El ataque reconocido por el Banco de México (Banxico) en la conexión del Sistema de Pagos Electrónicos Interbancarios (SPEI) evidencia que había una puerta abierta, un punto vulnerable en la seguridad crítica que podría ser atribuible sólo al banco central, concuerdan especialistas en auditoría de seguridad de las consultorías BIT9 y CSI.

En conversaciones separadas, advierten que las instituciones financieras, particularmente los bancos, suelen ser sumamente escrupulosos en los temas de ciberseguridad.

“Seguramente el SPEI sí es sofisticado y moderno a nivel tecnológico, pero la seguridad de información no tiene que ver con lo tecnológico. El punto de ataque pudo presentarse por negligencia o un factor humano que vulneró al sistema”, advirtió Israel Gómez, gerente de capacitación en Ciberseguridad de la consultoría BIT9.

Mario Mantecon, manager de cuenta en MTP, Digital Business Assurance, coincide al explicar que muchas instituciones financieras como Bancomer, Santander, Banca Mifel y algunas aseguradoras los contratan para hacer simulacros de hackeo ético, lo que les permite cerrar las puertas abiertas de sus sistemas y protegerlos de forma preventiva de un ataque.

El especialista de la consultoría BIT9 explica que los organismos públicos, incluso las autoridades, son quienes suelen ser más confiados e invierten menos en sistemas de seguridad.

“Es tan grande la vulneración —al nodo de conexión al SPEI— que seguramente el ataque no vino desde fuera. Concediendo la posibilidad de que vino de fuera, tuvo que existir alguien adentro —en los bancos— que le diera cierta información de acceso”, dijo.

Difícil que origen sea sólo externo

Aparte, Jorge Osorio, director de servicios de consultoría en CSI, consultores en sistemas de la información, dice que es difícil pensar que el ataque fue perpetrado sólo por delincuentes externos.

Considera que, en la planeación, pruebas previas y en el ataque, intervinieron personas que conocían perfectamente la vulnerabilidad del sistema de conexión al SPEI.

Descartan estimar el tiempo que se tomará la auditoría forense que actualmente está en marcha en el SPEI para conocer el origen, la forma de operación y el destino del ataque, pues advierten que, una vez que se tengan los resultados, la responsabilidad de lo que venga después estará en el auditor externo.

El experto de CSI admite que, en el trayecto de esta especie de necropsia, tendrán que rastrear si ha quedado “sembrado” algún programa latente de hackeo que pueda reactivarse en el futuro ante una orden.

Incierto, estatus del ataque

Los expertos en auditoría de sistemas coinciden en que carecen de elementos suficientes para poder afirmar que el ataque ha terminado o que está en pausa.

El gerente de BIT9 afirma que en los bancos hay sistemas de seguridad mucho más robustos, que el gobierno invierte poco en sistemas y que seguro es muy inferior su inversión a la que realiza el sector privado.

Proveedores del aplicativo de conexión al SPEI operan sin afectación, ¿vulneraron entonces a los bancos, caja de ahorro y casa de bolsa?

No se vulneró a los bancos.

¿Y al SPEI?

Sí, al sistema de switcheo.

[email protected]