Banxico detalla cómo fueron los ataques al SPEI en abril y mayo
El organismo financiero aseguró que los recursos e información de los clientes de los bancos afectados no estuvieron en riesgo, pues únicamente estuvieron involucrados recursos de la instituciones afectadas
Indigo StaffEn un informe entregado a la Comisión Permanente, el Banco de México (Banxico) detalló cómo ocurrieron los ataques que se registraron entre el 24 de abril y el 8 de mayo pasados al Servicio de Pagos Electrónicos Interbancarios (SPEI) que afectaron a cinco bancos.
De acuerdo al Banxico, el pasado 17 de abril un participante del SPEI detectó que sus sistemas emitieron órdenes de transferencia de fondos no autorizadas, fecha que fue el preámbulo para 4 eventos similares en otros participantes, dos el 24 de abril y uno más el 8 de mayo.
“Estas operaciones se enviaron a 836 diferentes cuentas en 10 instituciones de crédito. Las cuentas se abrieron en 97 diferentes plazas de la República y el 80 por ciento del monto total de las transferencias no reconocidas se envió a 23 plazas”, especificó.
El Banco de México aseveró, en el informe, que identificó el modus operandi para realizar estas transacciones financieras, mismas que consistieron en 6 pasos:
1.- Personas no autorizadas vulneraron la infraestructura tecnológica de los participantes y generaron en sus sistemas órdenes de transferencias apócrifas con cargo a las cuentas transaccionales de las instituciones participantes.
2.- Las órdenes de transferencias siempre incluyeron una cuenta emisora y una receptora. En el caso de las operaciones apócrifas, los números de las cuentas emisoras son inventadas y no corresponden a cuentas de clientes, mientras que las receptoras son reales.
3.- Los sistemas de los participantes fueron vulnerados y enviaron al SPEI órdenes de transferencias apócrifas validadas por dichos sistemas como si fueran genuinas.
4.- El SPEI al recibir órdenes de transferencias revisa que esté firmadas por los participantes, las procesa y lleva a cabo su liquidación mediante el abono del monto respectivo en la cuenta que se le lleva a la institución participante receptora.
5.- El participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor.
6.- Los involucrados pretendían que los recursos transferidos de conformidad con lo antes descrito fueran retirados mediante disposiciones de efectivo.
Banxico destacó que en todos los casos identificados y reportados, en donde hubo incidente cibernético, los participantes tenían aplicativos de conexión al SPEI desarrollados por un tercero.
“No obstante, la vulnerabilidad pudo tener su origen tanto en los sistemas desarrollados por terceros, como en la infraestructura de los participantes en la que fue instalado”.
La institución financiera detalló que los recursos e información de los clientes nunca estuvieron en riesgo y que quienes cometieron estas acciones buscaron vulnerar las conexiones de los participante con el SPEI, lo cual involucró “únicamente recursos de la institución afectada.
Destacó que la Procuraduría General de la República (PGR) aún lleva a cabo investigaciones para identificar y sancionar a los responsables del ilícito.
