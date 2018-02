Clientes, directivos y bancos: la tríada de los ciberataques financieros Detener a organizaciones que efectúan ataques contra el patrimonio económico es el indicador que mejor se refleja en las estadísticas de criminalidad. La clave de estos delitos está en que se gana mucho dinero y se actúa sobre mucha gente con poca exposición y riesgo

Un banco sufre uno de sus mayores golpes desde un ordenador a más de 1000 kilómetros de distancia de donde se encuentra su sede y la Policía comienza una caza para dar con el autor. Su investigación involucra a más de un país y exige la colaboración de cuerpos policiales. A la dificultad de las pesquisas, se suma un nuevo modelo de delincuencia transnacional que se pone en marcha con tan solo pulsar una tecla.

Podría ser el argumento de cualquier película, pero, la realidad supera la ficción, y los delitos relacionados con los ciberataques están a la orden del día. El primer ciberataque a una entidad financiera salió a la luz en 2014. Aquel año, una organización conocida como «Carbanak» se infiltró en las redes de bancos a través de sus empleados y estudió cómo operaban. «Después de eso, hicieron que los cajeros comenzasen a soltar dinero y a remitir transferencias a diferentes cuentas en el extranjero», explica un inspector de la Policía Nacional a ABC. En total, robaron 1.000 millones de dólares en países como Rusia, Japón, Suiza, Estados Unidos o los Países Bajos. «Este es el tipo de delito que más nos preocupa y detener a estas organizaciones uno de nuestros mayores retos», sostiene este agente. La clave está en que «se gana mucho dinero, se actúa sobre mucha gente -clientes de banca electrónica- y con poco riesgo», asegura Carlos Yuste, jefe de la sección de seguridad lógica de la UIT de la Policía Nacional.

En España, según datos de la Secretaría de Estado de Seguridad, en 2016, de 66.586 casos de delitos en internet, 45.894 corresponden a un fraude informático. Esto es el 68,9 % de los hechos registrados. Si se miran las cifras por sector estratégico, en el sistema tributario y financiero se gestionaron 152 incidentes frente a los 17 de 2015, y los 3 de 2014. Le siguen el energético con 126 y el transporte con 90.

La brigada de seguridad informática de la UIT de la Policía Nacional es la encargada de rastrear y esclarecer los ciberataques. Vigilar la proliferación de malware (programas dañinos para los equipos), los engaños mediante la suplantación de identidad (phishing), estafas en internet o la investigación de irrupciones en entidades bancarias son algunas de sus tareas.

«Como investigadores, somos policías reactivos. Es decir, no actuamos cuando se está produciendo un ataque sino cuando una empresa denuncia que lo ha sufrido. Ahí es cuando vamos a recoger cualquier evidencia para poder investigar», asegura Yuste.

Tres tipos de ataques

«Hay dos maneras de atacar a un banco o a su usuario. A través de un engaño -conocido como 'phishing'- o de con el uso de malware, que implica un sistema más sofisticado; aunque en la actualidad se solapan ambos métodos», explican desde esta sección policial. Dentro de estos métodos, existen tres tipos de ataques contra el patrimonio en la Red en función de quién sea el objetivo, según apuntan estos policías, pero todos buscan lo mismo: obtener beneficio económico a través de un delito. Como si fuera una pirámide, estos objetivos van de menos a más: del cliente o usuario, a un directivo con capacidad de mover dinero al ataque directo a la estructura de un banco.

El caso de los particulares es el ataque más común. «En muchos contratos de banca electrónica se especifica cómo usar las claves, por lo que si picas en un phishing tú eres el responsable, pero los bancos se suelen hacer cargo», apuntan.

«Otro de los métodos es el conocido como ‘fraude del CEO’». Esto es obtener los datos de un directivo que tenga capacidad para hacer pagos, suplantar la identidad de un superior y, aprovechando que este está de viaje, pedirle que haga una transferencia por una oportunidad de negocio. «En realidad, la transferencia es a unas mulas de la organización criminal que, una vez recibe el dinero, lo mueve», explica el inspector.

En último lugar, el ataque que más interés tiene desde el punto de vista policial es el que sufre un banco. Estos policías destacan que su complejidad es uno de sus rasgos. «Si la imagen física para imaginarse un fraude a un cliente es la de un trilero, en un ataque a una entidad, hay que imaginarse algo como Tom Cruise en esa escena tan famosa de ‘Misión Imposible’ en la que cuelga de cables para poder acceder al teclado de un ordenador», exponen.

Un modelo «mutante»

Para la Policía es complicado establecer una lista de objetivos a medio plazo. «Más aún a largo plazo», defiende el jefe de sección Yuste. «No sabemos qué tipo de delitos se van a cometer porque mutan. Por eso un tema que nos preocupa es la cooperación internacional, que es imprescindible que sea fluida. Algo que ya tenemos. A nivel judicial sí que los instrumentos son muy lentos y estos delitos corren mucho», explica.

El cambio no ha afectado solo a la forma de trabajar de estos agentes, que ahora se enfrentan a investigaciones más dilatadas en el tiempo y que tienen impacto internacional, sino también a las organizaciones criminales. De un modelo que partía de un engaño sencillo ha pasado a una «gran especialización en la industria del crimen cibernético». El modus operandi pasa ahora por pequeñas empresas, cuyos miembros están muy preparados, que se establecen para llevar a cabo un trabajo específico. Después de eso, se disuelven. «Además, a raíz de esto ha nacido otro nicho de mercado, que es el ‘crime as a service’. Es decir, si yo no tengo un elemento para hacer un delito, lo alquilo», señala el jefe de la sección.

Concienciación

«Tenemos una faceta muy importante de prevención y de divulgación de este tipo de delitos por eso es muy importante volcarnos en ella», apunta Yuste. Las redes sociales son algunas de las herramientas que utilizan estos agentes, que desde el propio Twitter de la Policía Nacional se dan a conocer nuevas formas de delitos online. Otra vía son las charlas en colegios, por ejemplo.

Desde esta sección de la Policía insisten que hace falta mayor concienciación y que los usuarios de internet utilicen las llamadas «medidas de higiene» para aumentar la protección. Teclear tú mismo la url, utilizar claves complejas y renovarlas… Son algunas de ellas. También vigilar el uso de la piratería (la otra gran pata sobre la que estos policías trabajan es la de la protección de la propiedad intelectual en la Red). «A través de la piratería y al bajarte aplicaciones de plataformas piratas que son gratis tú estás dando todo lo que te piden, y nadie se lo lee», defiende el jefe de sección.