El hackeo de la confianza

En 4 semanas, los hackers vulneraron el sistema financiero mexicano y se robaron 300 millones de pesos.

La operación fue como de película: sincronizada, quirúrgica y diseñada para ser tan dispersa que fuese muy difícil detectarla. En 4 semanas, los hackers vulneraron el sistema financiero mexicano y se robaron 300 millones de pesos.

La cantidad no es tan relevante como lo que el hecho significa: una vulneración a nivel de la seguridad nacional que representa el estratégico sistema de pagos de todo un país y el hackeo de la confianza de millones de usuarios que han tardado años en habituarse a las operaciones electrónicas.

Si bien la intromisión no fue directamente al Sistema de Pagos Electrónicos Interbancarios, que es algo así como la tubería que provee el Banco de México para realizar las transacciones entre las instituciones financieras, sí encontraron la manera de traspasar los protocolos de seguridad a través de por lo menos tres proveedores de los sistemas tecnológicos que utilizan los bancos para realizarlas. El resultado termina siendo el mismo e igual de grave.

¿No se supone que los sistemas de seguridad deban estar siempre uno o varios pasos adelante? En el mundo hay grupos de hackers tan articulados como Lazarus, originado en Corea del Norte, que ha atacado instituciones financieras en países como Brasil, Corea del Sur, India, Rusia y Vietnam. Es señalado como el autor del ransomware WannaCry que, en mayo de 2017, secuestraba sistemas enteros encriptándolos y exigía rescates en Bitcoins

En todo el mundo, las instituciones financieras son uno de los principales blancos de ataque de los ciberdelincuentes para hacerse de recursos y, aun así, el Banco de México creo su dirección de ciberseguridad apenas el pasado lunes 14 de mayo aun cuando el SPEI opera formalmente desde 2004.

La experiencia internacional ha arrojado varias lecciones que no se observaron. Apenas en 2016, el Banco Central de Bangladesh sufrió un hackeo que ocasionó el robo de 101 millones de dólares. El ilícito estuvo oculto por un mes hasta que fue descubierto por una casualidad tan inverosímil como un error ortográfico. Después de eso, el director del banco, Atiur Rahman fue despedido por incompetente.

Poco antes, en 2012, un desempleado admitió que penetró el sistema informático interior del Banco de Francia por error. Un tribunal de la ciudad de Rennes lo absolvió tras ser acusado de hackear la página del servicio de deudas de la institución. Así de vulnerable es en ocasiones algo tan delicado como el sistema financiero de un país.

El modus operandi utilizado en México es nuevo, pero nos muestra varios puntos. Las investigaciones deberán arrojar si el descuido en los protocolos de seguridad es de las instituciones financieras o de sus proveedores de sistemas, pero más allá de eso, responder preguntas de mucho mas fondo como si se trató de una banda de ciberdelincuentes internacional o mexicana, o qué tanto involucró a empleados de las instituciones financieras, lo que abre el cuestionamiento del rigor en los controles de confianza de ese personal.

Las primeras investigaciones están detectando cuentas donde se depositaron los recursos del ataque aun en bancos que no fueron objeto de los desvíos, algunas probablemente de los ciberdelincuentes y otras de cómplices a quienes prometieron un porcentaje de comisión a cambio de recibir el dinero en su cuenta, retirarlo y entregarlo en efectivo.

Evidentemente, una red compleja en su construcción y operación que genera desconfianza, inestabilidad y siembra miedo. ¿A quién o quiénes beneficiaría? Es pregunta.

ADRIANA DELGADO DIRECTORA DE AZTECA OPINIÓN @ADRIDELGADORUIZ