Diversas fuentes coinciden que desde abril pasado, ciberatacantes se infiltraron en el sistema financiero mexicano durante varios días y robaron una suma estimada en 400 millones de pesos de cuentas concentradoras y no de clientes particulares. Hasta hace unos días no había confirmación de que lo ocurrido fuese un ciberataque, y sólo había reportes de que algunos bancos habían registrado grandes retiros de dinero mediante transferencias no autorizadas hacia cuentas falsas.
A finales de abril, el Banco de México (Banxico) emitió un comunicado donde anunciaba que al menos tres bancos locales habían reportado incidentes en el Sistema de Pagos Electrónicos Interbancarios (SPEI), ─plataforma de Banxico─, aunque se hablaba solamente de un intento de ciberataque, e incluso se manejaba una versión extraoficial que apuntaba a un ataque de Denegación de Servicios Distrubuidos (DDoS), según un análisis difundido por ESET.
Recientemente se confirmó que se trató de un ciberataque, y de acuerdo con el gobernador de Banxico, Alejandro Díaz de León, lo que se vulneró no fue SPEI, sino las aplicaciones y la infraestructura que utilizan los bancos para conectarse al sistema interbancario. Aunque por el momento se desconoce el origen del ataque, así como el destino al cual fue transferido el dinero robado, las instituciones y autoridades financieras de México continúan trabajando por esclarecer la situación.
Asimismo, Díaz de León transmitió tranquilidad a los usuarios al hacer hincapié en que el incidente no afectó a ningún cliente ni el dinero que tienen depositado en los bancos. Por otra parte, el gobernador de Banxico aseguró que se están realizando acciones correctivas para fortalecer el sistema y reconoció que no cuenta con elementos suficientes para asegurar que el ataque cibernético terminó. En este sentido, se han implementado acciones desde el ámbito tecnológico, operativo y regulatorio.
En un comunicado de prensa emitido por el Banco de México ayer, la institución aseguró que “las transferencias electrónicas procesadas a través del SPEI, así como a través del resto de los sistemas de pagos a cargo de este Instituto Central, son un medio seguro para realizar pagos”. El Banco de México continuará ejerciendo sus facultades, para implementar las acciones necesarias y cumplir con su finalidad de propiciar el buen funcionamiento de los sistemas de pagos.
¿Qué hacer ahora?
El Laboratorio de ESET Latinoamérica compartió los siguientes consejos para los usuarios, sobre el uso seguro de la banca en línea:
- Utilizar un dispositivo confiable: Cuando se acceda a la cuenta online, la regla más elemental es que utilizar un dispositivo confiable. En general, la mejor elección es utilizar uno propio, como la computadora, la tableta o el celular, porque así resulta más fácil detectar cualquier actividad sospechosa (por ejemplo, cuando el dispositivo se comporta de manera anormal).
- No conectarse desde cualquier red: No todas las redes tienen el grado de seguridad recomendable para utilizar la banca o para pagos en línea. Ni la red Wi-Fi pública de una cafetería, ni las redes abiertas a las que podemos acceder desde cualquier lugar, son las más seguras para ver los ahorros o pagar cuentas. Si no te queda otra opción, al menos utiliza una red privada virtual (VPN) de modo que las comunicaciones queden cifradas (y, así, por más que alguien las intercepte, no las podrá leer).
- Instalar las últimas actualizaciones: Instalar todas las actualizaciones del sistema operativo y del software que se utiliza, para no dejar abiertas posibles puertas de acceso que puedan aprovechar los ciberdelincuentes para conseguir sus datos o infectar el dispositivo. Hay muchos programas que permiten instalar actualizaciones en forma automática, y que buscan parches de seguridad y versiones nuevas, sin que tenga que estar pendiente, lo que ahorra tiempo y maximiza la protección.
- Utilizar un programa de seguridad confiable y actualizado: Antes de acceder a la cuenta de su banca en línea o de hacer un pago por Internet, instale, configure y actualice una solución de seguridad en varias capas, que proteja el dispositivo ante muchos tipos de códigos maliciosos, y también de estafas que se hacen pasar por mensajes de correo electrónico o por sitios web aparentemente inofensivos cuyo objetivo es robar tu información confidencial.
- Crear una contraseña segura, fácil de recordar y difícil de adivinar: Revise si la contraseña de la cuenta de su banca en línea es realmente segura. Para saber cómo crear una buena contraseña, tome en cuenta estas sugerencias. Sin embargo, tener una contraseña segura no es suficiente: una de las reglas más importantes es no reutilizarla para ninguna otra cuenta. Una alternativa muy útil y fácil de recordar son las contraseñas basadas en frases o el uso de gestores de contraseñas, que almacenan la combinación de todas sus cuentas y solo debe recordar una clave maestra.
- Usar la autenticación en dos fases: Si el banco acerca la posibilidad de utilizar un segundo factor de autenticación (2FA) para proteger una cuenta, utilícela, ya que es un método que permite verificar si fue usted quien se conectó o realizó alguna transacción, ya que utiliza una contraseña dinámica de un solo uso, misma que se genera desde su dispositivo móvil o a través de un mensaje SMS a su teléfono. Entonces, aunque alguien obtenga su contraseña, no la va a poder utilizar porque no será capaz de pasar la segunda verificación.
- No dejarse engañar: Los ciberdelincuentes harán literalmente lo que sea para obtener información o datos confidenciales: fingirán que trabajan para un banco, harán llegar una notificación falsa o enviarán un correo electrónico con un enlace para cambiar la contraseña. Esas son algunas de las mentiras de las que se valen para los engaños y hacer que se revele información sobre tarjetas o la contraseña de una cuenta. Recuerde que, si recibe un correo en el que te solicitan cambiar los datos de acceso de su cuenta o seguir un enlace, es importante asegurarse de que sea genuino. Lo mejor es llamar por teléfono al banco o ir en persona. Los bancos jamás solicitan esta información por correo electrónico.
- Use el botón “Desconectar”: Si no va a continuar utilizando la cuenta por el momento, lo mejor es desconectarse. Si un ciberdelincuente intenta acceder a una sesión, le resultará más difícil perjudicar al usuario cuando la cuenta está cerrada. Recuerde terminar todas sus sesiones una vez que haya concluido sus actividades.
- Active las notificaciones por mensaje de texto: Si solo se ingresa a la cuenta de banca en línea una vez por mes o menos, active la recepción de notificaciones en el teléfono celular: tener información actualizada sobre las últimas transacciones ayudará a reconocer cualquier actividad sospechosa.