El ciberataque que afectó al sistema financiero bancario tuvo sus primeros ensayos en octubre de 2017. En una operación de apertura de cuentas y retiro de efectivo por supuestos clientes se lograron sustraer al menos 2 millones de dólares a través de la conexión al Sistema de Pagos Electrónicos Interbancarios (SPEI).
Según el director de Ciberseguridad de la empresa especializada, Mnemo-CERT, Eduardo Espina, el modus operandi es muy similar al reportado por el Banco de México sobre el ciberataque que hasta el momento ha arrojado pérdidas para los bancos por US$15,3 millones En aquel entonces, ningún banco o autoridad informó sobre el incidente y al tratarse de una cantidad pequeña, pasó desapercibido.
La segunda alerta se presentó el 9 enero. El Banco Nacional de Comercio Exterior (Bancomext) reportó una intromisión a sus sistemas que estuvo a punto de ocasionar un robo por US$110 millones. El dinero iba en camino a las cuentas de depósito cuando fue bloqueado por parte del equipo de seguridad.
Tres meses después, comenzó el ciberataque que mantiene en vilo a las autoridades financieras en México. Según la investigación, a la cual ha tenido acceso El Universal, en abril, la casa de bolsa Kuspit denunció a las autoridades la intromisión a sus sistemas y robo de dinero de sus cuentas.
La empresa refuerza sus controles, pero una semana después le vuelven a sustraer recursos. De acuerdo con las líneas de investigación, el ataque a Kuspit es uno de los ensayos finales para realizar los robos masivos a los bancos. Los cibercriminales habían logrado inyectar código malicioso en su sistema de conexión a SPEI.
La siguiente víctima fue Banjercito. A finales de abril se detectó un robo con las mismas características que el ocurrido a Kuspit, pero por cantidades de dinero muy bajas.
Los delincuentes también habían ensayado su modo de operación con la caja de ahorro 'Las Huastecas', a la que le pudieron sustraer poco menos de 1 millón de pesos.
En la investigación se explica que a partir de estos eventos, se determina que la operación de los hackers penetró los canales de acceso de las dos firmas al SPEI y que se trataba de pruebas para iniciar los ataques de mayor volumen.
Una semana después, las autoridades son notificadas de que Banorte fue víctima de un robo por 153 millones de pesos (6,71 millones de euros), de la misma forma que Kuspit y Banjercito.
El común denominador que existe en los robos es la empresa desarrolladora del soporte a la conexión a los sistemas SPEI del Banco de México: la firma LGEC. Los directivos de esta empresa fueron visitados por las autoridades y no se descarta que personal al interior esté involucrado en la operación del ciberataque.
A la siguiente semana, Inbursa sufrió una sustracción de dinero por 156 millones de pesos (6,85 millones de euros). En este banco, la proveedora de la conexión a SPEI es la firma Apesa. Lo que llama la atención de las autoridades es que la operación en el robo es diferente a las anteriores. En este caso, se detectó un código malicioso que al enviarse a la conexión de SPEI, los sistemas del Banco de México recibían la instrucción de distribuir dinero a cuentas que no habían sido solicitadas en el permiso de transacción; esto contrasta con la operación en los primeros robos, donde se depositaban recursos a cuentas específicas.
Hasta este momento, los delincuentes habían logrado robar controles de acceso a los bancos que les permitían enviar solicitudes de depósito no autorizados; es decir, podían enviar una orden oculta que engañaba a los controles de SPEI y depositar en varias cuentas sin ser detectados. La investigación señala que se trata de un grupo de delincuentes muy sofisticado, donde las investigaciones hasta el momento señalan que operan en México, sin descartarse que haya conexiones con otros países.
De igual forma, en las líneas de investigación también se explica que como el sistema SPEI se desarrolló en México y solamente se utiliza por el Banco de México, es altamente probable que los hackers sean gente interna de los mismos bancos o empresas de tecnología o que hayan laborado en ellos, con lo que tienen los conocimientos necesarios de las conexiones y su operación.
