Ir a contenido

DELINCUENCIA INFORMÁTICA

El mayor ciberatraco del mundo tuvo topos en el banco

Ejecutivos de una entidad a la que robaron 81 millones de dólares cobraron de los ladrones, según los investigadores

El robo cuestionó los mecanismos del sistema de información bancaria SWIFT que da servicio a todos los bancos del mundo

EL PERIÓDICO / BARCELONA

El banco central de Bangladesh, en Dhaka, el pasado mes de marzo.

El banco central de Bangladesh, en Dhaka, el pasado mes de marzo. / REUTERS / A. ASHIKUR RAHMAN

El mayor ciberatraco de la historia no fue únicamente obra de unos ciberladrones experimentados. Varios ejecutivos del banco atracado cobraron de la banda de ciberdelincuentes que logró birlar 81 millones de euros al Banco Central de Bangladesh el pasado febrero utilizando el sistema de transacciones bancarias SWIFT, que usan todos los bancos del mundo y cuya seguridad podría haber quedado en entredicho tras el incidente, según la agencia Reuters.

Los ladrones obtuvieron los 81 millones de dólares a partir de varios ataques que durante diez meses aprovecharon brechas de seguridad en los sistemas de mensajería del consorcio SWIFT,  propiedad de los propios bancos que lo utilizan, tanto centrales como privados. Lograron que el Banco Central de Bangladesh emitiera, desde los fondos que tenía en la Reserva Federal estadounidense en Nueva York, transferencias hacia un banco comercial filipino, por lo que los bangladesís han acusado a filipinos y a estadounidenses de ser responsables. Y estos a su vez han acusado a los bangladesís de haber descuidado su seguridad. 

El robo no fue más --los atacantes hicieron peticiones por valor de 951 millones de dólares-- porque los ladrones fueron torpes. Algunas órdenes de pago falsas que emitieron fueron rechazadas por defectos de forma y otras porque incluyeron una palabra (“Jupiter”) que pertenecía a una compañía petrolera iraní, país contra el que EEUU mantiene un embargo comercial, y la Fed las bloqueó o las devolvió. Las que no tenían esa palabra o podían supuestamente relacionarse con Irán, colaron, según Reuters. 

El robo no fue a más porque los ladrones fueron tan torpes que enviaron órdenes de pago con defectos de forma

El consorcio SWIFT, que gestiona trillones de dólares diarios, ya advirtió el pasado 2 de noviembre en una circular a sus asociados de que se estaban produciendo ataques cibernéticos a todo el sistema bancario mundial cada vez más sofisticados.

AMENAZAS PERSISTENTES

El método era, según SWIFT, una de las llamadas “amenazas continuas persistentes” (las temidas APT), es decir, las que utilizan distintas tácticas para conseguir un único objetivo, en este caso el sistema bancario global. Los atacantes van sofisticando métodos y programas hasta encontrar la forma de acceder a los sistemas informáticos o de conseguir sus fines engañando a las personas o a las máquinas, pero la víctima siempre es la misma. Pueden incluso ser correos personalizados para engañar a alguien, el llamado 'spear phishing'. O programas que simulan hacer mantenimiento del ordenador pero lo ponen en manos de otros. En el robo de Bangladesh, al parecer los programas utilizados aprovecharon fallos en el propio sistema de mensajería de SWIFT.

Pero el supuesto ataque cibernético supersofisticado ha sufrido esta semana un giro inesperado. Los investigadores policiales acusan a algunos ejecutivos de rango medio del Banco Central de Bangladesh de exponer deliberadamente sus ordenadores a la acción de los ciberladrones y anuncian detenciones para los próximos días. Por lo visto, no solo habían descuidado los sistemas informáticos hasta el punto de no poner ni 'firewalls' ('routers' especiales que frenan parte de los ataques) sino que cedieron a programas de tipo 'malware'. 

Hay un centenar de trabajadores del banco robado investigados y a muchos se les prohíbe salir del país

Mohammad Shah Alam, responsable del instituto de análisis forense de la policía de Bangladesh, afirmó a Reuters que los trabajadores del banco acusados eran conscientes de que habían creado vulnerabilidades en las conexiones con el sistema SWIFT “en connivencia con extranjeros” y podrían haberse beneficiado económicamente de ello. “Sabían lo que hacían”, aseguró. Un centenar de empleados están siendo investigados y a muchos se les ha prohibido salir de Bangladesh.

CAMBIOS EN SWIFT

Bangladesh solo ha logrado recuperar 15 millones de dólares y el resto de dinero se ha esfumado en cuentas corrientes vinculadas a la industria del juego filipina, que desaparecieron poco después. SWIFT (Society for Worldwide Interbank Financial Telecommunication) volvieron a auditar una vez más su sistemas de comunicaciones para asegurarse de ser realmente invulnerable al “significativo número” de ataques que admite que recibe y de los que no se saben cuántos tienen éxito.

Han cambiado algunas cosas, según fuentes próximas. SWIFT ha distribuido información a sus asociados sobre el tipo de malware utilizado y las direcciones de correo desde las que fueron enviados, y que ha modificado también políticas internas, como hacer que la persona que valida una transacción no sea quien la realiza.

Sobornos para ir más rápido

Los robos virtuales son difícilmente reconocidos por las entidades bancarias, que destinan mucho dinero a seguridad informática para evitarlos. Otro atraco sonado reciente fue el del Banco del Austro, en Ecuador, al que robaron 12 millones de dólares. Y esta misma semana el banco turco Akbank ha admitido un robo de cuatro millones de dólares. Por no hablar de los robos con tarjeta de crédito, mucho más habituales pero menos cuantiosos.

“La ingeniería social se usa para comprometer un ordenador, pero cuesta encontrar a la persona que inconscientemente les va a ayudar, así que pueden recurrir al soborno. De todos modos, el 80% de los ataques informáticos se hacen con la colaboración de alguien dentro, sabiéndolo o no”, destaca Manel Medina, director del máster en Ciberseguridad de la UPC y autor del libro Cibercrimen.


También Europol y Aseanapol, su equivalente asiático, organizaron esta semana una reunión de dos días sobre el fraude en los pagos, especialmente malware en cajeros automáticos y sistemas de puntos de venta.