Banco central hackeado carecía de cortafuegos y utilizaba switches de 10 dólares

La negligencia en la protección de la red del Banco Central de Bangladesh fue un factor decisivo para favorecer el hackeo de sus sistemas y consiguiente hurto de US$ 81 millones.

En febrero pasado, desconocidos transfirieron US$ 81 millones desde la cuenta del banco bengalí en Federal Reserve Bank de Nueva York, a cuentas bancarias en Filipinas y Siri Lanka. Un error de digitación impidió que el importe sustraído fuese aún mayor.

El director del Instituto de Capacitación Forense de la Policía de Bangladesh, Mohammad Shah Alam, comentó la agencia Reuters que el banco simplemente no había instalado firewall, aparte de utilizar switches, adquiridos de segunda mano a US$10 por unidad, para conectar sus servidores a la red global SWIFT.

Según Alam, el departamento SWIFT del banco, que consiste de una sala sencilla donde hay cuatro servidores instalados, debía haber estado desconectado del resto de la red del banco, algo que podía conseguirse con la utilización de switches y routers de mejor calidad. Según el funcionario policial, el banco también debió haber contado con vigilancia física las 24 horas del día, de todas las actividades realizadas en esta sala.

Una vez consumado el robo, el banco fue visitado por técnicos de SWIFT quienes, como podía esperarse, recomendaron actualizar el sistema. La pregunta que se hace la policía es por qué esta recomendación no se produjo anteriormente.

Expertos en seguridad informática contactados por Reuters consideran preocupante que una entidad bancaria con acceso a miles de millones de dólares no había instaurado medidas de seguridad fundamentales. Otros expertos consultados opinan que probablemente hay otros bancos centrales en países en desarrollo, con rutinas de seguridad informática igual de deficientes. Una de las explicaciones planteadas es que el presupuesto de seguridad es principalmente destinado a la protección física del banco.

La agencia agrega que Bangladesh Bank aún no ha podido establecer con certeza el destino de las transferencias, y menos aún identificar a los responsables.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022