Formato de impresión

El Banco de México admite un quinto ciberataque a entidades financieras en poco más de un mes

2018-05-25

Ignacio Fariza, El País

Más de un ciberataque a la semana de media desde mediados de abril. El Banco de México ha elevado este jueves a cinco el número de intentos de robo a un número idéntico instituciones financieras del país norteamericano en poco más de un mes. Hasta ahora se tenía conocimiento de solo cuatro de estos intentos de hurto, pero en los primeros días de mayo se sumó uno más. El cuarto de ellos, el único exitoso para los ciberatracadores según la información hecha pública por el instituto emisor, resultó en el robo de 300 millones de pesos (unos 15 millones de dólares) de la tesorería de la entidad bancaria, el mayor de este tipo en toda la historia de México, durante la última semana de abril.

El monto total sustraído quedó limitado a esa cifra -todavía preliminar- porque algunas de las instituciones financieras afectadas pudieron interceptar a tiempo las transacciones fraudulentas y bloquear la salida del dinero. La Asociación de Bancos de México (ABM) ha anunciado este jueves la puesta en operación de un sistema anónimo en el que sus socios alertarán anónimamente al resto e intercambiarán información cuando alguno de ellos sufran un intento de robo electrónico.

El primero de esta serie de ataques cibernéticos se produjo el pasado 17 de abril. Una semana después, el día 24, se registraron dos más, seguido por otro el día 26, cuando los hackers lograron el botín millonario. El 8 de mayo llegaría el quinto, del que no se tenía conocimiento hasta hoy, según ha informado el instituto emisor en un comunicado divulgado este jueves. Las cinco entidades afectadas son tres bancos -Banorte, Banco del Bajío y Banco del Ejército-, una casa de Bolsa y una caja de ahorro que suman, conjuntamente, el 13% de las operaciones anuales de todo el sistema bancario mexicano según las cifras del propio instituto emisor. En el Sistema de Pagos Electrónicos Interbancarios (SPEI), que canaliza las transferencias interbancarias en México, participan 85 entidades.

Toda la serie de ataques acaecidos en las últimas semanas sigue un mismo patrón: los hackers introducen una orden de transferencia falsa en el sistema informático de una de estas entidades, con cargo a cuentas de la propia institución financiera -no de sus clientes, en cuyas cuentas no se ha reportado ningún robo-. El dinero llega a una cuenta receptora de la misma entidad, de la que una persona física que forma parte de la trama saca el dinero en efectivo en una sucursal. Los esfuerzos de las autoridades se centran ahora en identificar a estos últimos cooperadores necesarios de la operación delictiva.

El presidente de turno de la patronal bancaria mexicana (la ABM), Marcos Martínez, ha remarcado este jueves en una rueda de prensa monográfica que los recursos de todos sus clientes "están seguros, no estuvieron en peligro y no han sido el objetivo de los ataques". En la misma línea, en la nota hecha pública poco antes, el Banco de México insiste en que los recursos de los clientes "radican en un sistema separado con validaciones de autenticidad individuales por operación de las cuales no se cuenta con indicio alguno de que hayan sido atacadas". Los usuarios del sistema SPEI, en cambio, sí han sufrido demoras en la emisión y recepción de transferencias, así como en el cobro de nóminas, después de que parte de las transacciones hayan sido derivadas en las últimas semanas a sistemas alternativos. Habitualmente el sistema SPEI permite envíos de dinero inmediatos con independencia de que el banco emisor y receptor sean distintos.

"Desde hace años hay muchos intentos de hackeo. No es solo un evento, sino muchísimos", ha reconocido Martínez, también presidente del Santander en el país latinoamericano al tiempo que marcaba distancias entre el conjunto del sistema financiero mexicano y el problema sufrido por "solo tres bancos". "No es que los sistemas de esos bancos fueran malos, sino que [los hackers] encontraron el punto [de vulnerabilidad]. Ningún proveedor puede asegurar es que su programa está a prueba de bala, que no va a ser hackeado: asegurar eso sería mentir. Finalmente, esto es un fraude".

Tras los ataques, los grandes bancos mexicanos han puesto en marcha instrumentos adicionales de validación de las transacciones, según ha destacado la asociación gremial, que reconoce que este tipo de intentos de fraude son "parte del riesgo operacional" de la banca en "cualquier parte del mundo".