Cientos de millones de pesos fueron sustraídos de bancos mexicanos por delincuentes cibernéticos, luego de crear órdenes fantasmas que transfirieron fondos a cuentas falsas y que fueron retirados rápidamente.

Este fue el modus operandi utilizado durante un ataque cibernético que afectó al Sistema de Pagos Electrónicos Interbancario y que ha afectado las operaciones de varios bancos mexicanos desde el 27 de abril pasado. 

La directora general del Sistema de Pagos y Servicios Corporativos de Banxico, Lorenza Martínez, dijo el lunes en entrevista a Radio Centro que los ataques afectaron exclusivamente recursos de los bancos y no de los clientes, según consignó la AFP.

"Se inyectaron algunas transacciones que no fueron reconocidas por el banco emisor (...) En algunos casos estas transferencias lograron llegar a un banco destino y retirarse a través efectivo, en otros casos se identificaron y pusieron en alerta al banco emisor", explicó Martínez.

"Los recursos que se vieron extraídos o que han estado en este problema no son los de los clientes, en ningún momento han estado en riesgo", agregó.

El incidente ocurrió el viernes 27 de abril, cuando usuarios en redes sociales reportaron problemas para realizar transacciones en distintos bancos mexicanos. Aquel viernes de quincena tras los reportes de que usuarios no podían realizar pagos a través del SPEI, el Banco de México y la Comisión Nacional Bancaria y de Valores reiteraron en un comunicado conjunto que la infraestructura del SPEI mantuvo "su operación de manera normal y en ningún momento ha estado en riesgo".

El Banco de México informó posteriormente que tres bancos y una casa de Bolsa pequeña fueron afectados por esta falla. Los primeros afectados fueron: Banorte, Citibanamex y Banco del Bajío.

Corte al lunes 30 de abril. Los bancos mexicanos registraron una mayor afluencia, luego de que muchos clientes no pudieron realizar transacciones a través del SPEI. A través de este sistema se procesan diariamente 1.7 millones de operaciones.

El Banco de México informó ese mismo lunes que había iniciado los análisis forenses sobre los aplicativos de las tres instituciones de crédito que presentaron incidentes. Bancos como Banorte, implementaron un sistema alternativo para que sus clientes pudieran realizar sus transacciones. 

BBVA aseguró que no fue víctima del ataque. “No sufrimos ni tuvimos ningún indicio de ataque. Nuestro sistema funcionó, fueron tres bancos los que registraron una incidencia y nosotros procesamos todo lo que nos llegó e incluso el fin de semana estuvimos procesando todo lo que no nos había llegado de esos bancos”, aseguró Hugo Nájera, director general de Desarrollo de Negocios de BBVA Bancomer.

El viernes 11 de mayo, Citibanamex informó de que los pagos interbancarios presentaban retrasos, pero aseguró que sus sistemas de pago no habían presentado problemas. 

Este lunes, Banco del Bajío negó que el servicio de Sistema de Pagos Electrónicos Interbancarios (SPEI) con el que opera la institución haya sido hackeado.

Sin embargo, expuso que como parte de los protocolos de seguridad y medidas preventivas instruidas por las autoridades, el servicio de SPEI de la compañía continuará operando en un sistema de conexión alterno, para prevenir cualquier eventualidad.

A la fecha Banco del Bajío, Citibanamex y Banorte han reportado problemas con sus sistemas de pagos, pero ninguno ha confirmado haber sido víctima de un ciberataque. 

El gobernador del Banco de México, Alejandro Díaz de León, reconoció el lunes que el ataque provocó que el sistema bancario mexicano canalizara erróneamente entre 18 y 20 millones de dólares en transferencias bancarias.  

"No sabemos cuál es el origen de este incidente, si es en el interior del país o en el exterior y la revisión forense en los sistemas y aplicativos otorgarán mayores elementos sobre el origen del ataque  en los próximos días", admitió en conferencia telefónica.

El director de la Comisión Nacional para la Protección y Defensa de los Usuarios de los Servicios Financieros, Mario Di Constanzo reconoció que el ataque "es una lección de que se deben endurecer más estas medidas". Además, dijo, que "las instituciones financieras en general deben cuidar más no sólo la información de los usuarios, sino su propia identidad". La Condusef reportó que tuvo más de 400 quejas sobre las fallas en el sistema de transferencias bancarias

Tras reconocer la gravedad del ataque, el banco central mexicano emitió una serie de lineamientos para las instituciones financieras que contemplan desde el robustecimiento de sus protocolos de conexión al SPEI hasta el uso de sistemas electrónicos paralelos del banco central para mantener activas las transferencias. 

Las medidas anunciadas por el Banxico fueron:

1. Los actores del sistema financiero que utilizan el SPEI tendrán un día entero para entregar en efectivo o cheques de caja los recursos correspondientes a transferencias de fondos o traspasos por montos iguales o superiores a 50,000 pesos, excepto en aquellos casos autorizados expresamente por los participantes, respecto de cada cliente, con base en sus características y operatividad. Todo esto, de acuerdo con la Circular 4/2018.

2. A los participantes en el SPEI que reciban transferencias de fondos, y que así lo soliciten, se les podrá autorizar que puedan llevar a cabo las validaciones de dichas transferencias en periodos de tiempo superiores a los establecidos en las reglas aplicables para el abono de los recursos en las cuentas de los clientes beneficiarios (5 o 30 segundos, dependiendo del tipo de participante), hasta en tanto concluyan las automatizaciones de las verificaciones que deben desarrollar. Todo esto, de acuerdo con la Circular 5/2018.

3. Los actores del sistema financiero que sufrieron afectaciones relacionadas con el SPEI deben operar por vías alternas y mantener su capacidad para enviar órdenes de transferencias a la infraestructura del SPEI. 

4. Para mitigar las vulnerabilidades detectadas, los actores del sistema financiero deben establecer elementos adicionales de control para minimizar la probabilidad de que presenten otros incidentes.

5. Los actores afectados deben renovar los elementos de seguridad de sus operadores para autenticarse en los sistemas de pagos operados por el Banco de México.

6. El Banco de México ha ampliado y fortalecido el esquema de soporte a todos los participantes del sistema.

7. El Banco de México emitió disposiciones que otorgan a las instituciones de crédito y demás entidades que prestan el servicio de transferencias de fondos espacio para que éstas implementen medidas de control adicionales encaminadas a fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a dichas instituciones, al resto de los participantes y al sistema en su conjunto.

(Con información de Édgar Juárez, Yolanda Morales, Rodrigo Riquelme, AFP, Notimex y Reuters)

 abr