El ataque malicioso al que México estaría, o quizá ya esté sometido, tiene como objetivo robar la información sensible de los clientes de banca electrónica del Banco Nacional de México, de acuerdo con un reporte del proveedor de soluciones de seguridad Trend Micro.

Los clientes del Banco Nacional de México constituyen 44% de los internautas bancarizados en México cuyo total suma 3.4 millones, aunque dichos clientes también tienen cuentas en otros bancos, según el Estudio de banca por Internet en México realizado por la Asociación Mexicana de Internet (AMIPCI). De acuerdo con el mismo documento, 48% de los internautas que son clientes de servicios bancarios utilizan la banca en línea que ofrece la institución.

Por otro lado, Prodigy de Telmex cuenta con una buena participación del mercado de ISP en México con la plataforma ADSI, con aproximadamente 45% del total de los suscriptores de banda ancha. De acuerdo con la firma de investigación Select, 78% del total de las cuentas instaladas de acceso a Internet en el país son de banda ancha, es decir, 3.9 millones. Cruzando los números, el impacto podría ser considerable.

La banca comercial en México ha contabilizado que los fraudes en banca en línea ascienden a 100 millones de dólares, pero la cifra podría llegar a 600 millones de dólares, aseguraron expertos del sector al periódico Reforma en diciembre del año pasado. Tan solo Banamex y BBVA Bancomer pierden hasta 10 millones de pesos al día por fraudes en su banca en línea.

De 2005 a 2007, la dirección de delitos cibernéticos de la Policía Federal Preventiva registró un incremento de 1,800% en el phishing, pues pasó de 90 a 1,619 correos o páginas falsas únicas distribuidas miles de veces.

De acuerdo con Juan Pablo Castro, ingeniero de Trend Micro, el exploit llega en correo electrónico con una noticia, la cual tiene emebido un código de explotación, un tag "img src". El título del mensaje y el encabezado de la supuesta noticia es “EU dio 40 años a principal operador del Cartel de Tijuana”. 

Luego de que el usuario abre el correo con formato HTML, el código intenta automáticamente acceder a la consola Web del módem y modificar la base de datos del host local. Posteriormente, ya que ha sido modificada la base de datos del host local, todas las solicitudes que los usuarios hagan para accesar al sitio de banamex.com, son redirigidas al sitio fraudulento, donde el atacante podrá infectar la PC con lo que desee. Lo anterior, aunque el usuario escriba directamente en el navegador la dirección correcta.

“Para los usuarios afectados que quieren tener acceso al sitio bancario, incluso cuando escriben banamex.com, que es un nombre de dominio legítimo, no malicioso y totalmente calificado (FQDN), son dirigidos a un sitio fraudulento. Creo que todos sabemos como va el resto de la historia”, señaló Trend Micro cuando reportó esta semana el eventual ataque.

Un caso prácticamente idéntico fue documentado en un blog, en el cual se describe un procedimiento similar al divulgado por el UNAM-CERT cuando reportó cómo podían explotarse las vulnerabilidades en los ruteadores 2Wire modelos 2700 HG Gateway y 2701 HG Gateway. El mensaje del blogero fue posteado en junio de 2007, lo que podría ser una evidencia de que la explotación de las vulnerabilidades no es reciente y que los cibercriminales ya comenzaron a hacer su trabajo.

Otro blogero posteó en su espacio a finales de noviembre del año pasado el mismo problema. Incluso, aseguró que se había enterado por Banamex, aunque no explica cómo.

La opinión de voceros de Telmex y Banamex fue solicitada por correo electrónico, al cual respondió sólo personal de la telefónica. “Investigamos esta información”, fue la respuesta de Concepción Rivera, de la dirección de Comunicación.