El caso SPEI expone deficiencias en ciberseguridad financiera de México
Controles relajados, fallas humanas u omisión de procesos para proteger los sistemas cibernéticos al interior de las entidades bancarias mexicanas son algunas de las causas que analistas expertos en ciberseguridad apuntan como razones detrás del éxito del hackeo a la infraestructura de los participantes del sistema de pagos electrónicos SPEI en México durante los últimos días de abril.
Si bien en México existen documentos y procesos de buenas prácticas para salvaguardar los sistemas electrónicos del sector financiero, e incluso una Estrategia Nacional de Ciberseguridad, analistas coinciden en que dichas medidas y recomendaciones solo se han enfocado en atacar los síntomas y no el problema de raíz, lo cual terminó por abrir la puerta a un ciberataque como el caso SPEI.
“Aquí se ven dos tipos de fallas: la institucional y las de infraestructura. La seguridad de la información ha buscado arreglar síntomas y no problemas. Se gastan millones de dólares en esto, pero no se ha hecho correctamente”, consignó Daniel Molina, consultor senior de ciberseguridad en Crompton Group LLC, en entrevista con Expansión.
A pesar de que los reportes en inversión de ciberseguridad dictan que el sector financiero es el más avanzado en inversión en protección de datos y la aplicación de normativas en el país, los analistas consultados por Expansión argumentaron que una de las razones para que el ataque fuera exitoso -robando aproximadamente 400 millones de pesos de diversos bancos- es el uso de sistemas electrónicos, como SPEI, en un ambiente sin los suficientes controles.
“El sistema de SPEI fue diseñado para correr en una red cerrada y sin internet. Se adaptó este sistema para que pudiera usarse con internet y no se consideró la verificación e integridad punto a punto del sistema, porque no era su diseño inicial”, explicó Molina.
nullEste sistema, que se implementó entre 2005 y 2009 en Banxico, originalmente recaía en seguridad basada en hardware y no estaba dispuesta para funcionar en ambientes 100% conectados.
El consultor agregó que aunque tras este caso Banxico ha dicho que se creará un ente que vigile los procesos de ciberseguridad de la banca nacional, lo que hay que hacer no es poner un nuevo ente de vigilancia, sino exigir el uso de un sistema operativo exclusivo para el sector bancario.
Lee también: Este es el nuevo vigilante de la ciberseguridad en México
“El sistema operativo que se usa para el sistema financiero no puede ser el mismo que se usa para descargar Pokémon Go. (...) Hasta ahora los bancos han utilizado las mismas herramientas de conectividad que usamos para ver Netflix, y no, se necesita un sistema exclusivo. No se puede correr Windows en un banco y se hace solo por que es más barato pero no es lo correcto”, dijo Molina.
Actualmente diversos bancos y sus cajeros electrónicos continúan utilizando sistemas legados como Windows XP, software al que incluso Microsoft dejó de darle soporte de seguridad en 2014.
Aunado a esto, Rodrigo Orenday, abogado de la práctica de Tecnología, Medios y Telecomunicaciones de Santamarina y Steta advirtió que uno de los siguientes pasos para proveer de más seguridad al sistema es que los bancos tengan el mandato ejecutivo de compartir datos e informar si son víctimas de un ciberataque, como ocurre en Estados Unidos, no solo para este tipo de instituciones, si no para cualquier tipo de empresa.
Actualmente en el Código Penal Federal, los artículos 211 BIS 4 y 211 BIS 5, prevén sanciones para este tipo de vulnerabilidades; sin embargo, los bancos no están obligados a compartir este tipo de información.
“No hemos visto el final y lo que falta es compartir datos, como en Estados Unidos, que sea por decreto presidencial que se comporta lo que pasa en sus sistemas para que los más avanzados puedan encontrar la falla y compartir experiencias”, coincidió Molina.
Recomendamos: Autoridades financieras alistan protocolo de seguridad tras ataque
¿Cómo se hizo el hackeo?
A pesar de que con la información disponible al día de hoy, los analistas, argumentan que no es posible fincar responsabilidades por el hackeo, expertos del CERT Mnemo, uno de los cuatro Centros de Equipo de Respuesta ante Emergencias Informáticas que existen en México y que provee servicios a privados, explicó que ya se tenía registro de anomalías cibernéticas en el sector desde octubre de 2017.
Eduardo Espino, director de seguridad de Mnemo CERT, apuntó a que los responsables estuvieron dentro del tráfico de estas instituciones por lo menos durante seis meses y que consiguieron ingresar a los mismos debido a huecos en las capas de seguridad.
Espino relató que desde octubre de 2017 se reportaron anomalías cibernéticas como creación de cuentas de banco falsas, infiltración en el tráfico, detectado por movimientos laterales y permisos otorgados posiblemente por alguien interno, lo cual permitió el acceso a otras máquinas, hasta llegar a los sistemas del corazón bancario y el sistema SPEI.
Una vez que los hackers ingresaron a las máquinas indicadas para mover el dinero que querían, lo que hicieron fue modificar los factores de autenticación que operan los tokens, y así disponer de él.
“En esta etapa lo que hacían era materializar los ataques hacia las cuentas que habían creado en un inicio; cuentas que estaban abiertas con usurpación de identidad”, dijo.
Recomendamos: Esto es lo que sabemos del hackeo a instituciones financieras
Espino dijo que tanto los bancos como las autoridades fueron notificados de las anomalías; sin embargo, no se llevó a cabo una mayor investigación puesto que no se tuvo un impacto económico en su momento.
“Sí, fueron alertados pero no tenían los focos rojos hasta hace dos semanas. Se emiten otras alertas de este tipo regularmente y no todas llegan a tener impacto, solo se ven hasta que sí escalan”, dijo Espino.
Tan solo en abril de 2018 se registraron 62 millones de intentos de hackeo al país, según cifras de Mnemo CERT.
Molina agregó que este comportamiento anómalo registrado en los sistemas del país guarda parecido con el hackeo al sistema de pagos electrónicos SWIFT en Bangladesh en 2016. Este incidente costó al Banco Central de Bangladesh 81 millones de dólares.
“Hay ciertos indicadores de compromiso que son los mismos que como lo que pasó en Bangladesh pero eso no me da lo suficiente para decir que es el mismo atacante”, dijo Molina.
De cara a próximas semanas, los analistas, recomendaron a los usuarios tener especial cuidado con la información bancaria y correos electrónicos pues si bien este ataque se dirigió, por ahora, solo a los bancos podría extenderse en otras etapas a usuarios.