Un cibercriminal de 20 años se convierte en la pesadilla de los bancos brasileños

Desarrollar troyanos que otros utilizan para robar grandes cantidades de dinero y presumir de ello en las redes sociales, sin disimulo, porque el potencial castigo es tan liviano que no ejerce disuasión alguna. Esta situación descorazonadora se está viviendo en Brasil, donde una investigación de la firma de seguridad informática Trend Micro ha destapado al supuesto creador y vendedor de más de 100 programas maliciosos que comprometieron los sistemas informáticos de varias entidades bancarias del país.

Según Trend Micro, detrás de Lordfenix, uno de los seudónimos que utiliza el cibercriminal, se encuentra un estudiante de informática de apenas 20 años del estado de Tocantins, en el norte de Brasil. Ya en abril de 2013 buscaba y pedía información en foros especializados para mejorar un troyano que estaba desarrollando. Meses más tarde, incluso se atrevía a alardear del dinero que había ganado, publicando en Facebook una foto con billetes sobre una cama.

Lordfenix es autor de más de un centenar de virus. Uno de los más peligrosos y tristemente célebres es el troyano conocido como TSPY_BANKER.THJ. Si el usuario entra en la web de su entidad bancaria desde un dispositivo infectado, aparece un mensaje de error y se abre una nueva ventana. El troyano actúa cuando el usuario accede desde esa ventana a su cuenta personal, introduciendo usuario y contraseña, y sin saberlo envía los datos al atacante.

Al menos las webs del HSBC, el Banco do Brasil y la Caixa Econômica Federal (estos dos últimos públicos) han sido víctimas de estos ataques. Teknautas ha contactado con ellos: HSBC no ha querido hacer declaraciones para este reportaje, el Banco do Brasil nos remitió a la Federación Brasileña de Bancos (Febraban) y la Caixa explicó a través de correo electrónico que “realiza constantes inversiones en tecnología, en especial en lo que respecta a la seguridad de la información” y que “posee diversos mecanismos de control para garantizar la seguridad física y lógica de las operaciones”.

David Sancho, investigador de amenazas de Trend Micro, nos cuenta que la investigación se abrió cuando un compañero en Brasil vio “que hay un tipo que se está moviendo mucho, que está vendiendo muchas cosas y que está muy metido en el cibercrimen”. A raíz de ello, la empresa comienza a investigar en colaboración con la Policía brasileña y descubre que, durante al menos dos años, se ha dedicado a vender estos productos adecuándolos a “los gustos y necesidades de sus clientes, que parecen ser muchos y variados”. Calculan que el precio al que vendía cada malware ronda los 1.000 reales, unos 280 euros al cambio actual.

Detrás de Lordfenix, uno de los seudónimos que utiliza el cibercriminal, se encuentra un estudiante de informática de apenas 20 años

Además de hacer negocio con sus virus, ofrecía versiones gratuitas en foros especializados. Según las palabras del propio joven, estas permitían obtener los datos de cuatro entidades, entre las que se encontraba la filial del Banco Santander en Brasil.

¿Acciones como estas no están sancionadas por la ley brasileña? Sí, pero las penas son irrisorias. En 2012 se aprobó una ley por la que se modificaba el Código Penal y se convertía en delito la intrusión en “dispositivo informático ajeno”, tanto para quien accede como para quien “produce, ofrece, distribuye, vende o difunde dispositivo o programa de ordenador” con este fin.

Sin embargo, “la pena no es tan grande”, nos explica Renato Leite, abogado y profesor de Derecho Digital en la Universidad Presbiteriana Mackenzie, en Sao Paulo. “Es de un año, pero puede aumentarse hasta un máximo de dos” según la gravedad del delito. De hecho, los propios ciberdelincuentes parecen poco preocupados por las penas, ya que no resulta extraño encontrar vídeos en YouTube donde ofrecen con total tranquilidad sus productos (previa charla por Skype) o explican cómo programar troyanos.

Para Leite, “lo que el Gobierno puede hacer en Brasil, una vez que ya existe una ley específica, es mejorar la capacidad de investigación de la policía”. En su opinión, si “tuviera más conocimiento técnico, más equipamiento para realizar las investigaciones de forma adecuada, eso ayudaría bastante”.

Pérdidas de 360 millones de euros

La Policía Federal ha rechazado hacer declaraciones a este medio. Su departamento de prensa explica que no responden a preguntas sobre el número de policías o el presupuesto con el que trabaja su Servicio de Represión a Crímenes Cibernéticos ni se manifiestan “sobre casos específicos” como el de Lordfenix.

No es una cuestión intrascendente en un país que, según el informe anual de seguridad de Trend Micro, realizó el 51% de sus transacciones bancarias a través de internet en 2013 y vio cómo aumentaba un 270% el uso de la banca móvil de 2009 a 2013. Precisamente, las cuatro webs que más ataques reciben son de bancos. Según datos de Febraban recogidos por McAfee, las entidades del país registraron unas pérdidas por ciberataques de 1.400 millones de reales en 2012, más de 360 millones de euros al cambio actual.

Un 86% de los ciudadanos de Sao Paulo, el estado más próspero del país, consideran que la normativa actual no es suficiente para perseguir los delitos informáticos, según una encuesta de la Federación de Comercio de la región. Mientras tanto, los cibercriminales brasileños siguen operando casi con impunidad.