Por Jeremy Wagstaff y Jim Finkle
No hace falta taparse la cara con unas medias ni usar escopetas recortadas.
El robo sin precedentes de 81 millones de dólares de la cuenta de Estados Unidos del banco central de Bangladesh es el último de unos robos cada vez más grandes realizados por delincuentes que han añadido la velocidad y el anonimato de los piratas informáticos para revolucionar el atraco de bancos.
Cientos de millones de dólares, y quizás muchos más, fueron robados de bancos y empresas de servicios financieros en los últimos años debido a esta alianza de delincuentes tradicionales y digitales, mientras muchas de las víctimas no informan de los robos por miedo o por daño a su reputación.
Habitualmente, los expertos en seguridad y ciberdelitos dicen que los piratas informáticos o 'hackers' entran en los sistemas de ordenadores de instituciones financieras y hacen o incitan a otros a realizar transacciones fraudulentas hacia cuentas manejables. El crimen organizado entonces utiliza técnicas desarrolladas desde hace décadas para blanquear el dinero, dando a la alianza una recompensa mucho más alta que un robo tradicional y con menos riesgo.
"Internet ha facilitado a los delincuentes entrar en los bancos", dijo Shane Shook, consultor independiente de seguridad. "Los delincuentes se alejan de ataques ligados a los consumidores hacia pirateos más sustanciosos en los bancos porque lleva un menor esfuerzo conseguir más dinero", dijo.
No hay pruebas de que los robos de bancos a la vieja usanza estén decayendo. Pero hay mayores pruebas de que crece la variante del delito por sistemas informáticos.
El año pasado, investigadores del fabricante ruso de software de seguridad Kaspersky Lab publicaron la actividad de la prolífica banda Carbanak, que dijo que pirateó bancos y luego ordenó transferencias de dinero y forzó a los cajeros automáticos a expender dinero. Kaspersky estima que el grupo actuó contra 100 bancos, con pérdidas desde 2,5 millones a 10 millones de dólares por cada robo.
Un 'hacker' turco que se declaró culpable en un tribunal estadounidense en marzo por uno de los delitos más sorprendentes en esta categoría, con la retirada de 40 millones de dólares de cajeros en 24 países en un tiempo de 10 horas. El robo realizado en 2013 fue completado con la precisión de una película de Hollywood, gracias a los 'hackers' que entraron en redes financieras e inflaron los balances de tarjetas de débito.
En otro caso, bancos rusos perdieron más de 25 millones de dólares en los últimos seis meses por un grupo de 'hackers' que infectó sus ordenadores empleando correos electrónicos con la técnica de 'phishing', según la firma de seguridad rusa Group IB.
El software malicioso dio acceso a los 'hackers' a la red interna del banco, lo que les permitió realizar transferencias aparentemente auténticas a través de redes, inluido el mismo sistema de mensajes SWIFT empleado en el ataque al banco de Bangladesh.
"Si (el malware) da acceso remoto al atacante, entonces ordena manualmente transferencias fraudulentas sobre el SWIFT yu otros sistemas de pago", dijo Dmitry Volkov, jefe de ciberinteligencia de Group IB.
En el caso de Bangladesh, el banco dice que unos piratas desconocidos emplearon malware para acceder a los ordenadores centrales de la entidad y enviar mensajes de burla a la Reserva Federal estadounidense. Transfirieron 81 millones de dólares de la cuenta del banco central en la Fed de Nueva York a bancos filipinos.
Los fondos pasaron luego a casinos y fueron reembolsados en efectivo a un operador en Manila, según el testimonio en una audiencia parlamentaria en Filipinas.
Una transferencia de 20 millones de dólares a una entidad de Sri Lanka fue señalada como sospechosa debido a un error de deletreo en su nombre y fue devuelta.
ROBOS NO CONTADOS
Los expertos en estos delitos dicen que esperan que se produzcan más porque el sector todavía no se defiende adecuadamente.
"El hecho es que la mayoría de brechas que tienen lugar no se cuentan", dijo Bryce Boland, jefe de seguridad de Asia-Pacífico para la empresa de seguridad FireEye.
Un ejecutivo de seguridad bancaria, que rechazó ser identificado porque no estaba autorizado a hablar con los medios, dijo que había trabajado en tres casos de ciberatracos que sus clientes no habían comunicado a las autoridades regulatorias. Añadió que el mayor de ellos implicaba unos 20 millones de dólares.
En muchos lugares los bancos y las empresas de servicios financieros no están obligadas a comunicar las brechas de seguridad a menos que haya un impacto significativo, dijo Boland. La definición es lo suficientemente vaga como para que la mayoría no se comuniquen.
Boland dijo que mientras que el 20 por ciento de sus clientes bancarios fueron objeto de robos en el segundo semestre del año pasado, FireEye también había encontrado casos de empresas de servicios financieros que no se dieron cuenta de que fueron atacadas, y en uno de los casos los atacantes estuvieron dentro de sus sistemas durante cinco años.
Una audiencia del Senado filipino trata de determinar cómo se blanqueó el dinero robado. En muchos casos los ladrones ni son identificados ni reciben su castigo.
Boland dijo que la empresa había recopilado dossieres de seis grupos de atacantes a empresas financieras, pero dijo que tenía datos menos completos sobre 600 grupos más.
No todos se centran en extraer dinero. Los 'hackers' se centraron también en instituciones específicas, a menudo en individuos, y otras en datos financieros útiles - información interna de fusiones y adquisiciones, por ejemplo, o datos que podrían ser usados para crear tarjetas de crédito falsas.