Ataque a sitio de Banxico

29 de julio 2020 | 5:00 am

Por: Marisol Morelos y Carmen Luna.

Banco de México, una de las instituciones con mayor prestigio en el país, no solo tiene que preocuparse por el rumbo de la inflación, sino por la seguridad cibernética, luego de que el 7 de julio, su portal de internet sufrió un intento de vulneración.

Lo anterior puede mandar señales negativas, ya que Banxico es uno de los reguladores del sistema financiero y vigía del Sistema de Pagos Electrónicos Interbancarios (SPEI). En 2018, las conexiones de más de una docena de instituciones financieras a este sistema fueron atacadas, lo que costó por lo menos 300 millones de pesos.

El intento de ataque del 7 de julio se trató de una denegación de servicios (DoS) que provocó que el sitio web colapsara 30 minutos. Un DoS sucede cuando numerosos flujos de información provocan que el servidor no pueda atender las solicitudes, por lo que el servicio es inaccesible a los usuarios.

Los atacantes conocían como estaba la infraestructura del sitio, algo que es público. Existen herramientas que dicen cómo está la infraestructura pública del sitio web

dijo Rafael Bucio, director de TPX, empresa de hacking ético.

Comentó que el incidente muestra que este tipo de información no debería ser tan pública si se trata del sitio de una institución como Banxico. Y considera que hay buenas prácticas que ayudan a ocultar la información del sitio, como las direcciones IP.

El incidente a Banxico ocurre en un contexto en el que también varios portales del gobierno han sufrido intentos de vulneración y en momentos en los que, los ataques cibernéticos a empresas, instituciones gubernamentales y personas a nivel mundial han aumentado hasta 400% en los meses de la contingencia sanitaria.

El portal de Banxico está reprobado en ciberseguirdad. Hay dos cosas que se hacen como auditoría externa, uno, el análisis de vulnerabilidades y dos, las pruebas de penetración, lo realiza también la Auditoría Superior de la Federación, y toda la banca pública está reprobada

comentó Carlos Estrada, especialista de Vestiga Consultores.

Estrada indicó que esto es reflejo de los ataques que sufrieron el SPEI y Bancomext, este último ocurrido a inicios de enero de 2018 y que le habría costado unos 30 millones de dólares.

En la tercera entrega de la Revisión de la Cuenta Pública 2018, la Auditoría Superior de la Federación señaló que, en su rol de operador de los sistemas de pago, Banxico carece de una normativa en materia de ciberseguridad y de gestión del riesgo operacional.

Ha habido múltiples ataques cibernéticos contra grandes instituciones públicas en México en el último año, incluido el ataque de ransomware que golpeó a Pemex y el ataque a la Secretaría de Economía. Cada vez que un ataque golpea a instituciones públicas, revela algo preocupante sobre el panorama actual de amenazas y las estrategias de seguridad de las organizaciones

dijo Eloy Ávila, CTO de la firma Darktrace.

Adicionalmente, México no cuenta con una ley dedicada al delito cibernético, y aunque el artículo 211 del Código Penal prevé el delito informático, estas disposiciones son limitadas y dejan varias lagunas, lo que dificulta la lucha contra el cibercrimen, de acuerdo con el ‘Reporte Ciberseguridad 2020’ del BID y la Organización de Estados Americanos (OEA).

El documento también indica que México debería centrarse en mejorar el despliegue de estándares de seguridad cibernética y controles técnicos, así como fomentar el desarrollo de un mercado de ciberseguridad.

En junio, Banxico hizo varias recomendaciones a las instituciones financieras para evitar ataques cibernéticos en momentos en que algunas empresas han tenido que implementar el trabajo remoto para disminuir el ritmo de contagios del COVID-19.

El banco central también dijo que ha desarrollado esquemas de continuidad operativa sobre las infraestructuras que opera, los cuales, le permiten mantener la operación con un requerimiento mínimo de personal presente en sus instalaciones.

“Trabajando vía remota aumentan las vulnerabilidad porque en la casa, los ingenieros no tienen el mismo nivel de protección de los bancos, su internet es de menos calidad, no tienen todas las actualizaciones de los programas”, dijo Estrada

Aunque de acuerdo con Rafel Bucio, Banxico cuenta con uno de los mejores proveedores de seguridad, la multinacional Fortinet. Pero considera que no solo se trata de instalar y configurar, sino de una constante investigación.

La mayoría de sitios utilizan servicios que ocultan las IP y en este caso Banxico no. Son sistemas públicos que son vulnerables a este tipo de ataques y para no serlo se necesita una infraestructura de seguridad como firewalls. A veces lo que se hace es subir información del servidor que despiste a los atacantes

dijo Bucio.

El DoS no puede ser considerado como un hackeo, debido a que al realizar un hackeo el activista o el cibercriminal, debe acceder al sistema que se especifica y hacer modificaciones.

A inicios de año, la Auditoría Superior de la Federación recomendó a Banxico considerar en su plan de respuesta a incidentes de seguridad, escenarios posibles de actuación ante eventos de participantes que pudieran afectarlo, así como a otros participantes.

“Los atacantes no se quedan tranquilos con un solo ataque. Saben cómo funcionan los sistemas y buscan tirarlos”, dijo Bucio.

Estrada comentó que, el hecho de que la industria financiera, una de las que más invierte en ciberseguridad en México tenga tantos problemas, indica que habrá más incidentes antes de que acabe el año, como puede ser a estructuras críticas, como la CFE o Conagua.

A nivel mundial, México ya es el tercer país que sufre más ataques cibernéticos, que en todo el mundo tienen un costo de por lo menos 445,000 millones de dólares.

Eloy Ávila indicó que, la mayoría de las organizaciones aún adoptan un enfoque heredado: se centran en evitar que las amenazas conocidas entren a su organización con firewalls, puertas de enlace de correo electrónico y soluciones antivirus.

Si bien estas tecnologías tienen roles clave en un programa de seguridad completo, estos tres enfoques no pueden detectar ataques nuevos o específicos.