Lo que necesitas saber del ciberataque a SPEI
Imagínense que es 27 de abril, un viernes medio raro, hay un lunes laboral en medio del puente escolar, es cierre de mes, cierre de quincena, mes en que se hacen los pagos de impuestos por declaraciones anuales. Todo indica que es un buen día para molestar a mucha gente. Pues sí, ese día fue el ciberataque a SPEI.
Lo que pasó fue que los atacantes vulneraron las conexiones de las instituciones con el SPEI, enviando instrucciones de pago fraudulentas a partir de cuentas inexistentes, afectando la cuenta transaccional de los participantes.
En otro idioma, es como si yo le envío un pago a alguien que está en uno de los bancos afectados y una vez que mi dinero sale de mi cuenta, el pago se sube a un tren de SPEI. Después, el Banco de México centraliza la información y da la instrucción de que el dinero puede llegar a donde está la otra persona, pero a la hora de que el tren quiere llegar, nadie le responde ni le abre la puerta. Obviamente miles de personas están enojadas porque no les llega su dinero.
Antes de seguir, tienen que saber que SPEI es uno de los mejores del mundo, es un sistema diseñado por Banxico que no lo tiene ni Obama, literal. Una transferencia en el sistema de pagos de USA puede tardar varios días, su sistema tiene 44 años. En cambio, en México, el SPEI nació en el 2004 y permite realizar pagos en tiempo real las 24 horas del día, los 365 días del año con un promedio para liquidar un pago de 1.9 segundos. Cuando vean baches, tráfico y todo lo malo del país, pueden pensar en este orgullo mexicano y sentirse un poco mejor .
Todavía no se tiene toda la información para decir al 100% cómo estuvo la jugada, pero algunos piensan que pudo haber sido por un ataque de denegación de servicio distribuido (DDoS), que es un intento de hacer que un servicio en línea no esté disponible abrumándolo con tráfico de muchísimas fuentes, como si muchas personas quisieran entrar por la misma puerta, al mismo tiempo. Al final nadie puede entrar.
Algunos piensan que no fue un DDoS, pues para hacer el robo, los hackers habrían tenido que enviar muchas órdenes de transferencia al SPEI, pues que también tuvieron que haber tomado el control de los sistemas del banco.
Otra opción es que sí se haya registrado un ataque DDoS, pero solo para distraer a los bancos en cuestión, y así, los delincuentes pudieron aprovechar la vulnerabilidad de algunos de los servidores de las instituciones financieras que están conectados al SPEI y crearon cuentas falsas para realizar transferencias electrónicas.
Este ataque fue muy sofisticado pues los cibercriminales no apuntaron como objetivo a una empresa, sino a una problemática de seguridad, esto es súper relevante porque quiere decir que tuvieron la capacidad de hacer un diagnóstico que les permitió identificar a aquellas instituciones que no tenían actualizados sus sistemas de conexión con el SPEI.
Ya se identificó que los atacantes vulneraron los sistemas informáticos con mucha paciencia y estudiaron durante meses cuáles eran los parámetros de las transferencias y qué criterios detonaban las alertas, además de robar credenciales digitales y passwords. Para terminar, esperaron un día festivo para realizar las operaciones en un rango de tres horas. Robaron aproximadamente 300 millones de pesos de 3 bancos y una casa de bolsa. (Es como La casa de papel pero en mexicano y en digital).
Los más grave es que los ladrones ya están adentro del sistema, por lo que ahora toca arreglar la cerradura de la casa para que no se pueda abrir por dentro.
Escuché en el radio la metáfora de que el delincuente puede ser del tamaño de una polilla, por lo que se tiene que revisar ladrillo por ladrillo de los sistemas y modificar autorizaciones y parámetros. Nunca había pasado algo así .
Solo me queda decir, aunque suene fuera lugar, que no hay que asustarse. Los bancos tienen un seguro para este tipo de robos. El mayor riesgo es la incertidumbre y la pérdida de confianza porque cuando los ahorradores sienten la urgencia de correr al banco para retirar su dinero, comienza la espiral mortal económica que puede extenderse al resto del sistema financiero si no se contiene a tiempo.