Hace unas semanas salió a la luz uno de los mayores robos cibernéticos de la historia; se habla de que los atacantes consiguieron sustraer cerca de 300 millones de dólares (aunque se estima que la cifra podría ser mucho más alta) de centenares de bancos, ahí es nada. Según una investigación revelada en exclusiva por el New York Times, Karspersky junto con la Interpol y la Europol, se encargó de investigar lo que llamó “operación sin precedentes” en la que los ciberdelincuentes habían estado operando desde hace un par de años sin despertar sospecha alguna.
La investigación empezó a finales de 2013, cuando un cajero en Kiev empezó a soltar billetes a la calle sin ningún motivo aparente a horas aleatorias del día.
Los responsables del robo son los miembros de una banda denominada Carbanak, una organización de la que forman parte ciberdelincuentes de medio mundo: China, Rusia, Ucrania, y otras partes de Europa. En este caso sus ataques no se centraban en robar las cuentas de los clientes de bancos, como suele ser lo habitual en los ataques de phishing, sino que directamente iban contra las instituciones financieras, simulando actividades cotidianas de sus empleados.
Atrás quedaron los años en los que los robos bancarios implicaban entrar a una oficina o sucursal con una media en la cabeza y armado hasta los dientes al más puro estilo “Rambo”. Para cometer el que puede haber sido el mayor atraco de la historia, no ha sido necesario utilizar armas tradicionales en estos escenarios como una pistola o un rifle de asalto, sino que se han usado otras totalmente diferentes: el malware y la ingeniería social. A diario aparecen nuevas modalidades de malware cada vez más sofisticados y si a eso le sumamos el ingenio de algunos ciberdelincuentes, tenemos como resultado un robo múltiple a nivel mundial sin moverse de casa.
Según la información publicada, el malware empleado se dedicaba a grabar los movimientos llevados a cabo por los trabajadores del banco y a enviar a los ciberdelincuentes todo tipo de información: datos bancarios, vídeos, imágenes, facilitando de esta forma que pudiesen conocer con todo lujo de detalles los procedimientos habituales de la organización atacada.
En este punto es cuando cabe plantearse cómo han conseguido introducir un malware en la red de una entidad financiera. Y como suele suceder, no es necesario algún sofisticado ataque que combine complejos algoritmos de cifrado con años de preparación y estudio sobre los sistemas de seguridad de la entidad. Solo es necesario “convencer“ a un empleado para que instale el malware en su ordenador corporativo. ¿Cómo? Mediante un correo electrónico bien preparado (y algo más, claro, hacer pasar desapercibido un ataque así no es cosa fácil). So easy. En este caso concreto la infección se llevó a cabo a través de un correo electrónico dirigido a empleados de bancos, supuestamente enviados por colegas, que contenía el malware.
Este caso recuerda a otro ataque que tuvo lugar hace un par de años. En éste, un grupo de hackers robó varios millones en tres bancos de EE.UU. mientras simulaban otros ataques. Al más puro estilo de película de atracadores de bancos de Hollywood, lanzaban ataques DDoS para distraer a los responsables de la seguridad digital mientras ellos aprobaban transferencias fraudulentas. En este caso los ciberdelincuentes utilizaron las claves de empleados bancarios para obtener privilegios de acceso que les permitían manejar todos los aspectos de las transferencias, incluyendo su aprobación. ¿Y cómo consiguieron las claves de los empleados? De nuevo, gracias a un malware instalado en sus equipos mediante un ataque de phishing.
No cabe duda de que las entidades financieras han invertido verdaderas fortunas en proteger la información y el dinero de sus clientes. Pero, sin embargo, ¿cuánto dinero han invertido en formar y concienciar en materia de seguridad a sus empleados? Incluso en el mejor de los casos, estoy convencido que la diferencia entre una inversión y otra debe ser, cuanto menos sustancial, por no decir otra cosa. Sin ir más lejos, el otro día mientras esperaba en una sucursal bancaria, pude ver como un cliente llegaba con un pendrive personal y se lo daba a una empleada de la oficina que sin titubear ni siquiera un momento lo conectó directamente a su ordenador, o lo que es lo mismo, a la red del banco.
Llegados a este punto, ¿qué sentido tiene invertir millones de euros en sistemas de protección, cuando la puerta de entrada a todo tipo de malware sigue estando “entreabierta” y los que deben mantenerla cerrada no lo saben o nadie les ha explicado cómo hacerlo? Quizá este incidente sea un punto de inflexión para que, de una vez por todas, las entidades financieras y las empresas en general se den cuenta de que invertir en formar y concienciar a sus trabajadores no es una asignatura optativa, sino más que necesaria, debe ser OBLIGATORIA.
Pero, ¿saben qué? Creo que no será así y que el futuro nos deparará noticias como ésta y es posible que cada vez más escandalosas. Al final, la realidad se impone y algunas lecciones son duras de aprender.