Ciberataques contra usuarios e instituciones financieras crecen en México

En 2024, el sector financiero mexicano enfrentó un panorama alarmante: cuatro instituciones bancarias fueron víctimas de ciberataques, con pérdidas estimadas en 483.85 millones de pesos, lo que representa un incremento de 443% respecto a 2023, cuando los daños ascendieron a 89.08 millones de pesos. 

Fabio Assolini, director del Equipo de Investigación y Análisis Global de Kaspersky en América Latina, dijo que, si bien el sector financiero es uno de los más avanzados en términos de digitalización y ciberseguridad, también es el más atacado debido a su naturaleza.

“Los bancos invierten en herramientas de detección, protección y autenticación, pero los cibercriminales no descansan. Siempre buscan brechas o nuevas tecnologías para cometer fraudes”, dijo en entrevista.

Ataques a instituciones

Mientras los usuarios son víctimas de técnicas masivas, los bancos enfrentan amenazas más complejas. Assolini mencionó al Grupo Lázaro, activo desde 2016, que inicialmente atacó la red Swift (utilizada para transferencias internacionales) y robó millones de dólares en Asia y Latinoamérica. Este grupo ha evolucionado hacia tres estrategias:

1. Ataques a empresas de criptomonedas: Cambiaron su enfoque hacia exchanges y fintech.

2. Supply chain: Infectan software de proveedores que usan los bancos (como sistemas contables) para infiltrarse en sus redes.

La colaboración internacional es fundamental. Assolini citó el caso de Grandoreiro, donde Interpol, junto con policías de España y Brasil, logró arrestar a parte de la banda. Sin embargo, “estos criminales operan desde otros países, lo que dificulta su captura”, advirtió.

Ataques a usuarios

Entre los métodos más utilizados contra los usuarios destacan:

• Troyanos bancarios: Malware que se instala en dispositivos y roba credenciales al acceder a aplicaciones o páginas bancarias.

• Ingeniería social: Correos falsos, SMS o llamadas que simulan ser entidades bancarias o gubernamentales (como el SAT), creando urgencia o miedo para que las víctimas descarguen archivos maliciosos.

• Anuncios engañosos: Campañas en Google o redes sociales que redirigen a páginas falsas.

Un caso emblemático es el troyano Grandoreiro, originario de Brasil pero con una versión adaptada exclusivamente para México en 2024.

“Esta variante solo incluía 30 bancos mexicanos en su código y usaba temas locales, como el CFDI (Comprobante Fiscal Digital por Internet), para engañar a las víctimas”, dijo Assolini.

Adjudicación y castigo

Uno de los mayores desafíos en Latinoamérica es la falta de leyes duras contra el cibercrimen.

“En México y la región, las penas son mínimas. Un criminal puede ser arrestado varias veces pero pasar poco tiempo en prisión”, dijo Assolini.

Comparó esta situación con Estados Unidos, donde carders (especialistas en clonar tarjetas) han recibido condenas de 30 años.

Esta impunidad, sumada a la naturaleza transfronteriza del cibercrimen, incentiva a jóvenes con conocimientos técnicos a dedicarse al delito.

“Mientras no haya leyes más severas, el cibercrimen seguirá creciendo”, dijo.

Para mitigar los riesgos, Assolini compartió algunas recomendaciones:

Para bancos:

• Adoptar Threat Intelligence: Reportes técnicos confidenciales que alerten sobre nuevas técnicas de ataque.

• Monitorear proveedores de software para evitar brechas en la cadena de suministro.

Para usuarios:

• Usar soluciones de seguridad (antivirus, herramientas de autenticación).

• Evitar hacer clic en enlaces de correos, SMS o anuncios sospechosos.

• Descargar aplicaciones bancarias solo desde tiendas oficiales.

• No compartir códigos OTP (contraseñas de un solo uso).

Para empresas:

• Designar dispositivos exclusivos para operaciones bancarias.

• Capacitar empleados en identificación de phishing.

rodrigo.riquelme@eleconomista.mx