Hackers utilizaron a abuelitos como «mulas» para retirar el dinero robado
Según el diario Reforma, en el hackeo al Sistema de Pagos Electrónicos Interbancarios (SPEI) se utilizaron «mulas» para abrir cuentas bancarias identificadas por los bancos. Las personas que abrieron dichas cuentas son personas mayores y son las que recibieron estos depósitos. Luis Ramírez, director de estrategias corporativas de IT Lawyers, fue quien reveló esta información.
Los primeros reportes declararon que varios usuarios de estos bancos estaban involucrados en el hackeo, ya que los depósitos se hicieron a cuentas ya abiertas que permitieron distribuir los millones robados con discreción, cuentas que ya existían y que se usaban con normalidad.
Alejandro Díaz de León, Gobernador del Banco de México (Banxico) dijo que se realizaron más de 900 retiros de diversas cuentas. Al respecto, Ramírez comentó que se realizaron mil 200 transacciones en más de 75 cuentas. Dichas cuentas se abrieron en los bancos entre enero y marzo del 2018. Declaró que: «los bancos tienen estas cuentas plenamente identificadas. Son de Estado de México, Ciudad de México, Guadalajara y Nuevo León», dijo a Reforma.
Ante el ciberincidente del SPEI en México, quisiera compartir que el ataque fue directamente a los bancos y no a los usuarios. En este modus operandi no le quitan dinero a los usuarios. El banco tendrá un quebranto y algunos de ellos tienen seguros que los cubren. 1/?
— Andrés Velázquez (@cibercrimen) May 15, 2018
Los primeros días de mayo, estas cuentas «mulas» fueron utilizadas para realizar los retiros, a las personas se les brindó un porcentaje. «Los bancos tienen los videos de seguridad, tienen plenamente identificados a quienes retiraron y la pregunta es por qué no lo informan».
Aprovecharon un vacío en el SPEI
El Banco de México también explicó que para desviar el dinero de un banco y pasarlo a otras cuentas abiertas, los hackers duplicaron órdenes de pago que las instituciones generan cuando se realiza un SPEI. Cuando un usuario hace una transferencia interbancaria, el banco emisor crea una orden de pago que envía al banco al que se va a realizar la transferencia.
Luis Ramírez explicó que los hackers se dieron cuenta que en este proceso hay un vacío, ya que el SPEI no verifica que la cuenta que envió el depósito realmente existe. Banxico siempre ha dado por hecho que el banco que recibe la transacción verifica que la cuenta emisora existe, que posee el nombre del titular y un número de identificación. Al existir este vacío, los hackers pudieron introducir códigos y Clabes para duplicar órdenes de pago.
Un esquema del flujo de una transferencia a través de #SPEI y la fase en donde se dio la vulneración. pic.twitter.com/oG22U0qMk6
— Rodrigo Pacheco (@Rodpac) May 16, 2018
Debido al conocimiento que se requiere para notar este vacío, Ramírez opina que los hackers debieron trabajar para firmas que hacen software o incluso para las instituciones financieras afectadas, por lo cual conocían la manera en la que funcionaba el SPEI. En opinión de Ramírez, la falla fue no tener estrategias de inteligencia, ya que no se tiene un tercero aparte de la policía cibernética y las instituciones financieras que recopilen las vulnerabilidades de la banca por internet.
Una de las primeras consecuencias de este hackeo fue el despido de Lorenza Martínez, directora general de Sistemas de Pagos y Servicios Corporativos del Banco de México. Aunque Alejandro Díaz de León, declaró que su salida no tiene relación con el ataque, ya que se había acordado desde mediados de abril. Por otro lado, el día martes, el Banco Central anunció la creación de una dirección de ciberseguridad para evitar posibles vacíos como el que permitió este hackeo.
Con información de Reforma.