Conecta con nosotros

Noticias

SWIFT y Bangladesh, ¿quién es responsable del robo?

Publicado el

responsable

Hace sólo unos días te contábamos que el Bangladesh Central Bank había sufrido un ataque, y que los ciberdelincuentes que lo perpetraron lograron hacerse con un botín de 81 millones de dólares que, desviados a casinos y otras entidades, todavía no han podido ser recuperados. Según el informe de la consultora de seguridad BAE Systems, los ladrones aprovecharon una mezcla de falta de medidas de seguridad en los sistemas de la entidad bancaria, y algunos agujeros de seguridad en SWIFT, la plataforma y conjunto de herramientas empleadas por bancos y entidades financieras de todo el mundo para realizar operaciones internacionales.

Como ocurre siempre en estos casos, puede pasar mucho tiempo hasta que se desvele toda la verdad sobre cómo y en base a qué se pudo efectuar el ataque, y eso si llegamos a saberlo. Sí que es público que la cooperativa de entidades sacó a la luz, al tiempo que conocíamos el informe de la consultora, actualizaciones para las herramientas cuya seguridad se había visto comprometida, si bien afirmaba que había que poner especial cuidado en el uso de las mismas, apuntando de esta manera a la responsabilidad de los usuarios.

Sin embargo, la Agencia Reuters publica hoy que los resultados de la investigación llevada a cabo por las autoridades locales y la propia entidad apuntan a que los responsables son los técnicos de SWIFT, que se responsabilizaron de la instalación y conexión del software del banco con la red del sistema. Según palabras de Mohammad Shah Alam, principal responsable del departamento de investigaciones criminales de la policía de Bangladesh, las vulnerabilidades de los sistemas son fruto directo del trabajo efectuado por los técnicos al instalar y configurar RTGS (real-time gross settlement), el sistemas de SWIFT para la realización de transferencias entre entidades bancarias y bancos centrales, y no Alliance Access, el software de mensajería al que se culpó en un inicio del problema, y que fue actualizado la semana pasada. En palabras del propio Alam, «hemos encontrado muchas lagunas (de seguridad). Los cambios realizados se tradujeron en mucho más riesgo para el banco de Bangladesh».

Parece ser, siempre según las fuentes de esta investigación citadas por Reuters, que los técnicos se saltaron los procedimientos determinados por SWIFT. Y, a consecuencia de ello, la seguridad de todo el sistema quedó limitada a una simple contraseña para lograr el control absoluto (incluso de manera remota, como hicieron los ciberdelincuentes). La infraestructura en la que se encontraba el ordenador atacado no contaba con un firewall (algo que pone los pelos de punta) y el tráfico de red era gestionado por un switch bastante básico, algo totalmente inadecuado para un entorno que debe ser seguro.

La patata caliente

Así, un directivo del banco afirma que es responsabilidad de la cooperativa y sus técnicos el revisar la seguridad completa del sistema una vez que han realizado la instalación e interconexión. Algo que, visto lo visto, no hicieron, pues de lo contrario habrían tomado medidas para que la entidad se tomara en serio la seguridad de sus redes. Así, los responsables del Bangladesh Central Bank consideran que SWIFT debe asumir parte de la responsabilidad del robo.

Está claro que, en primera instancia, la responsabilidad de la infraestructura es del propio banco, pues es quien la diseña, implementa y administra, pero también es cierto que, si existen unas condiciones de seguridad para emplear la red de SWIFT, sus técnicos deberían ser especialmente puntillosos en lo que se refiere a la aplicación de las mismas. Y saber que el robo podría deberse a la laxitud en el trabajo de los técnicos, hace preguntarse si este es un caso aislado o, por el contrario, hay más entidades interconectadas pese a no cumplir las condiciones de seguridad adecuadas.

El consorcio bancario ha declinado efectuar declaraciones al respecto, si bien afirman que RTGS sigue siendo un sistema seguro, apuntando así (de nuevo) a la responsabilidad de la entidad bancaria. Vista la situación, y a falta de más información al respecto, lo más probable es que nunca lleguemos a saber quién es el culpable real de lo ocurrido. Y no tanto porque seguramente acaben culpándose los unos a los otros (ya han comenzado a explorar esa vía), sino por que, como suele ocurrir casi siempre en estos casos, se trate de un problema de responsabilidad compartida.

Lo más leído