Una operación de ciberespionaje sin precedentes en el mundo bancario, en la que se utilizaron técnicas de manipulación informática muy avanzadas, permitió robar cientos de millones de dólares a un centenar de bancos.
“Probablemente sea la campaña de ciberataques contra bancos más sofisticada hasta ahora”, destacaron responsables de la investigación de la empresa de seguridad Kaspersky, que celebra en Cancún (México) su congreso anual de ciberseguridad SAS 2015.
Según sus estimaciones, son cientos los millones de dólares robados hasta el momento, posiblemente entorno a unos 1.000, por parte de este grupo de ciberdelincuentes, denominado Carbanak, a más de un centenar de entidades financieras de una treintena de países.
El principal país afectado sería Rusia, pero los ataques se han extendido también a Asia, a naciones como China, Nepal, Malasia y Kuwait, y a varios países africanos.
Hasta el momento ninguna entidad europea ni de Estados Unidos ha comunicado que esté infectada, aunque “sí que se han detectado rastros de actividad” del grupo en varias de esas zonas del mundo.
Estos rastros hacen pensar que este grupo de ciberdelincuentes que sigue activo “se plantea seguir expandiendo sus horizontes para acceder a más víctimas”, explicó a Efe el analista de Kaspersky Vicente Díaz.
Los ataques, dijo, no se dirigen directamente a los clientes de los bancos como había sido lo habitual hasta ahora en estas campañas, sino contra la propia entidad, que en la mayoría de casos no descubre el robo hasta después de transcurrido mucho tiempo.
Los sistemas a los que recurre la banda para burlar la seguridad de los bancos son muy ingeniosos y pormenorizadamente planeados, lo que delata los conocimientos técnicos de sus miembros para manejarse con soltura en el mundo del ciberdelito.
Previo al ataque realizan un seguimiento detallado de la forma de trabajar del empleado del banco al que quieren abordar para conocer sus hábitos e infectan sus computadores con técnicas de ingeniería social (correos electrónicos falsos, mensajes persuasivos fraudulentos, etc).
Los ciberdelincuentes graban incluso por video al empleado que le dará acceso a los sistemas del banco desde su computador infectado.
De ese modo, aprenden su estilo de escritura en la pantalla, sus pulsaciones, la estructura de sus textos y sus horarios en las tareas o hábitos, que posteriormente replican los atacantes tras acceder a los aparatos por control remoto sin levantar sospechas.
Según los expertos de Kaspersky, los delincuentes tardaban de dos a cuatro meses en recabar todos los datos del banco necesarios para realizar transacciones fraudulentas.
Ese es el tiempo que se requería desde que se infectaba el primer computador de la red interna del banco a través de la técnica “phishing”, que emula un software legal de una entidad para pedir claves y contraseñas al usuario, hasta la recogida del dinero de los cajeros automáticos.
En sus tareas, el grupo estaría ayudado de otras bandas o compinches de perfil no técnico, a quienes pagarían por asuntos como la recogida del dinero del cajero una vez sustraído a medianoche o su blanqueo.
Antes de atacar, la banda falseaba las cuentas con montos económicos abultados de forma ficticia para evitar la visibilidad automática de agujeros financieros; y lo mismo en el vaciado de los cajeros, cuyos sistemas de control eran manipulados previamente al robo para evitar la detección de anomalías.
Inicialmente ninguno de los robos habría superado los 10 millones de dólares en cada una de las entidades atacadas, probablemente porque es la cifra tope que evita acciones de investigación automáticas por parte del banco, según responsables de Kaspersky.
Vicente Díaz aseguró que “el código malicioso utilizado no había sido visto nunca antes”; ha sido diseñado exclusivamente para este tipo de robos y se replica en los siguientes.
Además, las herramientas tecnológicas son las mismas en cada acción, lo que hace pensar que los ataques los perpetra siempre el mismo grupo.
El experto en seguridad declinó dar detalles sobre la estructura de esta banda por respeto a las investigaciones policiales que siguen en marcha tras destacar la estrecha colaboración de Kaspersky con Europol e Interpol.
La investigación, que se inició en la primavera de 2014, pese a que los indicios detectados hacen pensar que la banda actúa desde 2013, ha sido desvelada ahora dada la complejidad que está adquiriendo y que exige medidas de seguridad.
Fuente: EFE