Todo comenzaba con un ‘inocente’ correo con un archivo adjunto de Office.
Al final, había cajeros automáticos que ‘botaban’ dinero sin que, aparentemente, nadie se los pidiera.
Lo que ocurría en medio era la operación Carbanak, un esquema internacional revelado el pasado sábado por The New York Times y descubierto por la firma de seguridad Kaspersky.
La operación le permitió a un grupo de cibercriminales robarse al menos 1.000 millones de dólares de más de 30 bancos de todo el mundo.
Cuando los empleados descargaban y abrían el correo, un código malicioso se instalaba en sus computadores y dejaba algo así como una pequeña puerta abierta para los cibercriminales.
A través de ella lograban acceder a las máquinas de las instituciones e instalaban software que grababa las pantallas y los movimientos de teclado.
Lo hacían para aprender cómo se hacían las cosas allí, qué software usaban y qué protocolos seguía cada uno de los bancos.
El siguiente paso era instalar software de acceso remoto en los PC infiltrados. Gracias a él, los criminales hacían lo que querían. Podían cambiar los saldos de las cuentas y hacer transacciones legítimas, como si fueran empleados de los bancos.
Por eso pudieron pasar debajo del radar: el NYT dice que pasaron al menos dos años sin que nadie se diera cuenta.
Para retirar el botín, los criminales hacían transferencias a otros bancos, o retiros que no levantaban sospechas. En ocasiones, le ‘ordenaban’ a un cajero expulsar una cantidad de dinero determinada, mientras una persona de la organización estaba al frente esperando por los billetes.
En la calle eso seguro se vería extraño, pero dentro del sistema era una transacción común y corriente.
Los usuarios de los bancos nunca se daban cuenta. Aunque algunas de sus cuentas eran usadas para los fraudes, los movimientos nunca eran vistos por ellos. Por ejemplo: una cuenta en la que había un saldo de 1.000 dólares era inflada a 10.000, tras lo cual los ladrones retiraban 9.000.
¿Qué salió mal?
Los cajeros ‘botaban’ dinero sin que nadie se los pidiera.
Básicamente, lo de siempre. Según Dmitry Bestuzev, director del grupo de investigación y análisis de Kaspersky Latinoamérica, los criminales explotaron vulnerabilidades ya conocidas y reparadas de Office –de hecho, la operación fue llamada Carbanak por la vulnerabilidad usada en ella–, pero aprovecharon el hecho de que no todos los bancos son juiciosos con la instalación de los ‘parches’ de seguridad. “No descartamos que algunos bancos no tuvieran las licencias de los programas, lo que hacía imposible que llegaran las actualizaciones“, aseguró.
Por otra parte, como cuenta Bestuzev, “algunas de las herramientas usadas en el ataque estaban en las listas blancas –de software permitido– de los bancos“. Además, los criminales invertían meses en conocer cada institución antes de comenzar a robar.
Según el experto, el botín de la operación Carbanak podría ser aun mayor. “Algunos de los bancos afectados no quisieron cooperar con las autoridades, por el temor de comprometer su imagen“. Hasta ahora la Interpol ha logrado confirmar el monto del botín por medio de retiros de cajeros automáticos y códigos de rastreo de movimientos financieros, como el Swift e IBAN.
Aunque no se reveló cuáles bancos específicos fueron robados, el NYT informa que la mayoría de ellos están en Rusia, Estados Unidos y Europa. Bestuzev confirmó que algunos de ellos están ubicados en Brasil y que otros tienen presencia en Latinoamérica, aunque son de otros países.
Aun no termina
El operativo para descubrir y neutralizar la operación Carbanak comenzó en febrero de 2014. Como explicó Bestuzev, “todo comenzó porque un banco en Rusia detectó una conexión a sus servidores desde China” que no tenía sentido en medio de sus operaciones normales.
El grupo de ciberdelincuentes estaba ubicado en varios países, pero a juzgar por las huellas que fue dejando –trazas de código, mensajes de ‘phishing’ y algunos mensajes– sus miembros se comunicaban en ruso. Algunos de ellos están ubicados en territorio de la Comunidad Económica Europea, donde la policía ya comenzó a tomar acciones legales.
A pesar de esto, la alerta continúa, y Bestuzev confirmó que Kaspersky sigue estudiando los movimientos sospechosas de muchos bancos: “esta es una operación que sigue activa“.
José Luis Peñarredonda
Imagen: Francisco Gonzalez (vía Flickr)
Tomado de http://www.enter.co
http://percy-francisco.blogspot.com/2015/02/operacion-carbanak-asi-robaron-1000.html#sthash.3I6A1D7C.dpuf