Los ataques cibernéticos que buscan la extracción de recursos o información en instituciones del sector bancario y financiero, como el que le ocurrió al Banco Nacional de Comercio Exterior (Bancomext), siempre dejan rastros, porque su complejidad supone un largo camino en el que los atacantes superan etapas de su estrategia delictiva dentro de la red que comprometen. “En este caso, seguramente hubo una sintomatología que no fue detectada a tiempo", dijo Carlos Ayala, especialista en Seguridad de NETSCOUT Arbor.

El 9 de enero pasado, Bancomext anunció a través de Twitter que suspendió sus operaciones de manera preventiva debido a un problema en su red informática interna. Un día después, a través de un comunicado, la institución bancaria admitió que había sido víctima de una afectación en su plataforma de pagos internacionales. Hasta el momento no ha detallado esta información respecto de qué tipo de ataque experimentó o quienes fueron los responsables. PGR y Policía Federal abrieron una investigación sobre el ataque.

De acuerdo con Carlos Ayala, existen siete oportunidades de que un atacante sea detectado en lo que se llama "cadena de progresión de la amenaza". "Hemos encontrado en diferentes ataques a instituciones financieras rastros de las etapas de intromisión de la amenaza: algunos los encontramos en la fase de comando y control, comunicándose con botmasters, otros acababan de explotar una vulnerabilidad”, dijo.

De acuerdo con el especialista, entre los principales vectores de ataque a las instituciones financieras se encuentran diferentes tipos de ransomware y troyanos, como Zeus y Betabot, así como redes de bots que se usan para realizar ataques DDoS. De hecho, según el reporte NetScout de NETSCOUT Arbor, entre los principales objetivos de ataques DDoS se encuentran las instituciones financieras a nivel mundial. En México, 92% de los ejecutivos que respondieron a la encuesta del Reporte Global de Riesgo de Kroll, dijeron haber experimentado algún tipo de incidente de seguridad en el último año.

“Lo importante es que estas piezas de malware ayudan a instrumentar y orquestar campañas ofensivas. Operaciones que llevan tiempo, porque han sido muy bien estudiadas y estructuradas. No son ataques espontáneos que sucedan de un día para otro”, dijo Ayala.

Bancomext detalló en su comunicado que gracias al protocolo y la oportuna reacción de las áreas responsables de la operación y con el apoyo de los bancos y las autoridades correspondientes y el Banco de México (Banxico), se logró contener el hecho. En entrevistas posteriores al incidente con diversos medios de comunicación, el director de Comunicación Social del banco, Efrén García, dijo que se podía afirmar categóricamente que no hubo pérdidas a partir de la vulneración.

“Se logró evitar a tiempo esa situación, afortunadamente podemos afirmar categóricamente que no hubo pérdidas, que si esa era la intención, se actuó a tiempo para que eso no sucediera”, dijo el funcionario citado por Grupo Reforma.

Para Carlos Ayala, sin embargo, las instituciones financieras en México no están preparadas para hacer frente a este tipo de ataques. “En materia de ciberseguridad no fracasa quien es comprometido, sino quien no tiene una pronta capacidad de respuesta. Este ataque se pudo haber evitado si se hubieran implementado mejores prácticas, mejor monitorización y apego a normas. Por eso me parece que no estuvieron a la altura del ataque que sufrieron”, dijo el especialista.

