¿Cómo ocurren los robos de SPEI?

El sistema de pagos interbancarios ha sido víctima de ataques informáticos en los últimos meses causando estragos en los servicios hacia los usuarios finales de las instituciones participantes de SPEI y generando pérdidas importantes en el sector financiero.

El objetivo de los ataques fue generar transferencias electrónicas de fondos hacia cuentas bancarias específicas, con el fin de sustraer ilegítimamente recursos monetarios.

De acuerdo con Banxico, los ataques fueron realizados a través de las aplicaciones de los bancos y casas de bolsa -propias o desarrolladas por terceros- que son utilizadas para conectarse a SPEI y la vulnerabilidad pudo tener su origen tanto en los sistemas como en la infraestructura en la que fueron instalados.

El ataque consistió en la fabricación o inyección de órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago de los participantes afectados.

El “modus operandi” identificado hasta el momento es el siguiente de acuerdo con Banxico:

1. Los atacantes vulneran la infraestructura tecnológica de los participantes y generan en sus sistemas órdenes de transferencias ilegítimas, con cargo a las cuentas de los participantes, en alguna etapa del proceso previa a su conexión al SPEI.
2. Las órdenes de transferencias siempre incluyen el número de la cuenta emisora y de la receptora. En el caso de las generadas ilegítimamente, los números de las cuentas emisoras son inventados y no corresponden a cuentas de clientes, mientras que las cuentas receptoras son reales. La inserción de estas órdenes de transferencia se realizó en una etapa del proceso ejecutado en los sistemas de los participantes que no contaba con controles para asegurar que dichas órdenes fuesen legítimas.
3. Los sistemas de los participantes que fueron atacados firmaron y enviaron al SPEI las órdenes de transferencias ilegítimas validadas como si fueran legítimas.
4. El SPEI, al recibir las órdenes de transferencias, revisa que estén firmadas por los participantes, las procesa y abona el monto respectivo en la cuenta que le lleva al participante receptor.
5. El participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor (en este caso, la cuenta especificada en la orden de transferencia de pago ilegítima).
6. Finalmente, los recursos ilegítimos son retirados mediante disposiciones de efectivo.

Los bancos afectados por estos ataques tuvieron que activar un esquema de operación de contingencia utilizando una aplicación alterna con un esquema de comunicación secundario al Banco de México cuyos tiempos de procesamiento y respuesta son más lentos.

La afectación a los clientes ha sido la ralentización de los pagos para aquellas transacciones en las que participa alguna institución afectada o que opera bajo el esquema alterno para enviar órdenes de pago a través del SPEI”.

Para estos ataques, se utilizaron técnicas comunes como:

• Robo de credenciales.
• Escalamiento de privilegios.
• Movimientos laterales entre servidores.
• Inserción de archivos.
• Ejecución de instrucciones.
• Borrado de bitácoras.

Con la banca móvil, al mover las transacciones a las manos de cada persona se está moviendo el sistema de ataque a cada uno de esos móviles.

¿Quieres saber como evitarlo? sigue leyendo...