La historia real del mayor ciberatraco jamas contado

ciberdelincuencia

El ‘genio’ ucraniano Deny K. era el mayor ciberatracador de entidades financieras del mundo y ha sido detendido por la Policía Nacional mientras preparaba el diseño de su nuevo ‘malware’

Foto: El ministro Zoido ha contado la detención en España del mayor ciberatracador de bancos del mundo.

Denys K. (Ucrania, 1982) era “un genio”. Al menos así de claro lo tenían los investigadores de la nueva Unidad Central de Ciberdelincuencia de la Policía Nacional. El tipo era ingeniero informático y nada más salir de la facultad se dedicó en cuerpo y alma a ganar dinero fácil a través de la red. Aprendió rápidamente a vulnerar equipos electrónicos y a ‘hackear’ empresas. Pasó una temporada en una prisión rusa por este motivo, pero pronto volvió a las andadas y aún más reforzado. Entró en contacto con otros tres ingenieros pirata a través de foros de la internet oscura a los que no había visto nunca en persona.

Los cuatro comenzaron a diseñar la organización que sin saberlo se llegaría a convertir en el enemigo público número uno del sistema financiero mundial. Denys creó un ‘malware’ para acceder a la red informática de los bancos y comenzó a actuar. El virus se denominó Anunak y comenzaron a utilizarlo a finales de 2013 en entidades de Rusia. Otro de los cuatro miembros del grupo se encargó de realizar envíos masivos de correos electrónicos a empleados de los diferentes bancos. Los mandaba a nombre del Banco Central Europeo o del fabricante de cajeros Wincor-Nixdofr y con un archivo adjunto. Los trabajadores abrían el .rtf o .doc confiando en que se trataba de un elemento seguro y en ese momento empezaba el caos.

El ‘malware’ penetraba inmediatamente en el dispositivo del empleado aprovechando alguna vulnerabilidad que la entidad no tenía detectada y comenzaba a escalar privilegios. Primero accedía al sistema informático del trabajador y luego extendía sus tentáculos al resto de ‘hardware’ del banco hasta que conseguía controlar los elementos críticos, las infraestructuras de transacciones y de cajeros automáticos. Una vez tenía la sartén por el mango, ordenaba a los cajeros que expulsaran todo el dinero que tenían, incrementaba los saldos de sus propias cuentas o hacía transferencias a cuentas ubicadas en Estados Unidos o China, entre otros lugares.

Así lograron controlar casi 400 entidades de Rusia, aunque no robaron en todas. Decidieron extraer dinero de medio centenar. En concreto, de aquellas que tenían la infraestructura más débil, las que les permitirían obtener los mayores beneficios en menos tiempo y con menos esfuerzo, las que aglutinaban ellas mismas sus propios cajeros y sus sistemas de procesamiento de pagos. Además, algunas de ellas ni siquiera corregían sus vulnerabilidades cuando eran atacadas por primera vez, lo que provocaba que los ‘hackers’ no dudaran en repetir un ciberatraco una vez que comprobaban que el agujero seguía abierto.

Es entonces cuando entraba en juego el segundo bloque de la organización, las denominadas mulas. Estos últimos conformaban una organización criminal paralela de tipo tradicional. Los cuatro ingenieros se inclinaron primero por contratar los servicios de la mafia rusa Orekhovo-Medvedkovo, con quienes trabajaron durante dos años. Sin embargo, en 2015 estos últimos comenzaron a dar problemas de pago a los ideólogos de la trama, que decidieron cambiar de contratistas. Optaron entonces por la mafia moldava, que fue la que hizo el papel de recolectora entre 2015 y la actualidad.

En concreto, las mulas se encargaban de ir con bolsas a los cajeros, recoger todo el dinero que expulsaban las máquinas y transportarlo donde les indicaban los cerebros de la operativa. Para cuando entraron los moldavos, los ingenieros ya habían modificado el ‘malware’. Las medidas de seguridad que implantaron los bancos atacados hicieron que Denys K. apostara por crear un nuevo virus evolucionado. Con Carbanak comenzaron a ciberpenetrar en entidades financieras rusas en 2015. Pero también recibieron la respuesta de los departamentos de seguridad de los bancos, que ya eran conscientes de estar inmersos en una guerra electrónica con una organización no violenta a la que no ponían cara pero que amenazaba directamente los elementos nucleares de su negocio, el dinero y la confianza.

Comenzaron entonces los cuatro ingenieros a desarrollar una tercera evolución del ‘malware’ mucho más avanzada, pero eso llevaría su tiempo. Mientras lo lograban, no podían dejar de actuar. Para ello, utilizaron un sistema abierto denominado Cobalt Strike, una herramienta que les permitió ampliar su área de actuación a entidades financieras de países del entorno de Rusia como Azerbaiyán, Ucrania, Kazajistán o Bielorrusia.

Hasta 2016, la organización logró atracar un centenar de bancos y obtener más de un millón de euros por cada ataque. El dinero luego lo transformaban en criptomonedas con el fin de que la policía no pudiera rastrearlo. En una ocasión, Denys consiguió tener más de 15.000 bitcoins, lo que hoy al cambio son casi 100 millones de euros. En total, según Kaspersky, la organización sustrajo más de 1.000 millones de dólares y fue el azote de la comunidad policial internacional durante más de cuatro años. La reciente desarticulación del cerebro de la trama por parte de la Policía Nacional en Alicante pone fin a tres años de trabajo de los investigadores españoles, que sin embargo experimentaron un momento crítico a principios del año pasado.

En concreto, en enero y en marzo de 2017, los agentes de la Sección de Seguridad Lógica de la citada Unidad de Ciberdelincuencia de la Policía detectaron una docena de salidas de dinero masivas de diferentes entidades españolas ubicadas todas ellas en el centro de Madrid. Todas las extracciones eran llevadas a cabo por usuarios que tenían tarjetas de crédito rusas. Comenzaron entonces a tirar del hilo hasta que llegaron a la casa de Denys, en Alicante, donde comenzaron las vigilancias policiales. Observaron los investigadores que el hombre y su mujer llevaban un elevado tren de vida.

Tenían dos BMW X5 y X6 M50d de alta gama, una moto acuática, un chalé de 600.000 euros y un piso de 300.000, joyas valoradas en medio millón de euros y otros elementos de lujo. Ella llevaba siempre los mejores vestidos, según explican fuentes de la investigación. Él, sin embargo, no llevaba una vida ‘estilo narco’, saltando de fiesta en fiesta y de restaurante en restaurante. Era mucho más discreto que eso. De hecho, pasaba muchos días sin salir de casa, encerrado con sus dos MacBook Pro, sus cinco iPhone X o 7 y sus discos duros, navegando con Tor por la ‘deep web’.

Parte de su organización había sido ya desarticulada. En concreto, la policía de Taiwán cazó a dos individuos justo antes de que fueran a recoger el dinero que otros miembros de la trama habían depositado en una taquilla de la estación de tren de Taipei días antes tras ciberatracar un cajero. Los agentes atraparon a estos dos componentes de la organización. La policía —en colaboración con el FBI, Interpol y otros cuerpos de todo el mundo— tiene identificados a otros dos de los cuatro ingenieros, aunque aún no ha podido atraparlos. También dispone del nombre del cuarto ‘cerebro’, pero poco más.

La investigación sigue abierta y los investigadores no descartan nuevas detenciones. Aún tienen que recuperar los 1.000 millones de dólares, o la parte que puedan conseguir de las criptodivisas, robados por estos ciberladrones. También tienen que detectar a los que sacaron el dinero de los cajeros de Madrid. Por el momento, al menos, han conseguido desactivar una estructura que tenía atemorizado al sistema financiero mundial. Los ingenieros, de hecho, tenían casi listo el nuevo ‘malware’ con el que pretendían extender su red de ciberatracos.

Ver información original al respecto en Fuente: