La operación Carbanak ha puesto al descubierto un robo informático de 1.000 millones de euros a un centenar de bancos de una treintena de países
La operación Carbanak ha puesto al descubierto un robo informático de 1.000 millones de euros a un centenar de bancos de una treintena de países - abc

Así ha sido el robo informático del siglo

Actualizado:

La noticia saltó el pasado lunes en Cancún, donde la empresa de seguridad informática Kaspersky ha celebrado estos días su congreso anual de Ciberseguridad. Más de un centenar de bancos, que se sepa, han sido víctimas, en una campaña de ciberataques sin precedentes, del robo de cerca de 1.000 millones de dólares.

En febrero de 2014, cuando se detectaron los primeros síntomas de este ataque informático masivo, un número creciente de instituciones financieras y policiales (como Interpol o Europol), junto a expertos de la propia Kaspersky, pusieron en marcha la denominada operación Carbanak, que sigue abierta y que podría, según las fuentes consultadas por ABC, «dar aún muchas sorpresas». A pesar de la gravedad del asunto y del gran número de instituciones atacadas, especialmente en Rusia y China, apenas un puñado de bancos han reconocido ser víctimas del mayor robo informático de todos los tiempos. La inmensa mayoría, amparados por el anonimato, guardan un discreto silencio.

La vieja técnica del «phishing»

El ataque comenzó unos meses antes de ser detectado, probablemente en noviembre o diciembre de 2013. En sus primeras fases, se sirvió del conocido método del «phishing», que consiste en enviar correos electrónicos con archivos adjuntos que contienen códigos maliciosos, de forma que que los usuarios, al abrir esos archivos, activan una «puerta trasera» que permite el control remoto de sus ordenadores.

Infección selectiva de ordenadores

Pero esta vez no se trataba de infectar indiscriminadamente a millones de ordenadores en todo el mundo, sino solo a unos pocos. Las víctimas, en efecto, fueron seleccionadas con todo cuidado: trabajadores y empleados de instituciones financieras y bancos de, por lo menos, una treintena de países diferentes. Una vez «dentro» y con toda la calma del mundo, los cibercriminales se dedicaron (durante meses enteros) a observar y grabar en vídeo las rutinas de trabajo de esos empleados, sus horarios, las operaciones a las que tenían acceso... Y también a «bucear» discretamente en las redes informáticas de los bancos atacados, en busca únicamente de los sistemas que permiten el manejo de los cajeros automáticos y las transferencias de dinero.

Vicente Díaz, analista de seguridad Kaspersky, explica a ABC que «la forma de entrar ha sido el phishing de toda la vida. Pero se trata de un grupo muy audaz y ambicioso, y que ha tenido un éxito sin precedentes usando esta técnica. Lo novedoso no es el nivel técnico, que no es demasiado alto, sino la estrategia».

Kaspersky empezó su investigación en febrero de 2014. Pero en ese momento, explica Díaz, «para nosotros se trataba solo de un incidente aislado al que no dimos más importancia. En verano, sin embargo, vimos que se repetía y aumentaba: algo estaba pasando. A partir de ahí empezamos a investigar a gran escala y montamos un grupo de investigación para colaborar con los equipos técnicos de los bancos y con las policias de los diversos países afectados».

Dada la gravedad del asunto, ningún aspecto de la investigación se hizo público entonces: «A partir de ese momento, empezamos a difundir la informacion, pero siempre a nivel privado, a todos los bancos de todos los paises a los que pudimos llegar. Llevamos meses enteros compartiendo esa información restringida. Y ahora, después de todo ese tiempo y ante las primeras filtraciones no controladas, decidimos hacer una comunicación pública».

No se conoce el alcance real del robo

El alcance real de la operación Carbanak sigue siendo desconocido. Y a pesar de que Kaspersky se ha puesto en contacto con un gran número de bancos en todo el mundo, muchos ni siquiera han contestado. «Lo que nosotros tenemos -explica Vicente Díaz- son rastros informáticos y pistas que apuntan a víctimas potenciales. Pero no estamos dentro de ningún banco y no podemos saber si les han robado o no dinero. Solo tenemos esos rastros que apuntan a esas instituciones. Les avisamos de lo que hemos visto y son ellos los que comprueban si han sufrido algún robo o no. Por supuesto, no están obligados a contestarnos o a colaborar con nosotros. Pueden investigar por su cuenta, con sus propios equipos de seguridad, o con la Policía, sin que nosotros tengamos la menor noticia de ello».

Los actuales sistemas antifraude de los bancos tienen serias dificultades para detectar esta clase de ataques. Las operaciones no se hacen de golpe, sino poco a poco, y siempre «disfrazadas» de transacciones normales de cantidades pequeñas en un gran número de cuentas. Según los datos recabados por Kaspersky, los daños de cada banco atacado están entre los 2,5 y los diez millones de dólares, «o por lo menos eso es lo que dicen las víctimas con las que hemos podido hablar», afirma Díaz.

Los cibercriminales, además, parecen estar «autolimitándose» a esas cifras, porque esas son las cantidades que los bancos destinan anualmente a paliar los efectos del fraude. «Quedándose por debajo de esos límites -apunta el analista de Kaspersky- no se activan las alarmas y todo parece esstar dentro de la normalidad. Pero esto no es más que una especulación. Podría haber víctimas que hayan perdido mucho más».

España, a salvo

Al parecer, nuestro país, por ahora, no ha formado parte de los objetivos de Carbanak. «En España hubo un rastro que apuntaba a un banco concreto, pero se trataba de un falso positivo, es decir, ese ataque no llegó a producirse», afirma Díaz. «También tenemos toda una serie de "direcciones IP" españolas que no sabemos a quién corresponden. Nosotros compartimos toda la información que tenemos con los posibles afectados, pero ellos, tanto víctimas como policía, pueden no querer compartirla con nosotros. Por ahora, y que sepamos, no hay datos de pérdidas en España».

Uno de los secretos del éxito de los atacantes es que, en esta ocasión, han conseguido ir siempre un paso por delante de sus víctimas. «Usan las mismas herramientas que usan los adminstradores de los bancos, por ejemplo, el control remoto de terminales -explica Díaz- Pero con cada víctima actúan de forma diferente. A diferencia de otros casos, por ejemplo un gusano que afecta a millones de equipos, aquí la banda entra en equipos muy concretos, y una vez dentro va viendo lo que puede hacer en cada caso, uno por uno, de forma individualizada. Y no existe una herramienta defensiva capaz de verlo todo al mismo tiempo. Los tiros, hoy en día, van por ahí, y pasan por utilizar herramientas de administración genéricas, de las que usa todo el mundo, y no grandes y sofisticados programas de espionaje. Los cibercriminales avanzan poco a poco, paso a paso, se toman su tiempo y van viendo qué estrategia concreta pueden aplicar en cada caso».

Vulnerabilidades antiguas

Lo único que se puede hacer, según el experto de Kaspersky, es «no bajar la guardia y mantener siempre los ojos muy abiertos. Y por supuesto, aplicar todas las actualizaciones de seguridad de los programas que haya instalados en los ordenadores. No olvidemos que las vulnerabilidades de Microsoft explotadas por Carbanak eran de versiones antiguas de Word, entre Word 97 y Word 2003. Es decir, hace mucho tiempo que esas vulnerabilidades podían haber sido corregidas por los dueños de esos equipos con solo aplicar las actualizaciones programadas».

Para Vicente Díaz, con Carbanak estamos ante una organización criminal muy bien engrasada y en la que participa mucha gente. «Por un lado -explica- está el control de los vídeos. Un equipo de personas tuvo, tiene que dedicarse a eso, a controlar minuto a minuto las cientos de horas de vídeo grabadas por los ordenadores de los propios equipos infectados. Era así como los criminales se familiarizaban con las rutinas de trabajo de los empleados, con sus horarios, con sus procedimientos... Luego hay un segundo grupo de "mulas" que tiene que ir, físicamente, a retirar el dinero de los cajeros infectados. Y seguro que hay, por lo menos, un tercer grupo que se encarga de lavar el dinero robado. No se sabe si se trata solo de una organización o si por el contrario hay varias que trabajan juntas y colaboran en las diferentes tareas».

A día de hoy, la operación Carbanak sigue abierta. Y es muy probable que en los próximos días aparezcan más víctimas y aumente la cantidad total de dinero robado en todo el mundo. «No lo sabemos -concluye Díaz-. A partir de ahora puede pasar cualquier cosa».

Las claves del ciberataque