Dos de los cuatro ciberataques más recientes a instituciones financieras que se conocen en América Latina ocurrieron en México. Uno fue exitoso, el otro no.

Si, en enero pasado, los atacantes del Banco Nacional de Comercio Exterior (Bancomext) hubieran conseguido su objetivo, este incidente se habría convertido en el mayor robo cometido en contra de una institución financiera a través de un sistema de pagos interbancarios. Los ciberdelincuentes se habrían llevado 110 millones de dólares, más de siete veces la cantidad robada a cinco instituciones financieras en el caso del hackeo al Sistema de Pagos Electrónicos Interbancarios (SPEI) y 30 millones más que lo sustraído al Banco de Bangladesh en 2016.

La agencia Bloomberg reveló en una investigación que el martes 9 de enero, el trabajador encargado de monitorear las transacciones entre Bancomext y la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (SWIFT, por su sigla en inglés) detectó “actividad inusual en la cuenta de Standard Chartered Plc que Bancomext utiliza para realizar transferencias internacionales”. Standard Chartered Plc es un banco multinacional de origen inglés.

La agencia reportó que después de que las primeras irregularidades fueron descubiertas, el banco suspendió sus operaciones y mandó a sus trabajadores a casa, además de que el servidor de correo electrónico del banco fue apagado y los teléfonos desconectados. Las primeras indagatorias revelaron que las “transacciones inusuales” se habían entregado como donativos a una iglesia surcoreana. Desafortunadamente para los ciberdelincuentes, según relata Bloomberg, eran las 3 de la mañana en Seúl, la capital coreana, y los bancos no abrían aún sus puertas, por lo que se evitó que las transacciones fueran completadas.  

Fue así como Bancomext evitó ser el banco más afectado por un ciberataque perpetrado a través de un sistema de comunicación o de transferencias financieras. En lo que va del año, al menos cinco bancos, una casa de Bolsa y una financiera rural  han visto vulneradas sus conexiones a los sistemas SWIFT y SPEI. El hackeo al Banco de Chile del pasado 24 de mayo se suma también a esta lista de ciberataques contra el sistema financiero que aprovechan vulnerabilidades en los sistemas de pagos interbancarios.

La prevalencia de estos incidentes en contra de instituciones pertenecientes al sector bancario refleja la constancia de los ataques a las cadenas de suministro que desde hace tres años observa en todos los sectores la investigadora Cecilia Pastorino, de ESET Latinoamérica. De acuerdo con un estudio de la consultoría Accenture, citado por Pastorino, 60% de los ciberataques que tuvieron éxito en el 2017 se hizo a través de uno de los eslabones de la cadena de suministro.

Un ataque a la cadena de suministro es aquel en el que, debido a que los ciberdelincuentes saben que no podrán entrar de forma directa a los sistemas de una empresa u organización, optan por acceder a través de alguno de los proveedores externos a la institución.  

“Las instituciones bancarias protegen muy bien la información, tienen un perímetro muy seguro. Pero son un poco más laxos respecto a proveedores; por ejemplo, en el caso de conexiones entre diferentes empresas a través de redes VPN o accesos o permisos en el software de un proveedor. Ese software de terceros muchas veces tiene mayores privilegios y mayores permisos que los sistemas internos de la empresa y es por ahí por donde acceden los ciberdelincuentes”, dijo Pastorino.

Banco de Chile se suma a la lista

El gerente general del Banco de Chile, Eduardo Ebensperger, dijo en entrevista con el diario Pulso, que la afectación a los sistemas de la institución del pasado 24 de mayo —la cual utilizó el malware KillDisk, que elimina la información en la unidad de almacenamiento— solo fue una fachada para la consecución de un fraude a través de “una serie de transacciones fraudulentas”.

Las transacciones que no lograron contenerse -cuatro, según el directivo- alcanzaron una suma de 10 millones de dólares y fueron realizadas a través del sistema SWIFT hacia un banco en Hong Kong.

El hackeo al Banco de Chile es el tercer ciberataque del año en contra de una institución bancaria que fue realizado a través de un sistema de pagos interbancario. Le preceden los diferentes bancos y entidades financieras conectadas al SPEI y el caso de Bancomext. Sin embargo, para Cecilia Pastorino, es muy probable que haya habido muchos más ataques no sólo en los últimos meses sino en años recientes.

“Hay una tendencia a no reportar los incidentes, por miedo a que la reputación se vea afectada. El que se hayan dado a conocer estos tres incidentes no significa que haya más ataques a la cadena de suministro, sino que ahora se empiezan a denunciar más de lo que se hacía antes”, dijo la investigadora.

rodrigo.riquelme@eleconomista.mx