Cómo los hackers llevaron a cabo un atraco de 20 millones de dólares a un banco mexicano

In abril 3, 2019

En enero de 2018, un grupo de hackers, que ahora se cree que trabaja para el grupo norcoreano Lazarus, patrocinado por el estado, intentó robar 110 millones de dólares del banco comercial mexicano Bancomext. Ese esfuerzo fracasó. Pero sólo unos meses más tarde, una serie de ataques más pequeños, pero aún más elaborados, permitieron a los hackers desviar entre 300 y 400 millones de pesos, o aproximadamente entre 15 y 20 millones de dólares de los bancos mexicanos. Así es como lo hicieron.

En una conferencia de seguridad de la RSA en San Francisco, el probador de penetración y asesor de seguridad Josu Loza, que fue responsable de incidentes después de los ataques de abril, presentó los hallazgos sobre cómo los hackers ejecutaron los robos tanto digitalmente como físicamente alrededor del territorio de México. La afiliación de los hackers sigue siendo desconocida públicamente. Loza enfatiza que si bien los ataques probablemente requirieron una amplia experiencia y planificación durante meses, o incluso años, fueron posibles gracias a una arquitectura de red descuidada e insegura dentro del sistema financiero mexicano y a los descuidos de seguridad en SPEI, la plataforma nacional de transferencias de dinero de México administrada por el banco central Banco de México, también conocido como Banxico.

Recolecciones fáciles

Gracias a los agujeros de seguridad en los sistemas bancarios objetivo, los atacantes podrían haber accedido a los servidores internos desde la Internet pública o haber lanzado ataques de phishing para comprometer a los ejecutivos, o incluso a los empleados regulares, a fin de obtener un punto de apoyo. Muchas redes no tenían controles fuertes de acceso, por lo que los hackers podían obtener una gran cantidad de las credenciales comprometidas de los empleados. Las redes tampoco estaban bien segmentadas, lo que significa que los intrusos podían utilizar ese acceso inicial para penetrar profundamente en las conexiones de los bancos con SPEI y, eventualmente, con los servidores de transacciones de SPEI, o incluso con su base de código subyacente.

Para empeorar las cosas, los datos de las transacciones dentro de las redes bancarias internas no siempre estaban protegidos adecuadamente, lo que significaba que los atacantes que se habían escudriñado en ellos podían potencialmente rastrear y manipular los datos. Y mientras que los canales de comunicación entre los usuarios individuales y sus bancos estaban encriptados, Loza también sugiere que la aplicación SPEI en sí misma tenía errores y carecía de comprobaciones de validación adecuadas, lo que hacía posible pasar transacciones falsas. La aplicación puede incluso haber sido directamente comprometida en un ataque a la cadena de suministro, para facilitar el éxito de las transacciones maliciosas a medida que se desplazaban por el sistema.

Todas estas vulnerabilidades permitieron colectivamente a los hackers establecer una amplia base, estableciendo finalmente la infraestructura que necesitaban para comenzar a llevar a cabo las apropiaciones reales de efectivo. Una vez que eso estuvo en su lugar, los ataques se movieron rápidamente.

Los hackers aprovechaban los defectos de la forma en que SPEI validaba las cuentas de los remitentes para iniciar una transferencia de dinero desde una fuente inexistente como «Joe Smith, Número de cuenta: 12345678». Luego dirigían los fondos fantasmas a una cuenta real, pero seudónima, bajo su control y enviaban una “mula de dinero” en efectivo para retirar el dinero antes de que el banco se diera cuenta de lo que había sucedido. Cada transacción maliciosa era relativamente pequeña, en el rango de decenas o cientos de miles de pesos.

«SPEI envía y recibe millones y millones de pesos diarios, esto habría sido un porcentaje muy pequeño de esa operación», dice Loza.

Los atacantes habrían necesitado potencialmente trabajar con cientos de mulas para hacer posibles todos esos retiros con el tiempo. Loza dice que el reclutamiento y la capacitación de esa red podría requerir muchos recursos, pero que no costaría mucho incentivarlos. Tal vez 5,000 pesos por persona -menos de $260 dls- serían suficientes.

Llamada del despertador

El propio SPEI y la infraestructura que rodea a la aplicación estaban aparentemente listos para ser atacados. Banxico, que no pudo ser contactado por WIRED para recibir comentarios, dijo en un informe de análisis forense publicado a finales de agosto del 2018 que los ataques no fueron un asalto directo a los sistemas centrales de Banxico, sino que fueron dirigidos a interconexiones pasadas por alto o débiles en el sistema financiero mexicano en general. El enfoque de los atacantes requería «un profundo conocimiento de la infraestructura tecnológica y de los procesos de las instituciones de las víctimas, así como del acceso a ellas», escribió Banxico. «El ataque no pretendía inutilizar el SPEI ni penetrar las defensas del Banco Central.»

Fraudes similares usando el sistema internacional de transferencia de dinero Swift han surgido alrededor del mundo, incluyendo incidentes notorios en Ecuador, Bangladesh y Chile. Pero SPEI es propiedad y está operado por Banxico y sólo se utiliza dentro de México. Tras los atentados, el banco endureció sus políticas y controles en torno a las transferencias de fondos, para establecer estándares mínimos de ciberseguridad para los bancos mexicanos que vinculan sus sistemas al SPEI.

«Los mexicanos necesitan empezar a trabajar juntos. Todas las instituciones necesitan cooperar más. El principal problema de la ciberseguridad es que no compartimos conocimientos e información ni hablamos lo suficiente de ataques. La gente no quiere hacer públicos los detalles de los incidentes», dice Loza.

Loza agrega que si bien todavía existe la amenaza de una nueva oleada de ataques, los bancos mexicanos han invertido fuertemente durante el último año para fortalecer sus defensas y mejorar la higiene de la red.

«Desde el año pasado hasta hoy, el enfoque ha sido la implementación de controles. Control, control, control, control. Y creo que los ataques no están ocurriendo hoy por eso. Pero lo más importante es el cambio de mentalidad que hace que los usuarios de negocios quieran pagar por una mayor seguridad», añade.

Este tipo de robos han sido tan exitosos en todo el mundo que no serán fáciles de detener. Y mientras que los atacantes se esfuerzan por instalarse, todavía pueden ganar decenas de millones de dólares. Y todo sin tener que abrir una caja fuerte.

En Alternativas en Computación le ayudamos a solucionar los problemas de Ciberseguridad en su Empresa. También contamos con un servicio de administración de seguridad y monitorización que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.

¡Si desea agendar una cita, por favor déjenos sus datos!

Solicita una visita

Fuente: Wired

Related Articles

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Información