Bancomext y el SPEI, sus blancos
Jueves 4 de octubre de 2018, p. 24
El grupo de hackers norcoreanos APT38 está detrás un ataque cibernético al Banco Nacional de Comercio Exterior (Bancomext) por 110 millones de dólares en enero de este año y fue el antecedente al hackeo del sistema de pagos electrónicos interbancario (SPEI) del Banco de México en abril pasado.
El grupo delictivo tiene presencia en 16 países y su modus operandi es usar infiltrados para obtener información privilegiada para después llevar a cabo los hackeos.
De acuerdo con el estudio elaborado por el grupo de expertos estadunidenses FireEye, estos ciberdelincuentes son responsables de ataques a 16 organizaciones financieras en 11 países de América Latina desde 2014, con la intención de robar al menos mil 100 millones de dólares. Los recursos, señala el estudio, son para financiar el régimen de Kim-Jong Un.
El pasado 26 de septiembre, durante un seminario sobre Ciberseguridad Marc Goodman, asesor de la fuerza antiterrorista de la ONU, OTAN y del gobierno estadunidense, confirmó que el Banco de México logró evitar el robo a Bancomext por 110 millones de dólares.
Hasta el momento las autoridades financieras mexicanas no han responsabilizado directamente a ningún grupo de los ciberataques.
Un informe publicado ayer miércoles por la firma de ciberseguridad FireEye dijo que hace poco tiempo lograron identificar a un grupo apodado como APT38. Esta célula de piratas actúa de forma diferente a otras, pero está igualmente vinculada a Corea del Norte y su principal tarea es recaudar fondos.
FireEye indicó que APT38 es una de varias células que forma parte de una red conocida como Lazarus, pero que su accionar único y sus métodos la distinguen, y son lo que le han permitido llevar a cabo algunos de los atracos informáticos más espectaculares a nivel mundial.
Entre las víctimas de estos piratas informáticos están el mexicano Bancomext, que sufrió un ataque en enero de 2018 y el Banco de Chile que fue atracado en mayo de este año.
Algunas claves sobre APT38 fueron reveladas durante el proceso de inculpación el mes pasado contra Park Jin Hyok, un programador norcoreano a quien las autoridades estadunidenses imputan los cargos de conspiración
y vinculan con grandes ataques informáticos como el del virus WannaCry 2.0, la embestida que sufrió Sony Pictures en 2014 y la ofensiva contra el Banco Central de Bangladés en 2016.
En el caso de México, en enero pasado Bancomext registró un comportamiento inusual en sus computadoras y determinó apagarlas, pero los hackers ya habían desviado 110 millones de dólares. Bancomext solicitó apoyo a Banco de México para congelar su plataforma de pagos internacionales momentáneamente –su sistema de transferencias electrónicas en dólares (SPID), equivalente al SPEI.
Cabe destacar que la Procuradruría General de la República, por conducto de la Agencia de Investigación Criminal, en colaboración con la FBI, identificaron en la infraestructura del ciberespacio mexicano un software malicioso de origen norcoreano.
Se logró ubicar que el software malicioso se encontraba alojado en equipos de cómputo perteneciente a una empresa privada de telecomunicaciones ubicada en la Ciudad de México.
Sandra Joyce, la vicepresidenta de la unidad de inteligencia de FireEye, dijo a periodistas en Washington Son un grupo cibercriminal, pero con habilidades de una campaña de ciberespionaje
,
Joyce destacó que unas de las características de APT38 es que se toman varios meses, incluso han tardado casi dos años en penetrar un sistema para aprender su funcionamiento y conocer bien sus objetivos antes de lanzarse al ataque.
Ellos se toman su tiempo para aprender las complejidades de la organización
, sostuvo Joyce, quien indicó que los piratas habrían intentado transferir de manera ilegal casi mil millones de dólares.
Una vez que logran su fines, “entonces despliegan un programa malicioso malware antes de salir” para esconder sus trazas y hacer que sea más difícil para las víctimas darse cuenta de lo ocurrido.
Joyce explicó que FireEye decidió alertar sobre los riesgos porque al parecer el grupo sigue operando y no ha sido disuadido por ningún esfuerzo diplomático
.