A fines de 2013, un cajero automático de Kiev en Ucrania comenzó a entregar dinero en diferentes horarios del día, pero nadie había ingresado ninguna tarjeta de débito. Tampoco se había apretado ningún botón. Las cámaras reflejan que la pila de billetes había sido tomada por clientes que aparentemente habían tenido la suerte de estar presentes en el momento oportuno.
Pero cuando una compañía rusa de seguridad en internet, Kaspersky Lab, comenzó a investigar esta situación extraña, descubrió que el cajero en mal funcionamiento sólo era el menor de los problemas del banco.
En un informe publicado ayer, que fue provisto con anticipación al New York Times, Kaspery Lab descubrió que una banda de hackers ruso robó unos u$s 1.000 millones desde 2013 a un centenar de bancos en Rusia, Europa del Este y Estados Unidos y otras instituciones financieras en 30 naciones, lo que podría convertir al fraude en uno de los robos bancarios jamás vistos.
Los piratas bancarios ni siquiera tuvieron que entrar en los servidores bancarios. Sólo se infiltraban en la red y se dedicaban a hacer pasar sus actividades por ordinarias. A diferencia de otros hackers, la banda denominada Carbanak - por el nombre del virus con el que operó -no robaba las cuentas de los clientes de bancos, sino directamente a las de las instituciones financieras simulando que se trataba de actividades de sus empleados.
Las computadoras internas del banco que los empleados usaban para realizar transferencias diarias habían sido infectadas con un software que permitía grabar todos sus movimientos. El software enviaba al grupo criminal los videos e imágenes que permitían determinar cómo el banco realizaba sus rutinas diarias.
Los expertos de Kaspersky, que están trabajando de manera coordinada con Interpol, Europol y autoridades de diferentes países, descubrieron que los delincuentes tardaban de dos a cuatro meses en recabar todos los datos del banco necesarios para realizar las transacciones fraudulentas, con las que se llevaban hasta u$s 10 millones de una entidad.
Precisamente, ese era el período de tiempo que se requería desde que se infectaba a la primer computadora de la red interna del banco a través de la técnica "phishing", que emula un software legal de una entidad para pedir claves y contraseñas al usuario, hasta la extracción del dinero de los cajeros automáticos.
El silencio alrededor de la investigación parece motivada, en parte, por la reticencia de los bancos en aceptar que sus sistemas fueron fácilmente penetrados y por el hecho de que los ataques parecen continuar. De hecho, ningún banco ha salido públicamente a confirmar que fue víctima de los cyber ataques.
"Este es probablemente el ataque más sofisticado que el mundo haya visto hasta la fecha en cuanto a las tácticas y métodos que los cibercriminales han utilizado para mantenerse en secreto", dijo Chris Doggett, director de Kaspersky en Boston, en diálogo con el New York Times.
