Grandes robos informáticos de la historia

Tras escribir “Lo que internet le debe al porno” mi nuevo artículo para eldiario.es, al que le seguirán más en próximas semanas, se titula “Grandes robos informáticos de la historia“. Se trata de un reportaje amplio, cuyo objetivo es concienciar al personal sobre los riesgos que corremos en estos tiempos, en el que repaso los mayores hurtos informáticos de la historia de dinero, información y software.

La pieza es larga por lo que recomiendo leerla con tiempo. Dejo un extracto seguidamente y espero que lo disfrutéis tanto como yo mientras investigaba, entrevistaba y finalmente lo escribía.

“El único sistema verdaderamente protegido es aquél que está apagado, encerrado en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados – y aún así tengo mis dudas ”. Corría el año 1989 cuando el profesor y reputado experto en seguridad informática Gene Spafford realizó esta llamativa reflexión.

Se trata de una exageración, con la que probablemente pretendía lanzar un toque de atención a la sociedad en general sobre la escalada imparable de los delitos informáticos. ¿Pero somos realmente conscientes de los peligros a los que estamos expuestos en la era del todo conectado e informatizado?

No, o como poco no lo suficiente. Prueba de ello es, por ejemplo, que en el 2007 las contraseñas más usadas de la red fueran también las más inseguras y que dos años después la tendencia continuara inmutable. En palabras de José Carlos Norte, director de tecnología de eyeOS con amplia experiencia en el mundo de la seguridad consultado por Diario Turing: “El ciudadano de a pie vive en su burbuja, leyendo el mainstream y pensando que está seguro, pero la realidad es muy distinta, y cada día, miles de personas pierden dinero o intimidad a causa de ataques a sistemas informáticos de distinta naturaleza.”

Ante este panorama la concienciación sobre la importancia de la seguridad informática se vuelve una cuestión nada baladí, y qué mejor forma de concienciar que repasando algunos de los robos informáticos más importantes de la historia.

Ataques a la cartera… de los que duelen

Confeccionar un top de robos informáticos cuyo objetivo es lo económico o información financiera sensible no resulta fácil. Son los que más se dan, sobre todo en los últimos años durante los que el comercio electrónico, la banca electrónica y los sistemas de pago telemáticos se han consolidado. Aún así tras bucear exhaustivamente entre muchos casos de este tipo reportados en los últimos años, varios son los que llaman especialmente la atención.

Uno de los que no podía faltar en la lista, por ser de los primeros importantes, es el golpe al First National Bank de 1988 capitaneado por Armand Devon Moore que el Fiscal de los Estados Unidos del Distrito Sur de Illinois de la época calificó como “el esquema de malversación de fondos más grande en la historia de Chicago, y sin duda el más grande si tenemos en cuenta la cantidad de dinero que se movió”.

El modus operandi fue el siguiente: Moore convenció a Otis Wilson y Gabriel Taylor, empleados del First National Bank a los que llegó a través de su primo Herschel Bailey, para que le ayudaran a robar la entidad, pero no con pasamontañas y pistolas sino mediante transferencias electrónicas. Dicho y hecho; aprovechándose de su acceso a los equipos informáticos y telefónicos del First National Bank y de los conocimientos que poseían sobre el funcionamiento del sistema interno de transferencias electrónicas, seleccionaron tres grandes clientes corporativos del banco -Merrill Lynch & Co, United Airlines y Brown-Forman Corp- y traspasaron casi 70 millones de dólares en unos 60 minutos de sus cuentas a otras dos abiertas por la banda en Viena.

Para lograrlo simularon tres llamadas de responsables de las empresas solicitando las transferencias. A su vez Taylor fingió haber realizado las llamadas a Merrill Lynch, United Airlines y Brown-Forman necesarias para verificar las operaciones -en realidad llamaba a uno de los compinches-. De ahí las órdenes pasaron a un tercer empleado, que nada tenía que ver con el robo, y las hizo efectivas. Aunque todo parecía perfecto, pocas horas después de consumar el atraco les pillaron. Las víctimas no tardaron en detectar la falta de los fondos, contactaron con el First National y se descubrió el pastel.

El tipo de esquema delictivo descrito, en el que la piedra angular son empleados o exempleados con acceso a la información interna y a los equipos informáticos de la empresa que toque, se sigue repitiendo constantemente pero no es de los más sofisticados.

Los hay mucho más complejos, como el que aplicó Vladimir Levin en 1994 en su mítico robo al poderoso Citibank. Sin salir de San Petersburgo ni contactos dentro, logró colarse en la red de la entidad, acceder a las cuentas de cientos de clientes y realizar un buen puñado de transferencias a otras creadas por él en bancos de Alemania, Israel, Estados Unidos, Holanda, Argentina, etc. En pocas semanas consiguió robar 3,7 millones de dólares y marcó un antes y un después; se trató del primer robo serio de dinero a nivel internacional perpetrado contra un gran banco mediante la irrupción en sus redes de manera completamente remota.

Muy inteligente, sin embargo no lo fue tanto al alargar en el tiempo el robo (casi un año) y depender de una amplia red de colaboradores que retiraba en cajeros y sucursales el dinero saqueado. La INTERPOL siguió el rastro dejado por las transferencias, poco a poco capturaron a los colaboradores y en 1995 detuvieron a Levin en el aeropuerto de Heathrow (Inglaterra). Más tarde le extraditaron a los Estados Unidos donde se declaró culpable de los cargos imputados y le condenaron a tres años de prisión.

Pero no solamente se han dado, y continúan dándose, grandes robos informáticos a cuentas bancarias. Existen muchos otros perpetrados contra toda clase de objetivos. ¿Un ejemplo destacable? El “fraude de clics” desmantelado recientemente por Microsoft y Symantec en el que un grupo de delincuentes lograron montar una enorme botnet que llegó a reportarles un millón de dólares al año. La estrategia consistió en tomar el control de miles de ordenadores infectándolos con algún malware a través del que posteriormente instalaban en las máquinas el troyano Bamital que se ocupaba de ejecutar el fraude. Según Symantec, Bamital “redireccionó usuarios finales a anuncios y contenido que no tenían intención de visitar. Asimismo, generó tráfico no humano en anuncios y sitios web con la intención de recibir pagos de las redes de publicidad”.

Mención aparte merecen los robos de tarjetas de crédito. Ya en 1999 Maxim Kovalchuk, que en 2004 terminó en el banquillo de los acusados por piratería de software, se atribuyó el robo de 300.000 números de tarjetas de clientes de cduniverse.com. Poco tiempo después ocurrió lo que las autoridades de medio mundo temían: una operación de saqueo de tarjetas de crédito de alcance internacional perfectamente coordinada. El caso se hizo público en 2001 cuando el FBI comunicó que un grupo de delincuentes de Rusia y Ucrania, aprovechando vulnerabilidades conocidas en Windows NT, habían comprometido la seguridad de unas 40 compañías estadounidenses sustrayendo de sus bases de datos en línea más de un millón de números de tarjetas. De ahí en adelante se produjeron un gran número de delitos similares. El más notorio lo protagonizó Albert González de finales de 2006 a principios de 2008; durante ese periodo, junto a dos compinches rusos, sustrajo de varias empresas norteamericanas entre 130 y 170 millones de números de tarjetas de clientes utilizando técnicas de inyección SQL. “La broma” le costó una pena de 20 años de prisión que sigue cumpliendo en la actualidad.

Lo verdaderamente preocupante es que este tipo de robos no solamente han sobrevivido hasta nuestros días sino que ahora son mucho más masivos y sofisticados que los de antaño. Lo podemos ver en el reciente robo a la cadena de supermercados Schnucks de 2,4 millones de datos de tarjetas en el que, a diferencia de los anteriores, se sustrajeron directamente de 69 establecimientos tras hackearles in situ los sistemas que procesan los pagos. En opinión de José Carlos Norte, “es algo increíble y de una magnitud que supera a casi todo lo sucedido hasta ahora”.

  • Compartir: