Indagan complicidad de personal de las instituciones
Una de las líneas de investigación sobre el ciberataque a instituciones financieras apunta a la complicidad de personal dentro de los bancos y proveedores del sistema que conecta con la plataforma del Sistema de Pagos Electrónicos Interbancarios (SPEI).
De acuerdo con fuentes consultadas, habrían creado cuentas específicamente para el hackeo de las instituciones bancarias mediante las transferencias por SPEI, un sistema desarrollado y operado por el Banco de México.
Los funcionarios consultados comentaron que el ciberataque, no se pudo concretar sin la participación de gente que conoce la forma de operar el sistema, por lo que la Policía Federal, por medio de la División Científica, y la Procuraduría General de la República ya realizan la ruta de búsqueda para dar con los responsables.
La PGR informó que, por conducto de la Agencia de Investigación Criminal (AIC), se tienen varias líneas de investigación en proceso de análisis para conocer el modus operandi del ataque al sistema financiero mexicano.
Señaló que la Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas recaba procedimientos de operación.
“Estas acciones tienen la finalidad de identificar la vulnerabilidad, los vectores de ataque y el modus operandi de posibles involucrados en las transferencias electrónicas ilegítimas sobre la plataforma de SPEI”, detalló.
“La Procuraduría General de la República trabaja de manera coordinada con el Banco de México con el objetivo de integrar elementos suficientes que permitan identificar y sancionar a los responsables de este probable hecho ilícito”, sostuvo.
El martes, la dependencia recibió cuatro denuncias de las instituciones bancarias, mismas que fueron integradas a una carpeta de investigación para comenzar con la indagatoria.
De acuerdo con información de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), en 2017 se registraron 6.4 millones de reclamaciones por un posible fraude con tarjetas de crédito y débito; de las que 3.3 millones (51 por ciento) se originaron a través del comercio electrónico.
Por otra parte, la Policía Cibernética de la División Científica de la Policía Federal, reportó 200 mil ataques o incidentes desde 2012 a finales de 2017, entre los que se encuentran sitios falsos de bancos, usurpación de identidades y ataques dirigidos a sitios públicos o privados como instituciones financieras. moneda nacional de una cuenta a otra –sin importar si son de bancos diferentes– prácticamente en tiempo real. Es operado por el Banco de México.
El ataque cibernético fue al software que conecta a algunas instituciones con el SPEI en el Banco de México.
Díaz de León, al responder una pregunta específica, declaró que no existe evidencia de que el ciberataque tuviera como objetivo crear un ambiente de incertidumbre o desestabilización de cara a la elección presidencial.
“Quienes realizan estos ataques tienen un objetivo pecuniario, buscan un beneficio económico. Lo que demuestra esto es que la frecuencia, sofisticación y complejidad es creciente”, detalló.
Zona de origen
La cifra definitiva sobre el monto sustraído puede variar, una vez que concluya la investigación, explicó. Por ahora está pendiente determinar si el ataque vino de fuera o se originó en el territorio nacional. Tampoco hay información concluyente de la ubicación de las cuentas desde donde fue retirado parte del dinero sustraído a los bancos, detalló.
La cifra de 300 millones de pesos ofrecida anoche por el gobernador Díaz de León contrastó con otra que, por la mañana, dio Luis Robles Miaja, vicepresidente de la Asociación de Bancos de México, quien calculó en 100 millones el monto sustraído por los ciberdelincuentes.
“Algunos bancos sí tuvieron algunos pequeños montos que los criminales lograron sacar, pero son cantidades ridículas, nada que ver con lo que se ha manejado” (de 300 a 400 millones de pesos), dijo Robles Miaja durante un acto de la calificadora Fitch Ratings.
Consultado sobre la apreciación de Robles Miaja, el gobernador del Banco de México manifestó no estar de acuerdo con calificar de “ridícula” la cifra sustraída a los bancos en el ataque cibernético del mes pasado.
“Con independencia del monto, que no califico, está completamente fuera de lugar ese comentario, porque el ataque vulneró el funcionamiento del sistema, causó preocupación en la gente y afectó a los usuarios. Nosotros lamentamos las afectaciones y tomamos acciones para recuperar la agilidad del sistema con plena seguridad”, declaró el gobernador Díaz de León.
Anticipó que el banco central, en el curso de la investigación definirá las sanciones a que se hagan acreedores los intermediarios financieros cuya conexión al SPEI fue vulnerada y que, incluso, puede alcanzar una proporción de su capital, como indica la regulación.