Una banda de hackers ha logrado robar más de 1.000 millones de dólares (unos 880 millones de euros) a unas 100 entidades financieras en 30 países durante el último año y medio. Vulneran de manera remota los sistemas informáticos de los bancos para, por ejemplo, ordenar a un cajero automático que saque dinero, modificar el total de una cuenta bancaria para multiplicar por diez sus fondos o realizar transferencias a cuentas diseñadas para el saqueo.
Un simple virus troyano infiltrado en los ordenadores de empleados clave en las sedes bancarias ha sido suficiente para perpetrar el que algunos llaman ya el Gran Ciberasalto a la Banca. Un fraude histórico descubierto por la firma de antivirus y seguridad en Internet Kaspersky, en colaboración con la Interpol, Europol y otras autoridades nacionales, cuyos detalles se dieron a conocer en la Cumbre de Analistas en Ciberseguridad que se está celebrando esta semana en Cancún, México.
La banda criminal ha sido bautizada como Carbanak, y los cuerpos policiales ya están tras su pista. “No se trata de una corporación con un núcleo fuerte, sino de pequeños grupos repartidos por todo el mundo que se prestan apoyo entre ellos, que hasta se pasan vídeos tutoriales sobre cómo maniobrar los ordenadores de los empleados de banca. Eso, junto al hecho de que el objetivo del ataque no son los usuarios, sino la misma entidad financiera, es lo que convierte este caso en único”, indica a El Confidencialel investigador jefe de Kaspersky.
“Los ataques se originaron a través de equipos ubicados en Ucrania, Rusia y China principalmente. De hecho, el primer banco que nos puso sobre la pista es ruso. Estaban desesperados, nos pidieron ayuda después de haber perdido 300 millones de dólares. Luego descubrimos que otras entidades financieras habían perdido otros 300 millones en operaciones previas no relacionadas hasta ese instante, y desde el momento en que comenzamos a investigar en 2014 hemos alcanzado ya los 1.000 millones, mientras la banda continúa en activo y la cifra sigue aumentando”, asegura el ingeniero informático.
“Muchos bancos no quieren admitir que han sido víctimas de un robo por preservar su imagen, así que no podemos saber el alcance real de este fraude a menos que sean las mismas entidades las que cuantifiquen cuántos millones han perdido", advierte.
Dos meses en darse cuenta
En este ciberatraco perfecto,los bancos tardan hasta dos meses en advertir el latrocinio. Para entonces ya es tarde. Las operaciones de Carbanak se efectúan en cuestión de minutos. Por ejemplo, a una cuenta bancaria con 1.000 dólares se le añade un cero, alcanzando 10.000. Los delincuentes rápidamente retiran los 9.000 dólares de margen y dejan la cuenta exactamente como la encontraron. El usuario nunca repara en el fraude y la entidad bancaria, cuando lo hace, no sabe de dónde vienen los tiros.
“Tradicionalmente, los ataques contra bancos con código malicioso (malware) tenían como objetivo robar a los usuarios: se les robaban las credenciales y, ya con pleno acceso a la cuenta a través de su aplicación en internet, se les extraía el dinero. En este caso no van contra el usuario, sino contra los ordenadores corporativos del banco; estudian cómo funcionan sus sistemas internos, a veces durante meses, y realizan el fraude contra la entidad en el momento justo y mediante operaciones rutinarias que no levantan sospechas”, afirma Sergey Lozhkin, investigador senior de Kaspersky.
Según información policial, ninguna operación supera nunca los 10 millones de dólares, mientras la banda trata de no sobrepasar la partida de cada banco reservada a fraudes para no levantar sospechas y provocar una investigación interna.
Cualquier producto bancario sirve a estos grupos a la hora de, literalmente, fabricar dinero de la nada. Crean cuentas falsas, modifican las ya existentes de usuarios anónimos, se pasan el dinero desde el banco a cuentas propias en Estados Unidos y China principalmente, o directamente acuden a un cajero concreto y comienzan a saquearlo sin siquiera tocar un botón. Esperan a que la máquina escupa los fajos de billetes a la hora indicada y se los meten en el bolsillo, previo aviso a su contacto mediante un mensaje de móvil de que todo está saliendo bien. El sueño de cualquiera.
Aunque España se encuentra en la lista de países afectados, según los investigadores de Kaspersky no hay datos que confirmen ningún robo. “Se han encontrado rastros de infección en una entidad, pero el equipo de seguridad de la compañía no ha descubierto ninguna operación fraudulenta. Podría tratarse de un falso positivo en el cual los delincuentes han infectado el ordenador equivocado y no han podido operar”, cuentan desde Kaspersky.
La clave para saber si un ordenador ha sido infectado es la presencia de un minúsculo archivo .bin que se reproduce en todos los casos. Si un ordenador clave en una entidad contiene ese archivo, hay muchas opciones de que el banco esté siendo víctima de un fraude a gran escala. Ese es el hilo que ha permitido a Kaspersky y a las instancias policiales relacionar todos los pequeños fraudes y apuntar a la banda Carbanak, en la que se trata de la más sofisticada trama de phishing descubierta hasta la fecha.
Una banda de hackers ha logrado robar más de 1.000 millones de dólares (unos 880 millones de euros) a unas 100 entidades financieras en 30 países durante el último año y medio. Vulneran de manera remota los sistemas informáticos de los bancos para, por ejemplo, ordenar a un cajero automático que saque dinero, modificar el total de una cuenta bancaria para multiplicar por diez sus fondos o realizar transferencias a cuentas diseñadas para el saqueo.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe41%2Ff53%2Fec5%2Fe41f53ec50525c4f118d8b20bdea80f5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe95%2Fe26%2F46d%2Fe95e2646db37965cbf40db45063951df.jpg)