“Basados en la Ley de Instituciones de Crédito, la CNBV supervisa las operaciones de los bancos. Los bancos, a su vez, tienen obligación de cumplir con la autoridad pero no les avisan de cada cosa que pasa. No es que estén ocultando información, es su forma de operar”, dijo José María Manzanilla Galaviz, catedrático y consultor independiente en temas de derecho bancario.
El criterio de las instituciones financieras para considerar estos ataques de interés público o privado es la relevancia del ataque en función a su tamaño y al daño detectado, señaló el experto.
A esto se suma que las instituciones bancarias no tienen obligación de notificar a la PGR, ni a las autoridades de procuración de justicia locales en caso de que exista alguna vulneración. Tampoco requieren hacerlo para cobrar su póliza de seguros.
“Lo ideal es que presenten la denuncia, pero en ese sentido el seguro no lo obliga. Se recomienda que se presente la denuncia para que si caen los responsables, tengan evidencia de que se lo robaron y se pueda recuperar el dinero”, dijo Octavio Careaga, de THB.
En la realidad, es poco frecuente que los bancos realicen denuncias. En lo que va del año se han interpuesto tres denuncias de bancos por este tipo de delitos, dijo en agosto Francisco Asiain Álvarez, director de Ciberseguridad de la Unidad de Investigaciones Cibernéticas de la Agencia de Investigación Criminal de la PGR, en el Foro de Ciberseguridad organizado por Mastercard.
En 2017 no se registraron denuncias por el tema, informó.
Tecnología sin ley
En medio del caos por la vulneración a las instituciones financieras, la falta de regulación en ciberseguridad y la ausencia de protocolos institucionales se revelaron como los grandes obstáculos para hacer frente a la crisis.
La Estrategia Nacional de Ciberseguridad “son los pañales para empezar a aplicar una estrategia de seguridad.
Aunque es un buen inicio, necesita el seguimiento adecuado y que realmente se planteen las necesidades de las organizaciones mexicanas”, explica Ignacio Sotelo, quien ha seguido el tema desde la parte de las tecnologías de la información y aboga por una legislación transversal.
El experto también considera adecuado invertir en centros de respuesta ante estas amenazas informáticas, que puedan intervenir de manera oportuna cuando se dé el próximo ataque (porque sí, habrá más).
A nivel internacional, ya se realizan esfuerzos en la materia.
China implementó una ley de ciberseguridad, que entró en vigor desde junio de 2017, que impone requisitos superiores al estándar global y obliga a los participantes del sistema financiero a utilizar infraestructura avalada por certificaciones internacionales.
En Singapur se discute una ley en la materia que obligaría a los servicios financieros a reportar todos los incidentes de seguridad y daría acceso a las autoridades a sus sistemas, en caso de ser relevantes en una investigación.
Por otra parte, la Unión Europea tiene desde este año regulaciones más estrictas para la protección de datos.
También se han impuesto sanciones a firmas involucradas en ciberataques. En octubre, el banco británico Tesco Bank fue multado con 16.4 millones de libras por no haber protegido a sus clientes durante un ataque en 2016 que fue “totalmente evitable”.
En este caso, el argumento del regulador financiero de Reino Unido fue que la institución “no demostró la habilidad, cuidado o diligencia necesarios para proteger a sus usuarios de cuentas corrientes”.
En México hay quienes consideran esperar para una regulación, a fin de no cometer errores que entorpezcan el sistema financiero.
“La autoridad debe supervisar y ponerse de acuerdo con los participantes. Hacer una regulación específica en este momento no es posible ni realmente va a ayudar en nada”, debido a que el mercado no está suficientemente maduro, expuso Manzanilla Galaviz.
Mientras la discusión avanza en México, dar respuesta a todas las interrogantes del caso SPEI se vuelve más apremiante, en especial porque las únicas dos certezas que se tienen es que este ataque tomó a todos los participantes del sistema financiero por sorpresa y que, más temprano que tarde, habrá una nueva brecha de seguridad.
Solo falta ver que el sector resulte preparado cuando llegue ese momento.
