Algunas instituciones del sistema financiero en México sufrieron una campaña de ciberataques, a principios del 2017, que afectó los aplicativos y la infraestructura de tecnologías de la información que dan soporte a los servicios de banca en línea, y que contó con elementos similares a los que se describen en la información que se conoce hasta el momento sobre el hackeo a las instituciones bancarias que afectó la operación del Sistema de Pagos Electrónicos Interbancarios (SPEI) las últimas semanas.   

De acuerdo con Eduardo Espina, director de Ciberseguridad de Mnemo-CERT, ciertos elementos y tendencias de esta campaña de ataques de ciberseguridad que ocurrió durante varios meses del 2017 tiene elementos en común con el ciberataque ocurrido desde el pasado 27 abril. La nueva afrenta a los bancos fue calificada como un ataque que " no tiene precedentes en el país", de acuerdo con Alejandro Díaz de León, gobernador del Banco de México. 

“No afirmamos categóricamente que se trate del mismo caso o de la misma forma de operación pero hay elementos que parecieran indicar que el año pasado se dieron una especie de ensayos que tal vez estén relacionados con lo ocurrido”, dijo Eduardo Espina en entrevista con El Economista.

La detección de vulnerabilidades a nivel aplicativo y sistema operativo, los movimientos laterales y la dispersión de fondos a través de sistemas de transferencias interbancarios son los elementos en común entre esta campaña que Mnemo dio a conocer a sus clientes en octubre pasado y el hackeo ocurrido desde finales de abril en el sistema financiero mexicano.

De acuerdo con la información difundida por Banxico y por las instituciones bancarias afectadas, los recursos defraudados, que oscilan entre los 400 y los 800 millones de pesos, pertenecían a las entidades financieras y no a sus clientes, algo que también resulta similar a lo ocurrido durante el 2017, ya que las cuentas de los usuarios sólo eran utilizadas como trampolín para la dispersión de fondos.

“Lo que observamos durante la campaña es que se afectaban dos tipos de cuentas, las de los usuarios y las cuentas concentradoras de las instituciones. La mayoría de las veces las cuentas de los usuarios sólo eran utilizadas como trampolín para dispersar los fondos”, dijo Espina.

Modus operandi

El modo de operación de la campaña de ciberataques dada a conocer por Mnemo CERT es el que sigue: los ciberdelincuentes abren primero cuentas bancarias en la institución objetivo para reconocer la operación de los servicios de banca en línea. Al mismo tiempo, son abiertas cuentas bancarias en otras instituciones para que sirvan como destino de las transferencias no reconocidas.    

Después viene la explotación de vulnerabilidades en los sistemas e infraestructura de TI expuestos a internet de las instituciones financieras objetivo, así como la instalación de puertas traseras en los sistemas comprometidos, lo que aumenta las capacidades de los atacantes, que a partir de ese momento pueden realizar acciones como la ejecución remota de comandos, el análisis del tráfico de red y del flujo de operaciones dentro de los sistemas de la entidad y la modificación de saldos, cuentas de correo y estados de cuenta en las bases de datos del sistema de banca en línea.       

De acuerdo con el especialista, si bien explotar la vulneración abarca a componentes tecnológicos, como es el caso de la creación de puertas traseras, también incluye un componente humano que entre en contacto directo con la infraestructura de la institución afectada.     

“Sabemos que hubo participación interna porque había un entendimiento profundo de las reglas operativas y de las reglas de negocio. No se puede concebir de otra forma, porque hay información de las instituciones que no es pública”, dijo Espina.

La vulneración permite también escanear las redes internas que son alcanzables desde el aplicativo que fue comprometido y facilita el compromiso de otros sistemas que ayuden a realizar el fraude.

Los ciberdelincuentes sustituyen luego la dirección de correo electrónico de un usuario legítimo por una de uso temporal que no requiere registro para su uso y que no solicita credenciales para acceder a la bandeja de entrada, la cual desaparece después de 12 o 24 horas, esto con el fin de evitar que los usuarios reciban notificaciones sobre las transacciones realizadas. También se han encontrado modificaciones al código fuente del aplicativo de banca en línea que permiten la evasión de controles de autenticación, como una contraseña o un token.

Para realizar las transferencias no reconocidas, los atacantes cibernéticos modifican los saldos de usuarios a nivel de bases de datos o seleccionan algunas cuentas de acuerdo con el saldo disponible en ellas y ejecutan el envío de fondos no reconocido después de haber eludido los controles de autenticación.    

Según Mnemo, el tiempo transcurrido desde el compromiso inicial de los sistemas hasta la realización de transferencias de fondos no reconocidas es de seis meses y consta de seis etapas que abarcan las actividades previas, el compromiso inicial de sistemas, el reconocimiento de entorno y movimiento lateral, la modificación de registros y evasión del método de autenticación, las acciones, es decir las transferencias en sí, para culminar con el retiro del efectivo, que se realiza mediante el uso de “mulas”, es decir personas que acuden a las ventanillas de una sucursal bancaria para realizar el retiro del monto que se depositó en una de las cuentas creadas al principio de la operación.        

“Lo que hemos visto habitualmente tanto en México como en otros países es que este tipo de campañas pueden durar entre seis meses y un año”, dijo Espina, quien no descartó que el ciberataque que hizo que varias instituciones financieras migraran sus conexiones con el SPEI a un esquema de contingencia provisto por Banxico —esto a su vez ralentizó las operaciones de forma considerable— tuviera cierto tiempo orquestándose.

¿Cómo se produce un ciberataque?

Para realizar el ataque, los ciberdelincuentes deben conocer a detalle los siguientes aspectos de la operación del sistema financiero mexicano:

  • Procesos y procedimientos de apertura de cuentas en la institución financiera objetivo.
  • Operación interna de procesos de verificación de cuentas de la institución financiera.
  • Vulnerabilidades en la infraestructura de TI de la institución financiera
  • Conocimientos avanzados de aplicativos de banca en línea, programación y base de datos.
  • Operación de los sistemas de transferencias interbancarios.

Los investigadores de Mnemo-CERT identificaron varios indicadores de compromiso (IoC) que, de acuerdo con el documento, “pueden ayudar a las instituciones financieras a detectar comportamientos sospechosos en sus aplicativos e infraestructura tecnológica” y que incluyen dominios de cuentas de correos temporales usadas por los ciberdelincuentes; contraseñas y nombres de puertas traseras.

rodrigo.riquelme@eleconomista.mx