El ciberataque que vulneró los sistemas de seguridad de la banca mexicana se dio a la tarea de dejar pérdidas cercanas a los 400 millones de pesos.
Apesa, Lgec Sistemas, Integración y Enlace y Práxis son algunos de los proveedores financieros privados, que ofrecen en México el software que conecta a los bancos con el Sistema de Pagos Electrónicos Interbancarios (SPEI).
El Banco de México (Banxico) pudo detectar que fue en este tipo de servicios donde la banca se vio vulnerada.
Los hackers operaron de la siguiente manera:
Cuando un cliente realiza una orden de pago electrónico, ésta debe ser validada por el sistema SPEI antes de llegar a la cuenta de destino, pero el hackeo ocurrió justo antes de que la operación llegara al sistema SPEI. Esto provocó que se generaran dos instrucciones de pago: La legal -del cliente- y una fraudulenta.
Las dos órdenes de pago fueron validadas por SPEI, pero llegaron a cuentas distintas: la del cliente, a su destinatario, y la fraudulenta, a una de las cuentas que los hackers tuvieron a su servicio.
Sin embargo, la orden de pago fraudulenta no tenía cuenta de origen, porque no existía, pero sí se conocía el banco que aparentemente la autorizó.
Es por eso que el costo del fraude fue absorbido por el banco emisor y no a los clientes.
Para cometer el fraude, los hackers utilizaron al menos 150 cuentas bancarias. El 80 por ciento fueron creadas recientemente, el restante 20 por ciento corresponde a cuentas antiguas.
El presidente de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), Mario di Costanzo, dijo que este ciberataque fue como si se hubiera realizado un asalto a una o varias sucursales bancarias, como sucedía hace 20 años, como confirmó el Banco de México, “pero con la con la salvaguarda que el dinero de los usuarios está a salvo“.
Uno de los directivos de las empresas proveedoras que conectan los bancos con SPEI explicó que el fallo no lo tuvieron en su software, sino que las órdenes vinieron directamente de los bancos hackeados. Teoría que se determinará con una investigación forense.
Cuatro bancos ya presentaron denuncias por este ciberataque, por lo que la Procuraduría General de la República (PGR) ya inició una carpeta de investigación.
Se informó que cinco instituciones financieras fueron las que resultaron afectadas por el ciberataque.
Se trata de los bancos Banorte, Banjercito, Inbursa, la casa de bolsa Kuspit, así como una caja de ahorro.