Todo comenzaba con un ‘inocente’ correo con un archivo adjunto de
Office. Al final, había cajeros automáticos que ‘botaban’ dinero sin
que, aparentemente, nadie se los pidiera. Lo que ocurría en medio era la
operación Carbanak, un esquema internacional revelado el pasado sábado por The New York Times y
descubierto por la firma de seguridad Kaspersky. La operación le
permitió a un grupo de cibercriminales robarse al menos 1.000 millones
de dólares de más de 30 bancos de todo el mundo.
Cuando los empleados descargaban y abrían el correo, un código
malicioso se instalaba en sus computadores y dejaba algo así como una
pequeña puerta abierta para los cibercriminales. A través de ella
lograban acceder a las máquinas de las instituciones e instalaban
software que grababa las pantallas y los movimientos de teclado. Lo
hacían para aprender cómo se hacían las cosas allí, qué software usaban y
qué protocolos seguía cada uno de los bancos.
Para retirar el botín, los criminales hacían transferencias a otros
bancos, o retiros que no levantaban sospechas. En ocasiones, le
‘ordenaban’ a un cajero expulsar una cantidad de dinero determinada,
mientras una persona de la organización estaba al frente esperando por
los billetes. En la calle eso seguro se vería extraño, pero dentro del
sistema era una transacción común y corriente.
Los usuarios de los bancos nunca se daban cuenta. Aunque algunas de
sus cuentas eran usadas para los fraudes, los movimientos nunca eran
vistos por ellos. Por ejemplo: una cuenta en la que había un saldo de
1.000 dólares era inflada a 10.000, tras lo cual los ladrones retiraban
9.000.
¿Qué salió mal?
 |
| Los cajeros ‘botaban’ dinero sin que nadie se los pidiera. |
Básicamente, lo de siempre. Según Dmitry Bestuzev, director del grupo
de investigación y análisis de Kaspersky Latinoamérica, los criminales
explotaron vulnerabilidades ya conocidas y reparadas de Office –de
hecho, la operación fue llamada Carbanak por la vulnerabilidad usada en
ella–, pero aprovecharon el hecho de que no todos los bancos son
juiciosos con la instalación de los ‘parches’ de seguridad. “No
descartamos que algunos bancos no tuvieran las licencias de los
programas, lo que hacía imposible que llegaran las actualizaciones“, aseguró.
Por otra parte, como cuenta Bestuzev, “algunas de las herramientas usadas en el ataque estaban en las listas blancas –de software permitido– de los bancos“. Además, los criminales invertían meses en conocer cada institución antes de comenzar a robar.
Según el experto, el botín de la operación Carbanak podría ser aun mayor. “Algunos de los bancos afectados no quisieron cooperar con las autoridades, por el temor de comprometer su imagen“.
Hasta ahora la Interpol ha logrado confirmar el monto del botín por
medio de retiros de cajeros automáticos y códigos de rastreo de
movimientos financieros, como el Swift e IBAN.
Aunque no se reveló cuáles bancos específicos fueron robados, el NYT
informa que la mayoría de ellos están en Rusia, Estados Unidos y
Europa. Bestuzev confirmó que algunos de ellos están ubicados en Brasil y
que otros tienen presencia en Latinoamérica, aunque son de otros
países.
Aun no termina
El operativo para descubrir y neutralizar la operación Carbanak comenzó en febrero de 2014. Como explicó Bestuzev, “todo comenzó porque un banco en Rusia detectó una conexión a sus servidores desde China” que no tenía sentido en medio de sus operaciones normales.
El grupo de ciberdelincuentes estaba ubicado en varios países, pero a
juzgar por las huellas que fue dejando –trazas de código, mensajes de
‘phishing’ y algunos mensajes– sus miembros se comunicaban en ruso.
Algunos de ellos están ubicados en territorio de la Comunidad Económica
Europea, donde la policía ya comenzó a tomar acciones legales.
A pesar de esto, la alerta continúa, y Bestuzev confirmó que
Kaspersky sigue estudiando los movimientos sospechosas de muchos bancos:
“esta es una operación que sigue activa“.
José Luis Peñarredonda
Imagen: Francisco Gonzalez (vía Flickr)
Tomado de http://www.enter.co
No hay comentarios:
Publicar un comentario