Un martes por la mañana, a principios de enero, el sistema informático del Banco Nacional de Comercio Exterior (Bancomext), entidad del Gobierno mexicano, se volvió loco. Algunos de los trabajadores de la institución no pudieron encender sus computadoras, el Internet iba lento y las operaciones de rutina tardaban más de lo normal.
Dentro del edificio del banco, en la Ciudad de México, un técnico informático monitorizaba los mensajes entrantes en la red Swift, el sistema que controla los envíos de dinero alrededor del mundo. Su trabajo era verificar las transferencias de fondos para asegurarse de que coincidieran con las órdenes de pago emitidas por Swift.

Ese día, el volumen de transacciones era varias veces mayor al normal. El empleado revisó los mensajes de Swift hasta que descubrió algo: transacciones inusuales en la cuenta de Standard Chartered que Bancomext utilizaba para hacer transferencias internacionales. El banco más tarde descubriría que “hackers” de presunta procedencia norcoreana habían tratado de desviar más de 110 millones de dólares, obligándolo a suspender temporalmente las operaciones en su plataforma internacional de pago.

En todo el mundo, una serie de ataques dirigidos a las conexiones de los bancos con la red Swift ha ocasionado que las instituciones financieras establezcan nuevas medidas de seguridad. El ataque más famoso se produjo en 2016, cuando delincuentes intentaron robar mil millones de dólares al Banco Central de Bangladesh.
Pero en México, tanto las autoridades como el banco mantuvieron en secreto los detalles que rodearon el asalto a Bancomext, lo que significa que el sistema financiero del país nunca recibió la valiosa llamada de alerta que podría haberlo ayudado a protegerse contra una nueva serie de intrusiones cibernéticas.

Pocos meses después, en abril, los “hackers” emprendieron una ofensiva contra instituciones financieras mexicanas atacando sus conexiones al sistema de transferencia de pagos del país, conocido como SPEI. Hasta el momento, el robo asciende a por lo menos US$15 millones. Si bien las autoridades no saben dónde se originaron los ataques, sospechan que fueron orquestados por grupos sofisticados que se confabularon con los titulares de las cuentas para retirar cantidades masivas de efectivo de sucursales bancarias en todo México. Las autoridades dicen que aún no están seguras de que los ataques hayan terminado.

“Todavía hay una cultura de reactividad cuando se trata de riesgos cibernéticos”, dijo Michael Rohrs, director asociado de ciberseguridad de la consultora Control Risks en Washington.
Todas las noticias sobre el atentado contra Bancomext y el incidente de Swift con el Banco Central de Bangladesh podrían haber sido una llamada de atención bastante fuerte para el sector.

Un representante de Bancomext dijo que la entidad siguió todos los protocolos de seguridad y se comunicó con las autoridades desde el principio. Los responsables de prensa de Standard Chartered y Swift se negaron a comentar el caso.

Los expertos en ciberseguridad y los ejecutivos bancarios que hablaron con Bloomberg señalaron que las fallas en la comunicación y la mala coordinación entre las instituciones financieras y los reguladores contribuyeron a propagar el ataque actual dirigido a tres bancos, una correduría y una unión de crédito. Si hubieran sabido cómo se perpetró el asalto a Bancomext, los bancos se habrían protegido mejor.

Una portavoz del Banco de México (Banxico) dijo que compartir información es muy importante, pero que las instituciones que sufren ataques cibernéticos no siempre los reportan por temor a que afecte su reputación Banxico dice no tener ningún motivo para creer que el actual incidente con el sistema SPEI esté relacionado con el intento de atraco de Bancomext en enero.
Aunque ambos consistieron en “ataques de intermediario”, dijo, uno explotó la vulnerabilidad en los sistemas internacionales de pagos, mientras que los últimos ataques afectaron al sistema doméstico de transferencias electrónicas. El Banco Central ha mantenido una línea de comunicación abierta con todos los participantes de SPEI desde el primer incidente.

En las oficinas de Bancomext, los ejecutivos tomaron medidas en cuanto se descubrieron las anomalías en el sistema Swift. El banco, con 13 mil millones de dólares en préstamos activos y responsable de promover el comercio internacional de México, suspendió operaciones y envió a algunos trabajadores a casa. Los teléfonos se desconectaron y el banco cerró su servidor de correo electrónico. Los funcionarios pronto identificaron que las transacciones inusuales eran pagos que habían sido disfrazados como una donación del banco mexicano de comercio exterior a una iglesia coreana.

Afortunadamente para Bancomext, cuando ocurrió el incidente, en Seúl eran las 03:00 horas y los bancos aún no abrían, así que el dinero no había llegado a destino. El banco tuvo tiempo para ponerse en contacto con funcionarios de Standard Chartered, que pudieron detener la transferencia.

Una vez que el Banco Central tuvo conocimiento del ataque contra Bancomext, instruyó a otros bancos que verificaran la seguridad de sus operaciones, pero no les proporcionó ningún detalle sobre qué buscar.
Un portavoz del Banxico dijo que el “nivel de detalle” proporcionado por el Banco Central reflejaba la cantidad de información disponible en ese momento.