Mi teoría sobre el Hackeo al SPEI

Hola tyros!

Ya son varios los días en que el Hackeo al Sistema de Pagos Electrónicos Interbancarios (SPEI) se encuentra entre las noticias mas polulares de los principales medios electrónicos. Y no es para menos.
La mayoría mencionan entre líneas "el dinero de los clientes está seguro"; y yo pienso para mi mismo "eso espero". Pues en estas circunstancias, no se que es mas seguro entre tener mi dinero en el colchón o en un banco.
La noticia se ha vuelto tema de conversación entre mis compañeros de trabajo, quienes comenzaron a hacerme preguntas al respecto. A continuación, una lista de preguntas que me hicieron y, a modo resumen, las respuestas que di:

¿Quien pudo hacer eso?

Alguien (uno o varios) que conoce el sistema SPEI.

¿Como cuantas personas?

Tecnicamente solo se necesita una, pero se necesitan varios actores materiales haciendo varias funciones.

¿Que funciones?

Se requiere una persona que oprima un botón, para ejecutar el programa o script, alguien dentro de los bancos afectados que distraiga al personal de sistemas, o mejor aún, alguien de entre el personal de sistemas.

¿Cómo lo hicieron?

Realmente no se como lo hicieron. Se me ocurre que se aprovecharon alguna vulnerabilidad del sistema. Esta vulnerabilidad puede consistir en errores de confirmación. Por ejemplo: banco origen envia dinero, intermediario (Banco de México) lo recibe y le informa a banco origen que el dinero fue recibido, banco destino no recibe dinero; pero banco origen asume que el dinero ya fué depositado a la cuenta del destinatario.

¿Eso significa que el problema es del Banco de México?

Si yo fuera el Banco de México, lo negaría.

¿Hackearon al Banco de México?

Hackearon todo el sistema. Como rector, el Banco de México es el responsable. Simplemente no puede lavarse las manos y apuntar a ciertos bancos.

¿Cómo lo hicieron?

Ya les dije que no se como lo hicieron, pero tengo esta teoría:

Imagínense a dos personas y sus respectivos bancos, teniendo al Banco de México como intermediario: Alba y Pedro.
Alba hace un pago a Pedro. El banco de Alba deposita el dinero en el Banco de México, informándole que es para Pedro. El Banco de México le informa al banco de Alba que tiene el dinero, así que el banco de Alba le hace el cargo a su cuenta. Alba piensa que Pedro ya tiene el dinero, o que lo recibirá a mas tardar el siguiente dia hábil, luego de las 12pm.
Mientras tanto, el Banco de México envía el dinero al banco de Pedro, pero el dinero no llega a la cuenta de Pedro, sinó a una cuenta fantasma que está en control del Hacker, quien ha creado, en diferentes bancos, muchas cuentas fantasma que puede controlar.
Cuando la cuenta fantasma recibe el depósito, inmediatamente hace otra transferencia a otra cuenta fantasma, en otro banco. El proceso se repite desde el comienzo, pero ahora con cuentas fantasma. De tal manera que se hacen transacciones que se desvian en algun punto intermedio.
Imaginense una cuenta fantasma enviando dinero a otro banco, que termina depositando el dinero a otra cuenta fantasma, distimta a la que originalmente estaba dirigida la transacción. Este proceso puede repetirse cientos de veces, hasta que se pierda el rastro del dinero.

¿Que hacer ahora?

Dejar de usar SPEI inmediatamente, y usar el sistema anterior. Estar al pendiente, pues el sistema anterior es antiguo. Por alguna razón migraron a SPEI, los problemas que quisieron evitar están latentesl junto con los actuales.




No hay comentarios:

Publicar un comentario