El hackeo financiero pudo provenir "de adentro", según proveedores
Algunos de los proveedores que conectan a las entidades financieras con el Sistema de Pagos Electrónicos Interbancarios (SPEI) opinan que el hackeo a cinco instituciones financieras fue orquestado desde dentro del sistema. Por ello, ahora blindan su software.
De acuerdo con una fuente cercana a la operación, el software de al menos uno de los proveedores que conectan a una treintena de entidades financieras con el SPEI ya se actualizó y la contraseña cifrada no se compartió con los empleados de las instituciones financieras.
Lee: El Banco de México de detalla cómo fue el ataque cibernético ligado al SPEI
“Liberamos nueva versión a prueba de balas, que asume que hay un ladrón desde adentro de la institución”, señaló la fuente, que prefirió el anonimato pues argumentó que las investigaciones están en curso. “Para vulnerar la aplicación tuvieron que hacerlo desde adentro del banco o del sistema”, agregó.
nullPor un periodo de tres semanas, al menos cinco instituciones financieras registraron órdenes de pago fraudulentas en sus conexiones con el SPEI a partir de cuentas no reconocidas . El monto retirado por este ciberataque suma cerca de 300 millones de pesos (mdp), de acuerdo Alejandro Díaz de León, gobernador del Banco de México (Banxico).
De acuerdo con fuentes cercanas a la investigación, que aún no concluye, entre las instituciones afectadas se encuentran Banorte, por un monto de 150 mdp; Inbursa, por 180 mdp, y Casa de Bolsa Kuspit, por 40 mdp.
Además de estas entidades financieras, el ciberataque también dañó a Caja de Ahorro Las Huastecas y a otro banco cuya identidad aún no se ha corroborado.
El dinero de este robo fue repartido por los hackers en cientos de cuentas de diferentes bancos para luego retirarlo.
¿Quiénes son los proveedores?
Estas instituciones financieras compartían a tres proveedores que las conectaban al SPEI. Dos de ellos son LGEC y Apesa. (Expansión no pudo aún corroborar el nombre del tercero).
Lee: ¿Qué hacer si tu pago por SPEI falló?
“Los mensajes deben ir firmados entre el ‘core’ bancario y el aplicativo. El proveedor tiene que procesar la firma, pero el que debe firmarlo es el participante”, explicó Fernando Gutiérrez, director general de LGEC, que tiene a más de 30 clientes. “Nuestros aplicativos viven dentro de la infraestructura del banco, y yo no sé si el banco lo está firmando o no porque no tengo acceso”, agregó en entrevista telefónica.
Apesa no respondió a la petición de entrevista de Expansión.
Otros proveedores que ofrecen conexión al SPEI son Praxis, Conecta, SIES Soluciones de Software y Sistema Cooperativo de Medios de Pago (Siscoop).
De acuerdo con la última circular de operación del SPEI que emitió Banxico hace un año, las instituciones financieras son las responsables de observar que los proveedores cumplan con los requisitos de certificación.
Lee: Banxico plantea ampliar horarios de operación tras falla en pagos vía SPEI
“Puedes tener muy buena tecnología, pero siempre necesitarás una contraseña, y si no está resguardada, por mucha tecnología que metas, estará el error humano”, dijo Jorge Abud, director regional en México de Praxis, empresa que tiene 34 clientes que conecta al SPEI y que no fue vulnerada.
De acuerdo con estimaciones de la consultora Garner Group, siete de cada 10 casos de fraudes se ejecutan desde adentro de las instituciones, a nivel global.