Por Amaya Quincoces Riesco
Una operación sin precedentes de ciberespionaje en el mundo bancario, en la que se utilizaron técnicas de manipulación informática muy avanzadas y que sirvió para el robo de cientos de millones de euros a un centenar de bancos, acaba de conocerse.
«Probablemente sea la campaña de ciberataques contra bancos más sofisticada hasta ahora», han destacado a la agencia Efe responsables de la investigación, de la empresa de seguridad Kaspersky, que celebra este lunes y martes en la ciudad mexicana de Cancún su congreso anual de ciberseguridad SAS 2015.
Según sus cálculos, han sido robados posiblemente en torno a 800 millones de euros por un grupo de ciberdelincuentes, denominado Carbanak, a más de un centenar de entidades financieras de una treintena de países.
El país más afectado sería Rusia, pero los ataques se han extendido también a Asia, a países como China, Nepal, Malasia o Kuwait, y a varios africanos; hasta el momento ninguna entidad europea ni de Estados Unidos ha comunicado que esté infectada, aunque «sí que se han detectado rastros de actividad» del grupo en varias de ellas en esas zonas del mundo. Estos rastros hacen pensar que este grupo de ciberdelincuentes, que sigue activo, «se plantea seguir expandiendo sus horizontes para acceder a más víctimas», explicó Vicente Díaz, experto de Kaspersky.
Los ataques, precisó, no se dirigen directamente a los clientes de los bancos como era lo habitual hasta ahora en estas campañas, sino contra la propia entidad, que en la mayoría de los casos no descubre el robo hasta después de transcurrido mucho tiempo.
Los sistemas a los que recurre la banda para burlar la seguridad de los bancos son muy ingeniosos y pormenorizadamente planeados, lo que delata los conocimientos técnicos de sus miembros para manejarse con soltura en el mundo del ciberdelito.
Empleados de banca vigilados
Antes del ataque, realizan un seguimiento detallado de la forma de trabajar del empleado del banco al que quieren abordar, al que observan para conocer sus hábitos, una vez infectados sus ordenadores con técnicas de ingeniería social (correos electrónicos falsos, mensajes persuasivos fraudulentos, etc).
Los ciberdelincuentes graban incluso por vídeo al empleado que les dará acceso a los sistemas del banco desde su ordenador infectado.
De ese modo, aprenden su estilo de escritura en la pantalla, sus pulsaciones, la estructura de sus textos, y sus horarios en las tareas o hábitos, que posteriormente imitan los atacantes tras acceder a los aparatos por control remoto sin levantar sospechas.
Según los expertos de Kaspersky, los delincuentes tardaban de dos a cuatro meses en recabar todos los datos del banco necesarios para realizar transacciones fraudulentas.
Ése es el período de tiempo que se requería desde que se infectaba el primer ordenador de la red interna del banco a través de la técnica «phishing», que emula un software legal de una entidad para pedir claves y contraseñas al usuario, hasta la recogida del dinero de los cajeros automáticos.
En sus tareas, el grupo estaría ayudado de otras bandas o compinches de perfil no técnico a quienes pagarían por asuntos como la recogida del dinero del cajero una vez sustraído a media noche, su blanqueo, etc.
Cuentas falseadas
Antes de atacar, la banda falseaba las cuentas con montantes económicos abultados de forma ficticia para evitar la visibilidad automática de agujeros financieros; y lo mismo en el vaciado de los cajeros, cuyos sistemas de control eran manipulados previamente al robo para evitar la detección de anomalías.
Inicialmente ninguno de los robos habría superado los 10 millones de dólares en cada una de las entidades atacadas, probablemente porque es la cifra tope que evita acciones de investigación automáticas por parte del banco, según responsables de Kaspersky.
Vicente Díaz ha asegurado que «el código malicioso utilizado no había sido visto nunca antes»; ha sido diseñado exclusivamente para este tipo de robos y se replica en los siguientes. Además las herramientas tecnológicas son las mismas en cada acción lo que hace pensar que los ataques los perpetra siempre el mismo grupo.
El experto en seguridad ha declinado dar detalles sobre la estructura de esta banda por respeto a las investigaciones policiales de Europol e Interpol. La investigación, que se inició en primavera de 2014, pese a que los indicios detectados hacen pensar que la banda actúa desde 2013, ha sido desvelada ahora dada la complejidad que está adquiriendo y que exige medidas de seguridad.