CIUDAD DE MÉXICO (apro).- El Banco de México (Banxico) realizó un corte de caja sobre los ataques cibernéticos asociados al Sistema de Pagos Electrónicos Interbancarios (SPEI). En su reporte, señaló que el pasado 17 de abril un participante del SPEI registró un ataque cibernético y, a partir de esa fecha, se han identificado cuatro eventos adicionales: dos el 24 de abril, uno el 26 de abril y uno más el 8 de mayo. Para todos los casos identificados y reportados como “evento de ciberseguridad”, los participantes tenían aplicativos de conexión al SPEI desarrollados por un tercero. No obstante, la vulnerabilidad pudo tener su origen tanto en los sistemas, como en la infraestructura en la que fue instalado. Según el banco central, en la mayoría de los casos los participantes recurren a proveedores externos para realizar dicha conexión entre sus sistemas centrales -denominados Core- y la infraestructura del mismo Banxico. Eso sí, la institución encabezada por Alejandro Díaz de León se desmarcó al asegurar que no certifica o valida a los proveedores de este tipo de servicios, de forma que el adecuado funcionamiento de dichos aplicativos es responsabilidad de cada participante. De acuerdo con el reporte, el ataque consistió en la fabricación o inyección de órdenes de transferencia apócrifas en los sistemas de los participantes donde se procesan las instrucciones de pago de los participantes afectados. Hasta el momento, el modus operandi identificado por el Banco de México es el siguiente: En primer lugar, los atacantes vulneran la infraestructura tecnológica de los participantes y generan en sus sistemas órdenes de transferencias ilegítimas, con cargo a las cuentas de los participantes, en alguna etapa del proceso previa a su conexión al SPEI. Las órdenes de transferencias siempre incluyen el número de la cuenta emisora y de la receptora. En el caso de las generadas ilegítimamente, los números de las cuentas emisoras son inventados y no corresponden a cuentas de clientes, mientras que las cuentas receptoras son reales. Posteriormente, la inserción de estas órdenes de transferencia se realiza en una etapa del proceso ejecutado en los sistemas de los participantes que no cuentan con controles para asegurar que dichas órdenes fuesen legítimas. De esta forma, los sistemas de los participantes que son atacados firman y envían al SPEI las órdenes de transferencias ilegítimas validadas como si fueran legítimas. Mientras que el SPEI, al recibir las órdenes de transferencias, revisa que estén firmadas por los participantes, las procesa y abona el monto respectivo en la cuenta que le lleva al participante receptor. El participante receptor, una vez que recibe del SPEI la confirmación de la liquidación, a su vez hace el correspondiente abono en la cuenta que este le lleva a su cliente receptor -en este caso, la cuenta especificada en la orden de transferencia de pago ilegítima-. Finalmente, los recursos ilegítimos son retirados mediante disposiciones de efectivo. El Banxico dejó claro que los recursos afectados fueron los de dichos participantes, no de los clientes.