Piratas informáticos roban millones de euros a varios bancos

Los ciberdelincuentes entraron en SWIFT, la plataforma de mensajería que usan las entidades en sus transferencias internacionales

Miguel Ángel Criado
El País
El mito de la seguridad de los bancos se resquebraja. Piratas informáticos han atacado entidades financieras en varias partes del mundo. Aunque robaron unos 80 millones de euros, por poco no se llevan otros 1.000 millones. Al menos hay tres casos confirmados que podrían estar conectados, pero se investigan varios más. Los delincuentes accedieron a una red de comunicaciones cerrada y exclusiva de las entidades bancarias. Los responsables de la plataforma atacada han anunciado un plan para reforzar la seguridad de las operaciones internacionales entre los bancos.


El primero de los ataques conocido fue realmente el último en producirse. En febrero pasado, un grupo de ciberdelincuentes usaron credenciales de empleados del banco central de Bangladesh para librar una treintena de órdenes de transferencia de dinero que esta entidad tenía en el Banco de la Reserva Federal de Nueva York. El plan de los piratas era hacerse con unos 1.000 millones de dólares, pero una errata levantó sospechas a tiempo de paralizar la mayor parte de las transferencias, con destino a bancos de Filipinas y Sri Lanka. Aún así, 81 millones de dólares han desaparecido sin dejar apenas rastro.

El segundo intento de robo, esta vez fallido se produjo en diciembre pasado, pero no ha trascendido hasta ahora. Un pequeño banco vietnamita comercial, Tien Phong Bank, con sede en Hanói, evitó el robo de un millón de euros. La historia no habría tenido hueco en periódicos como The New York Times, The Wall Street Journal o Financial Times si no fuera porque el ataque, anterior al de Bangladesh, es tan parecido a este último que los expertos creen que es obra de los mismos ciberdelincuentes.

El tercer ataque, al menos de los que han trascendido, tuvo lugar muy lejos de los dos anteriores y mucho antes. En enero del pasado año, al Banco del Austro, una entidad de tamaño medio de Ecuador, le desaparecían 9 millones de euros. El caso tampoco habría ocupado las portadas internacionales sino fuera porque, también aquí, los ladrones usaron la misma estrategia.

Lo que une a los tres ataques es la plataforma Swift. Tras esas siglas (en inglés) está la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales, una especie de cooperativa creada por 3.000 entidades, la gran mayoría bancos. Más de 11.000 entidades financieras de 200 países usan esta plataforma de mensajería. Cada día se realizan unos 25 millones de operaciones de transferencias por valor de miles de millones. Cada banco tiene su código Swift y, sus operarios, credenciales únicas para operar con la plataforma. Diseñada sobre el principio de la seguridad, los piratas lograron hacerse con credenciales auténticas en los tres ataques.

"Habrá un antes y un después de Bangladesh", ha reconocido el presidente ejecutivo de Swift, el holandés Gottfried Leibbrandt, durante su intervención en una conferencia sobre servicios financieros celebrada este miércoles en Bruselas. Para Leibbrandt, estos ataques se convertirán en un acontecimiento decisivo para el sector bancario. Hasta ahora, la inmensa mayoría de los ciberataques contra los bancos eran contra sus usuarios y clientes. Este ha ido contra el corazón mismo de los bancos. Además, si afloran más casos, puede desmontar la imagen de seguridad que los bancos, a diferencia de las empresas de otros sectores, tenían hasta ahora.

Desde Swift insisten en que, como repetía su presidente en la conferencia de Bruselas, "Swift, nuestra red, programas y servicios de mensajería no se han visto comprometidos". Entonces, ¿qué ha pasado? Aunque aún queda mucho por investigar, en Swift señalan fallos dentro del ecosistema interno de cada uno de los bancos, no en su plataforma.

En dos de los ataques, las órdenes de transferencia fueron emitidas usando credenciales válidas. "Se vio comprometido el entorno de pagos interno del banco, consiguiendo las credenciales para crear el mensaje Swift", explica a El País la responsable de asuntos corporativos de Swift, Natasha de Teran. Queda por saber cómo se hicieron con las credenciales. En una segunda parte del ataque, los piratas usaron malware (programas maliciosos) para ocultar el rastro de las operaciones. Así, el destinatario del mensaje del pago no ve nada extraño al proceder de una credencial válida y el emisor no se entera de la transferencia hasta que ya es tarde.

Los ciberdelicuentes usaron credenciales válidas de los bancos y borraron el rastro de sus transferencias

"Aquí hay mucho factor humano", sostiene el experto en seguridad informática de Hispasec, Antonio Ropero. Para él, con lo que se sabe de los ataques, "todo parece indicar que han contado con ayuda desde dentro". Esa es una de las hipótesis que maneja el FBI estadounidense, una de las policías que está investigando los ataques.

En cuanto a quién puede estar detrás, lo sofisticado del ataque complica las cosas."ES lo que se conoce como un ataque persistente avanzado", explica Ropero. El malware usado para ocultar las transferencias "ha sido diseñado específicamente para esta plataforma y para estos ataques", añade. Además, estas operaciones suelen prepararse durante tiempo y pueden llevar en marcha años.

El dinero robado y el interceptado acabó o iba camino de decenas de cuentas en al menos cinco países y, en principio, no relacionadas entre sí. Además, hay quienes han visto en este ataque la firma de los autores de la intrusión que sufrió Sony Pictures en 2014 y que casi acaba con la compañía. De ser así, la cosa aún se complicaría más: Entonces, algunos, como el FBI, señalaron a Corea del Norte como instigadora del ataque.

Desde Swift, que reconocen "varios" ataques más, preparan un plan para reforzar la seguridad y, en especial, la confianza en la plataforma. Entre los puntos claves de la iniciativa está la necesidad de que los bancos compartan la información sobre los ataques que reciban lo antes posible. Además, pondrán en marcha un programa para formar en seguridad a los empleados que operan con la plataforma. Habrá que esperar a ver si salta un cuarto ataque a los bancos.

Entradas populares