Los diarios de Europa y Estados Unidos se han apurado en calificarlo como el robo informático más grande de la historia. Una banda de delincuentes cibernéticos robó cerca de 1 000 millones de dólares desde finales de 2013 a un centenar de bancos enRusia, Europa del Este, China y Estados Unidos, según publicó primero The New York Times el sábado ultimo, basado en un informe de la empresa de ciberseguridad rusa Kaspersky Lab.
El hilo de la madeja empezó a desenredarse hace un año al hacerse evidentes unos movimientos anómalos en los sistemas de las instituciones financieras. Por ejemplo, en Kiev, las cámaras de seguridad sobre un cajero automático registraron cómo la maquina comenzó a dispensar billetes de modo indiscriminado para sorpresa de un transeúnte.
Entonces, dicho banco ucraniano pidió a Kaspersky que se pusiera en contacto con la Interpol y Europol. Una vez reunidos y sospechando de alguna inteligencia detrás de estas 'fallas', se comenzó a ejecutar el "Operativo Carbanak", el cual aún sigue activo pues al parecer hasta ahora se ha descubierto solo la punta del iceberg.
A través del "phishing"
Una de las principales características del grupo delictivo Carbanak es que no acechaba los datos de los clientes de los bancos afectados, su interés se dirigió de manera directa a las entidades ubicadas mayormente en Rusia y China, pese a que solo unos bancos admitieron haber sido perjudicados. El resto prefirió la discreción.
¿Cómo se efectuó este golpe? Todo indica que las operaciones se iniciaron en noviembre y diciembre del 2013 por medio del 'spear phishing'.
Los hackers usaron esta técnica en la cual se envían correos de una cuenta falsa, pero esta vez no fue a los clientes sino a los trabajadores bancarios. Los mails parecían de su propia institución financiera. Esos correos infectaron sus computadoras con una forma de malware llamada Carbanak, y les dieron a los ciberpiratas acceso a la red interna. Enseguida emularon las acciones de trabajadores encargados de las transferencias de fondos.
Una vez que el empleado bancario revisaba el mensaje se descargaba un archivo adjunto con códigos maliciosos y de esta manera, y sin que el usuario lo sepa, el delincuente al otro lado obtenía el control de la computadora.
Este ataque específico, a diferencia de otros con objetivo masivo, se dirigía a los trabajadores simulando ser comunicaciones ordinarias del banco y llevaban adjuntos archivos '.doc' de Microsoft Word (en las versiones 97 a 2003) o '.CPL' del Panel de Control de Windows, en los que estaba el malware.
Una vez dentro de las computadoras de las víctimas, los cibercriminales, usando un programa que grababa cada movimiento aparecido en el monitor, aprendían las rutinas de los trabajadores, cada movimiento, las operaciones a las que accedían por varios meses. Los hackers, así, ni siquiera tuvieron que entrar a los servidores bancarios.
Ya con la puerta libre navegaban en las redes de las empresas y se hacían con los sistemas vinculados a las operaciones de transferencia de dinero y cajeros automáticos.
Con ello se programaban los cajeros para que entreguen sumas considerables a una hora determinada y allí, atento, esperaba un delincuente de la organización.
También obtuvieron cantidades mayores por medio de transferencias desde bancos de Estados Unidos, Holanda, Japón, Rusia, Suiza a cuentas bancarias de otros países.
A los ladrones les tomaba en promedio entre dos y cuatro meses concretar el robo. Se calcula que los primeros retiros se llevaron a cabo entre febrero y abril del año pasado. El punto máximo de infecciones se registró en junio del 2014. Varios bancos, una vez alertados, guardaron silencio para evitar el desprestigio.
ESTRATEGIA NOVEDOSA
Uno de los expertos rusos de Kaspersky que llevó a cabo la investigación, Sergey Golovanov, declaró a The New York Times que "el objetivo era imitar las actividades" diarias en los bancos. "De esa manera, todo se veía como una transacción normal de cada día", comentó en entrevista telefónica desde Rusia.
El diario agrega que los atacantes establecieron cuentas falsas en bancos de Estados Unidos y China que podrían servir como destino de las transferencias. Informantes de la investigación habrían indicado que así ocurrió en cuentas en JP Morgan Chase y el Banco Agrícola de China. El diario norteamericano no tuvo comentarios de estas entidades.
Vicente Díaz, analista español de Kaspersky Lab, refiere que si bien el método del 'phishing' utilizado por esta banda no es nueva para el hampa virtual, sí lo es su estrategia audaz y su ambición, lo cual resultó en un éxito sin precedentes.
Y es debido a esta novedad delictiva que los expertos de la empresa de ciberseguridad se dieron cuenta de las anomalías en aumento. "A partir de ahí empezamos a investigar a gran escala y montamos un grupo de investigación para colaborar con los equipos técnicos de los bancos y las policías de los diversos países afectados", recuerda Díaz.
Desde ese momento se comenzó a divulgar la información entre los bancos a los que Kaspersky pudo alcanzar. Fue por las filtraciones de la información que se decidió hacer de conocimiento público el caso.
SE DESCONOCE LA CIFRA
La cifra de los 1 000 millones de dólares es, por el momento, un cálculo. Y ello porque, pese a que Kaspersky se ha contactado con un buen número de bancos a nivel mundial, la gran mayoría hasta ahora no adopta una acción conjunta. La empresa de seguridad siguió los rastros informáticos para llegar a los posibles perjudicados. "Les avisamos lo que descubrimos y verifican si sufrieron robo o no. Por supuesto, no están obligados a contestarnos o a colaborar con la investigación. Pueden averiguar con sus propios equipos de seguridad o con la Policía", comenta Vicente Díaz.
Kaspersky en realidad cree que poco pueden hacer las entidades financieras frente a este ciberataque, pues no tienen debidos sistemas antifraudes, no están a la par de la astucia del grupo criminal. Incluso las operaciones no se realizaban a lo grande, sino bajo la fachada de transacciones de montos rutinarios, en un gran número de cuentas.
Se calcula que a cada banco se le sustrajo entre dos y diez millones de dólares. La razón de estas cifras es para mantenerse bajo los límites, no se activen las alarmas y aparentar estar dentro de la normalidad.
La banda además ingresaba el virus a equipos ya seleccionados y comenzaba a monitorear a cada individuo y no en grupo como se realizan otros ataques por internet.
Sabían que no existe una herramienta de seguridad con la capacidad de cubrir todas las intromisiones de manera simultánea. La banda Carbanak por eso usaba herramientas de administración genéricas, de uso común y no sofisticados programas de espionaje.
Por como se ha actuado, reflexiona Díaz, se trata de una organización con mucha gente involucrada, ya que un equipo controlaba segundo a segundo cientos de horas de grabaciones de los movimientos de las pantallas de las computadoras infectadas, otro revisaba al milímetro cada rutina de los trabajadores, un tercer grupo acudía a los cajeros infectados para retirar el dinero y otro 'lavaba' el dinero robado. Lo que se ignora es si se trata de una organización o si varias colaboran en las diferentes tareas.
Mientras tanto, se asegura que la banda Carbanak aún sigue activa. Y el operativo avanza. Se espera que en los próximos días aparezcan más perjudicados y el monto del botín aumente.
CLIENTES DE ENTIDADES AFECTADAS TAMPOCO ESTÁN A SALVO
Pese a que el ataque no estaba dirigido a las cuentas de clientes, Sergey Golovanov, investigador de Kaspersky, pidió no bajar la guardia. "Persiste el peligro para los clientes. Los delincuentes tuvieron acceso a toda la infraestructura bancaria, así que pudieron llegar a la información de los clientes", alertó Golovanov.
El Financial Services Information Sharing and Analisis Center, consorcio de entidades bancarias norteamericanas, advirtió a sus asociados acerca de este ataque. Se han celebrado reuniones con las fuerzas de seguridad para tratar el asunto.
Debido a la amenaza, la mayor parte de clientes de bancos estadounidenses se encuentra asegurada contra cualquier robo mediante la Corporación Federal de Seguro de Depósitos. El seguro cubre cualquier suma hasta 250 000 dólares.
Si el cliente no ha pedido información es preferible no abrir ningún archivo adjunto que venga de un correo electrónico, así sea del banco de confianza.
CLAVES
Robo frustrado. Hace 11 años, el banco japonés Sumitomo Mitsui fue atacado por hackers que lograron robar contraseñas de cuentas bancarias. Se lograron sustraer 420 millones, pero los ladrones fueron capturados al intentar mover 27 millones a un banco israelí.
Labor diaria. Un hacker apodado 'Soldado' utilizó un conjunto especial de herramientas para la piratería virtual llamado SpyEye para robar 17 000 dólares diarios a tres bancos estadounidenses por seis meses.
EN CIFRAS
US$ 7,3
millones es la pérdida que sufrió uno de los bancos afectados por sustracción a través del cajero automático.
30
países cuentan con entidades víctimas de este ciberataque.
US$ 10
millones perdió otro banco cuando los piratas se infiltraron en su plataforma de banca online.
No hay comentarios:
Publicar un comentario