Hackeos y fallas de sistema: las vulnerabilidades de la banca en línea mexicana

Este martes cientos de cuentahabientes reportaron fallas en la aplicación de Banorte a la cual no les era posible debido a un error en la comunicación. Algunos usuarios incluso reportaron que sus cuentas tenían saldos en cero.

El fin de semana también se registraron diversas problemáticas, millones de usuarios no pudieron realizar operaciones con tarjetas, debido a una falla en los sistemas de Prosa, cámara de compensación con la que trabaja este banco, de la misma forma como Santander, HSBC y Scotiabank.

Este problema desató el caos entre los usuarios de todo el país, pues padecieron de grandes filas en las tiendas departamentales e incluso muchos no pudieron ordenar comida a domicilio desde aplicaciones especializadas o servicios de transporte.

Ciudad de México, Querétaro, Guadalajara y Monterrey fueron las entidades en donde más reclamaciones se registraron, La firma PROSA México, la empresa de servicios de transacciones electrónicas más grande de América Latina y una de las 10 más importantes a nivel mundial, reconoció su error en su servidor.

El error afectó a los usuario en terminales de puntos de venta, en cajeros automáticos y también en cargos recurrentes, entre otro tipo de operaciones que implicaba el uso de tarjetas de crédito o débito.

Andrés Velázquez, fundador de MaTTica, laboratorio de investigación de delitos informáticos en América Latina, menciona que según sus fuentes el problema viene directamente de la empresa Prosa, encargada de realizar servicios de transacciones en México, señalando que existen problemas con la red eléctrica en las instalaciones que tienen en Santa Fe.

Un reporte de El Financiero informó que el data center de la empresa se encontraba presentando "incidencias", provocando que el uso de terminales en puntos de venta, los cajeros automáticos y los cargos recurrentes no se encuentren funcionando de manera correcta.

En marzo, el economista David Páramo mencionó en una de sus columnas que la empresa Prosa podría haber perdido la certificación PCI DSS (Payment Card Industry Data Security Standard), desarrollada para las organizaciones que almacenan o transmiten datos de tarjetahabientes, asegurando la información para evitar fraudes con esos sistemas de pago.

De acuerdo con el Estudio de Banca Electrónica en México elaborado por a Asociación de Internet.mx (AI.mx), siete de cada 10 usuarios de internet en este país utilizan la banca en línea, sobre todo para el pago de servicios (37-54%), transferencias a cuentas propias (30-49%) y a cuentas de otros bancos (29-49%), para acceder a información general de una institución (26-29%) y para pagar impuestos (11-26 por ciento).

De acuerdo con el estudio de la AI.mx, 64% de quienes usan la banca en línea lo hace mediante su computadora, mientras que 16% recurre a un dispositivo móvil; además el teléfono y la sucursal bancaria siguen siendo la primera instancia de contacto con el banco para expresar inquietudes.

Sin embargo lo anterior es sólo una muestra de la vulnerabilidad del sistema bancario mexicano, ya que se han registrado ataques de hackers, entre otras irregularidades.

México entre los países más vulnerables

México ocupa el segundo lugar en América Latina en vulnerabilidad a ciberataques relacionados con piratería informática, robo de identidad y fraude en tarjetas de crédito, de acuerdo con la consultora de información estratégica LexisNexis Risk Solutions.

El director de Desarrollo de Negocio para Latinoamérica, Daniel Ortiz, ha señalado que, por cada transacción fraudulenta, el costo para los comerciantes y empresas de servicios financieros en México es 3.39 veces el monto del valor de la transacción perdida, lo que se traduce en gastos por fraude a 1.75 por ciento de los ingresos anuales en general.

Así, en la región, México se ubica sólo por debajo de las 3.6 veces que tiene Brasil, y a nivel continental se ubica por arriba de las 2.2 veces en Estados Unidos, añadió en rueda de prensa para dar a conocer el reporte para México del estudio "El verdadero costo del fraude 2018".

Apuntó que el alto costo del fraude en el país es impulsado por la prestación de transacciones financieras, y si bien el uso de la tecnología ha ido en aumento, la realidad es que las transacciones vía dispositivo móvil son un factor que influye en el aumento de riesgo de fraude.

Hackers asaltabancos

Las autoridades de inteligencia cibernética ya tenían varias piezas del rompecabezas, rastreaban a bandas de hackers ya que en 2018 se había dado el mayor golpe al sistema financiero mexicano, pero fue una denuncia ciudadana anónima que los condujo a Héctor Ortiz alias el "H-1" o "Bandido Boss", líder de esta asociación delictuosa que se infiltraban digitalmente para hacer que los cajeros expulsaran miles de billetes en varios estados de la república.

Fue así que la Agencia de Investigación Criminal de la Fiscalía General de la República (FGR) dio con los autollamados Bandidos Revolutions Team en un operativo en León, Guanajuato el 16 de mayo y a quienes fueron incautados 27 vehículos de lujo en el cateo a 11 inmuebles.

Entre los autos se encontraron marcas como Ferrari, Lamborghini, McLaren y hasta Aston Martin (del tipo Agente 007), también aseguraron siete motocicletas de lujo, así como varias armas de fuego, cartuchos, droga y varias cajas fuertes con dinero en efectivo.

Se presume que este grupo delictivo, obtuvo hasta mil millones de pesos por robos a los bancos, a través del hackeo realizado en cajeros electrónicos, mediante un software lograban entrar al Sistema de Pagos Electrónicos Interbancarios (SPEI) con el que habrían sido sustraídos en forma ilegal entre 200 millones y 400 millones de pesos de las arcas de Banorte, Inbursa, entre otros.

Fallas con SPEI

El incidente que afectó el desempeño de las transacciones en el sistema SPEI de tres instituciones bancarias durante el fin de semana del 27 al 30 de abril es una advertencia para todo el sistema bancario en México, el cual debe reducir al mínimo posible su exposición al riesgo para proteger la confianza de sus clientes y la reputación de cada una de las instituciones que lo integran, sean públicas o privadas, de acuerdo con Eduardo Zamora, director general de Fortinet México.

Durante la conferencia titulada "Integridad de la información, gobierno y administración del riesgo de la industria financiera", el directivo llamó a que las instituciones "no busquen tapar el hoyo" cuando sufren una vulneración o un ataque cibernético, por lo que se requiere que la regulación mexicana habilite normas de transparencia que permitan compartir información entre entidades y con los usuarios de los servicios financieros.

"No sólo es la banca, sino el gobierno y las empresas tienen que ver a la seguridad como un tema cultural y hasta que todos los miembros entendamos esto, la seguridad no va a ser efectiva. Las entidades no pueden acudir a nosotros como empresas de ciberseguridad para tapar el hoyo, para rellenar el huequito por donde pasó la vulneración, esa no es nuestra propuesta y nunca lo será", dijo Zamora.

En América Latina, 66% de las organizaciones financieras enfrentaron al menos un incidente de ciberseguridad en los últimos 24 meses. En el 98% de estos casos, los sistemas del sector financiero estuvieron comprometidos en pocos minutos. México y Brasil son los países de la región que registraron mayor recurrencia de este tipo de eventos de seguridad, según Fortinet.

El viernes 27 de abril, el Banco de México publicó un comunicado de prensa en el que informó que se habían registrado "incidentes en la operación de tres participantes en el Sistema de Pagos Electrónicos Interbancarios (SPEI) que pudieron haber afectado el servicio de transferencias electrónicas de fondos de dichas instituciones con sus clientes". El lunes 30 de abril, tanto el banco central como la SHCP y la CNBV informaron que las incidencias se debieron a que los tres participantes usaban un aplicativo provisto por un proveedor externo.

Sigue sin haber certeza sobre de qué se trató el incidente que afectó el desempeño de las transacciones que realizaron los clientes de Banorte, Citibanamex y Banco del Bajío. Existen conjeturas acerca de que se pudo haber tratado de un ataque de denegación de servicio (DDoS).

De acuerdo con Fortinet, mientras que del total de ataques sufridos por las instituciones financieras durante el 2017, 34% fueron ataques a la disponibilidad (DDoS), la mitad (48%) fueron ataques a aplicaciones web desplegadas por los bancos y 15% de estos incidentes permaneció sin ser descubierto por seis meses o más.

En este sentido, según José López, gerente de Banca y Servicios Financieros de Fortinet México, en ocasiones las instituciones bancarias apuestan más por la apariencia y rapidez de las aplicaciones de terceros que por la seguridad. "Nosotros recomendamos que cuando las instituciones desarrollan aplicaciones o adquieren aplicativos de terceros lo primero que deben asegurar es su nivel de seguridad", dijo.

El especialista confirmó lo dicho por otros expertos en ciberseguridad al portal especializado El Economista acerca de que este tipo de eventos son utilizados por los ciberdelincuentes como distractores para ocasionar un impacto mayor, como puede ser el comprometer los sistemas de las entidades bancarias.