¿Ataque DDOS a Spei?

Existe mucha confusión con respecto a los problemas que presentó el viernes pasado el Sistema de Pagos Electrónicos Interbancarios (Spei) lo que ocasionó que hubiera lentitud en las transferencias.

LO QUE SABEMOS

El sistema Spei fue desarrollado por el Banco de México y es uno de los mejores del mundo, es más no lo tiene ni Obama, y es que en Estados Unidos el sistema de operaciones bancarias entre instituciones tiene 44 años edad por lo que hacer una transferencia electrónica de dinero entre bancos tarda varios días. En contraste, en México el Spei comenzó a funcionar en agosto de 2004 y permite realizar pagos en pesos por cuenta propia y a nombre de cuentahabientes en tiempo real las 24 horas del día los 365 días del año, el promedio para liquidar un pago es de 1.9 segundos.

El Spei es un protocolo abierto y propietario que permite validar la autenticidad de la institución que origina una instrucción de pago. Hay 15 tipos de operaciones siendo las más comunes las que realizan las instituciones financieras entre ellas; por ejemplo Banamex le paga a Banorte, también las que realizan el cliente de una institución al cliente de otras institución, es decir Juan Carlos que tiene cuenta en Banorte le transfiere dinero a Sandra que tiene cuenta en BBVA Bancomer o de la tesorería de una empresa, por ejemplo para pagar la nómina. Adicionalmente también se ejecutan los pagos del gobierno federal desde la Tesorería de la Federación. Es importante destacar que Spei no depende de un lenguaje de programación, sistema operativo o algún tipo de arquitectura de software.

¿Cómo opera? Un cliente por ejemplo Juan Carlos envía una transferencia a Sandra, la operación es conocida como una instrucción de pago, si la cuenta de Juan Carlos tiene fondos suficientes se envía a la instrucción, de lo contrario se rechaza, luego el Banco de México determina si la firma de instrucción es válida; si no lo es, la rechaza, si lo es se verifica que el formato sea correcto, en caso de ser así se envía una notificación al banco y la transferencia se va a la cola de pagos, cuando se liquida se notifica al emisor y al receptor y se acreditan los recursos.

También sabemos que los afectados fueron Banorte, Banjército y una casa de Bolsa pequeña. Banorte dijo que presentaron una sola incidencia el viernes 27 de abril y que ya están operando de manera normal. Los que no fueron afectados aunque sí fueron señalados fueron Banamex, BBVA Bancomer y CI Banco.

¿Cuál es la explicación del ataque? Las instituciones mencionadas fueron afectadas por un aplicativo que conectaba sus sistemas al Spei y ese problema ocasionó que esas y otras entidades recurrieran a una plataforma alterna que es más lenta. ¿Qué se perdió? El sueño de los encargados de sistemas de los bancos ya que de acuerdo con Banxico no se han detectado pérdidas monetarias de los cuentahabientes.

También podemos saber que no fue un ataque conocido como Distributed Denial of Service (DDoS) señalado como denegación distribuida de servicio, al menos no lo fue en el sentido tradicional del término debido a que un ataque DDoS implica una saturación que sobrecarga un servidor de computadora y hace imposible que se acceda a una página o un servicio en la red, es como si a la puerta de una casa regular intentaran entrar 100 personas al mismo tiempo.

De haber sido un ataque DDoS los hackers habrían tenido que enviar muchas órdenes de transferencia al sistema Spei, lo cual no parece factible, salvo que hubieran tomado el control de los sistemas del banco y desde las cuentas individuales se hubieran enviado las órdenes de transferencia, pero no parece ser el caso.

Otra opción es que sí se haya registrado un ataque DDoS para distraer a los bancos en cuestión, por ejemplo, a principios de febrero varios bancos holandeses fueron atacados con esta modalidad y se presume que los atacantes rusos buscaban tener acceso a otros datos no relacionados con los bancos. 

LO QUE NO SABEMOS   

No sabemos el nombre de la compañía que es proveedora del aplicativo ni tampoco se sabe cuál fue la naturaleza del ataque y por lo tanto no es clara la remediación a la posibilidad de que vuelva a ocurrir.

Es indispensable que la CNBV junto con el Banxico desarrollen un protocolo de reporte de incidencias públicas lo que además de hacer una comunidad de seguridad más fuerte generaría incentivos reputacionales para que las instituciones bancarias no relajen sus mecanismos de protección informática.  En conclusión, dudo mucho que los incidentes hayan sido primariamente ataques DDoS.