Uno de los mayores fraudes cibernéticos todavía no ve el fin.
○ El líder de Carbanak está detenido, pero mil 200 millones de dólares siguen desaparecidos.
El 10 de julio de 2016 en Taipéi, Sergey Berezovsky y Vladimir Berkman fueron a un cajero de First Commercial Bank, uno de los principales bancos de Taiwán. Los rusos se pararon frente a la máquina. Luego, el cajero comenzó a escupir efectivo sin que lo tocaran. Los hombres tomaron los billetes y se fueron. Pero uno de ellos tiró, por error, su tarjeta bancaria. Cuando los detectives rastrearon a Berezovsky y Berkman, ya estaban en Moscú. Y eran solo dos de los quince que atracaron 41 cajeros en 22 sucursales del First Commercial ese fin de semana, llevándose dos millones 600 mil dólares. La banda Carbanak había atacado de nuevo.
Antes de WannaCry, antes del hackeo a Sony Pictures, a Equifax y Yahoo!, existía un programa malicioso conocido como Carbanak. A diferencia de esos ataques, este malware no fue creado para pedir rescate, publicar correos electrónicos o robar datos personales. Carbanak solo quería dinero. Desde finales de 2013, esta banda de ciberdelincuentes ha penetrado a más de cien bancos en 40 países, incluidos Alemania, Rusia, Ucrania y Estados Unidos, y ha robado cerca de mil 200 millones de dólares, según Europol. Se cree que esos robos constituyen el mayor atraco bancario digital en la historia. En una serie de entrevistas con Bloomberg Businessweek, agentes de la ley y expertos revelaron detalles sobre la persecución de la banda y los mecanismos de un ardid que se ha vuelto leyenda en el mundo digital.
Los ladrones, aparte de hacer que los cajeros escupieran dinero, inflaron saldos de cuentas y movieron millones de dólares por el mundo. Al implementar los mismos métodos de espionaje utilizados por las agencias de inteligencia, se apropiaron de las identidades de administradores de redes y ejecutivos y sondearon archivos para obtener información confidencial sobre las prácticas de seguridad y administración de cuentas. La banda operaba con computadoras con las que accedía de forma remota y ocultaba sus huellas. "Con Carbanak es la primera vez que vimos métodos tan novedosos usados para penetrar en las grandes instituciones financieras y sus redes", dice James Chappell, cofundador de Digital Shadows Ltd., una firma de inteligencia que trabaja con el Banco de Inglaterra. "Es la magnitud de los ataques lo que lo hace diferente".
Aunque se creyó que no atraparían a los de Carbanak, en marzo de este año la Policía Nacional española arrestó al ucraniano Denis Katana en Alicante. Lo tienen retenido bajo la sospecha de ser el cerebro de la operación. Aunque Katana no ha sido acusado de delito alguno, los detectives dicen que fue el artífice de una conspiración en tres continentes. Y hay indicios de que la banda sigue activa.
Carbanak apareció por primera vez en Kiev, cuando los ejecutivos de un banco ucraniano notaron que los cajeros de la entidad daban efectivo antes del amanecer a personas que ni siquiera insertaban una tarjeta o tecleaban el PIN. El banco contrató a la firma rusa de ciberseguridad Kaspersky Lab para que indagara. Los investigadores sospecharon que los hackers habían infectado las máquinas con malware, pero lo que encontraron fue otra cosa.
Alguien había enviado correos a los empleados del banco con archivos adjuntos fingiendo ser proveedores, una táctica clásica de spear-phishing. Al ser abiertos, los archivos descargaron un código malicioso basado en Carberp que extrajo información confidencial de los empleados del banco y la pasó a un servidor de los hackers. Pronto, los investigadores descubrieron que otros bancos en Rusia y Ucrania habían sido hackeados de la misma manera.
Los objetivos eran vigilados por meses. En 2014, las autoridades entendieron que estaban lidiando con algo nuevo. Ese octubre, Keith Gross, presidente del grupo de ciberseguridad de un lobby bancario europeo, se reunió con Citigroup, Deutsche Bank y otros para informarles lo hallado en Ucrania. "Nunca antes había visto algo como esto. Es un ataque de malware bien organizado, es muy sofisticado y es global", les advirtió Troels Oerting, entonces jefe del Centro de Cibercrimen de Europol.
La policía europea, en consecuencia, también se globalizó, reclutando la ayuda de las autoridades en Bielorrusia, Moldavia, Rumania, España, Taiwán y EU. Creó un centro de intercambio de información donde los investigadores podían cruzar datos e identificar vínculos entre los robos, explica Fernando Ruiz, jefe de operaciones en la unidad de cibercrimen de Europol. También dispuso un laboratorio donde los técnicos diseccionaron una veintena de muestras de malware identificadas en los robos de Carbanak. Al aislar características únicas en el código, los detectives podían rastrear de dónde venían los programas. Ese trabajo los llevó a Denis Katana en Alicante. Carlos Yuste, jefe del centro de cibercrimen de la Policía Nacional, y Javier Sánchez, monitorearon a Katana, quien usaba servidores extranjeros y era visitado por rumanos y moldavos ligados al crimen. Katana parecía ser otro inmigrante que construía una nueva vida en Occidente. Yuste y Sánchez reconstruyeron la forma en que orquestaba los robos de Carbanak con otros tres hombres en Ucrania y Rusia. Uno enviaba los correos maliciosos, otra era un experto en bases de datos y el tercero limpiaba las huellas digitales de la banda.
Katana realizaba el reconocimiento de los sistemas bancarios y luego movía dinero por la red. Su labor era arte tanto como ciencia, dice la policía. "Este tipo está en otra liga, es como Rafa Nadal en el tenis. Hay pocas personas en el mundo capaces de hacer lo que hizo", afirma Yuste.
Justo cuando la policía lograba avances, Carbanak abrió otro frente. En 2016, la banda envió correos electrónicos que cuando los empleados bancarios abrían, descargaban un malware para permitir que los funcionarios de seguridad hackeen sus instituciones para encontrar vulnerabilidades. El asalto Carbanak-Cobalt sustrajo 12 millones de dólares.
Pero Carbanak tenía una debilidad, la humana. En 2016, seis días después del atraco nocturno de Berezovsky y Berkman, otros dos hombres vinculados a los robos llegaron a Taipéi. Mihail Colibaba y Nicolae Pencov recogieron en la estación de trenes maletas con 60 millones de dólares taiwaneses. Su trabajo estaba casi hecho, pero al día siguiente la policía los detuvo. Estaban vigilados.
Su captura, como la de sus cómplices Berezovsky y Berkman, fue por un descuido. Después de que la policía tuvo la tarjeta bancaria que uno de los rusos había tirado, Hsin-Yi Tseng, una detective de la Oficina de Investigación Criminal de Taipéi, coordinó una búsqueda global. Decenas de oficiales revisaron las grabaciones de las cámaras de seguridad y rastrearon a un sujeto, a quien siguieron hasta la estación de trenes. Lo vieron esconder las maletas y esperaron a ver quién iba a recogerlas. Fueron Colibaba y Pencov, quienes ahora cumplen cuatro años y medio en prisión. El iPhone de Colibaba contenía fotos de pilas de dinero y los correos que había intercambiado con un hombre que parecía estar a cargo de la operación. Lo rastrearon hasta Alicante.
Katana, mientras tanto, seguía operando. A principios de 2017, sus mulas extrajeron cuatro millones de dólares de cajeros automáticos en Madrid después de que Katana penetrara las cuentas de bancos rusos y kazajos. Eso fue un error, porque gracias a eso Yuste obtuvo la aprobación judicial para interceptar los teléfonos de Katana. A principios de este año, los detectives se enteraron de que él y sus socios se preparaban para lanzar una versión más potente de Carbanak. En la mañana del 6 de marzo, la policía llegó a Katana, quien no se resistió.
Sin embargo, los expertos señalan que aun cuando el hombre fuera la mente maestra, era solo uno más en un crimen que seguramente tuvo muchos autores. A diferencia de los atracos bancarios de antaño, los robos digitales son operaciones similares a las amebas que se dividen una y otra vez a medida que el malware prolifera. "Ya hemos visto la modificación de Carbanak y a múltiples grupos usarla, lo mismo con Cobalt", dice Kimberly Goody, analista del fabricante de software de seguridad FireEye Inc. Resulta que los ciberrobos no paran aun cuando sus presuntos perpetradores son capturados.