Investigación de Banxico podría durar hasta un año.
El mercado mexicano se encuentra en una fase de migración y transformación digital, lo que explica en parte por qué desde octubre de 2017 el sector financiero está sujeto a una serie de «inusuales» ciberataques ens términos de volumen, proporción y sofisticación; tan solo en abril superaron más de 62 millones de incidentes.
«Independientemente de la tecnología, del sector y del país lo que se debe considerar es que hoy operan bandas internacionales que entienden perfectamente lo que es la globalización, es decir, una interacción desde distintas geografías para detectar y explotar vulnerabilidades presentes en cualquier tipo de tecnología, en cualquier tipo de industria», aseguró Mario Isla Mendoza, director de Marketing y Desarrollo de Negocio de Mnemo.
En entrevista con Con$umotic, el experto de la consultora detalló que la Unidad de Inteligencia de Amenazas de Mnemo-CERT publicó desde el pasado 30 de octubre de 2017, información relacionada con la identificación de una campaña de ciberataques a instituciones del sector financiero mexicano.
Isla Mendoza precisó que la firma «no está en condiciones de afirmar» que lo observado en octubre de 2017, esté asociado a la campaña de mayo pasado que produjo ataques a cinco entidades financieras del mercado mexicano y a las cuales les fueron sustraídos 300 millones de pesos, de acuerdo con datos del Banco de México (Banxico).
Lo de octubre de 2017 se trató de un escenario inusual por el nivel de complejidad en la preparación de los ataques, pero sobre todo por el nivel de conocimiento que tenía la gente que los ejecutó sobre las organizaciones y el sector financiero, «fue el primer ataque que vimos de esta naturaleza».
La Unidad de Inteligencia de Amenazas de Mnemo CERT empezó a observar el patrón de conducta y tras un análisis y una correlación de eventos se pudo tener conocimiento que había un alto grado de dificultad y acciones que posteriormente se pudieron constatar que se trató de una campaña ejecutada contra el sector financiero.
«No decimos que se trate de la misma campaña, del mismo ataque y del mismo escenario (visto en mayo pasado), eso no lo podemos afirmar; sin embargo, vemos características muy particulares, ¿fue un escenario de preparación?, ¿fue a partir de lecciones aprendidas?, no lo sabemos, lo cierto es que se vuelve relevante el listado de indicadores de compromiso que se pudo generar».
El experto en ciberseguridad indicó que se pudieron constatar ciertas acciones previas, luego de las cuales, se detectó la modificación de registros y evasión de filtros de autentificación, pues ya conociendo la operación y donde se ubica cada uno de los componentes, los ciberdelincuentes pudieron cambiar el doble factor de autentificación y ponerlo donde sí tenían control.
Ubicaron también los métodos de alertamiento a los clientes, que son utilizados cuando existe alguna modificación de datos (saldo o compras) y que son enviados al usuario a través de un mensaje telefónico o al correo electrónico; esos parámetros fueron modificados y en el listado de Indicadores de compromiso fijamos los correos electrónicos desechables que fueron utilizados.
«Luego de 12 a 24 horas de ser utilizados esos correos electrónicos son inmolados junto con la cuenta y todo el contenido del buzón, incluso vale la pena mencionar, que estas cuentas carecen de password porque son cuentas finitas; todo ello se trata de acciones y modus operandi que realizaron los ciberdelicuentes durante la campaña visualizada en octubre de 2017».
Isla Mendoza detalló que el reporte completo fue compartido con los clientes de la firma a quienes brinda servicio de notificaciones, en algunos casos al tomar conocimiento del escenario que se presentó solicitaron a Mnemo su apoyo para mitigar estos riesgos.
Respecto a las acciones de análisis y aplicación de esquemas de tecnología forense para encontrar la vía y el origen de los ataques por parte del Banxico, detalló que existe un escenario muy complejo con varios actores, y que exigirá investigar diferentes plataformas y diversas infraestructuras.
Para tener una idea de cuánto durará el proceso, necesitaríamos conocer y estar con estas entidades financieras afectadas y conocer su infraestuctura, pero en escenarios similares pudiera tardar entre cinco meses a un año el proceso de investigación.
Se requerirá de un buen peritaje, de la aplicación de un buen método forense y eso dará la pauta para conocer un poco más de como se llevó a cabo esos ataques y tener un compendio más amplio de las lecciones aprendidas que sumen recomendaciones en materia de seguridad.
C$T-EVP