La
noticia saltó el pasado lunes en Cancún, donde la empresa de seguridad informática
Kaspersky ha celebrado estos días su congreso anual de Ciberseguridad. Más de
un centenar de bancos, que se sepa,
han sido víctimas, en una campaña de ciberataques sin precedentes, del robo de cerca de 1.000 millones de dólares.
En febrero de 2014, cuando se detectaron los primeros síntomas de este ataque informático masivo, un número creciente de instituciones financieras y policiales (como Interpol o Europol), junto a expertos de la propia Kaspersky, pusieron en marcha la denominada operación Carbanak, que sigue abierta y que podría, según las fuentes consultadas por ABC, «dar aún muchas sorpresas». A pesar de la gravedad del asunto y del gran número de instituciones atacadas,especialmente en Rusia y China, apenas un puñado de bancos han reconocido ser víctimas del mayor robo informático de todos los tiempos. La inmensa mayoría, amparados por el anonimato, guardan un discreto silencio.
La vieja técnica del «phishing»
El ataque comenzó unos meses antes de ser detectado, probablemente en noviembre o diciembre de 2013. En sus primeras fases, se sirvió del conocido método del «
phishing», que consiste en enviar correos electrónicos con archivos adjuntos que contienen
códigos maliciosos, de forma que que los usuarios, al abrir esos archivos,
activan una «puerta trasera» que permite el control remoto de sus ordenadores.
Infección selectiva de ordenadores
Pero esta vez no se trataba de infectar indiscriminadamente a millones de ordenadores en todo el mundo, sino solo a unos pocos. Las víctimas, en efecto, fueron seleccionadas con todo cuidado: trabajadores y empleados de instituciones financieras y bancos de, por lo menos, una treintena de países diferentes. Una vez «dentro» y con toda la calma del mundo, los cibercriminales se dedicaron (durante meses enteros) a observar y grabar en vídeo las rutinas de trabajo de esos empleados, sus horarios, las operaciones a las que tenían acceso... Y también a «bucear» discretamente en las redes informáticas de los bancos atacados, en busca únicamente de los sistemas que permiten el manejo de los cajeros automáticos y las transferencias de dinero.
Vicente Díaz, analista de seguridad Kaspersky, explica a ABC que «la forma de entrar ha sido el phishing de toda la vida. Pero se trata de un grupo muy audaz y ambicioso, y que ha tenido un éxito sin precedentes usando esta técnica. Lo novedoso no es el nivel técnico, que no es demasiado alto, sino la estrategia».
Kaspersky empezó su investigación en febrero de 2014. Pero en ese momento, explica Díaz, «para nosotros se trataba solo de un incidente aislado al que no dimos más importancia. En verano, sin embargo, vimos que se repetía y aumentaba: algo estaba pasando. A partir de ahí empezamos a investigar a gran escala y montamos un grupo de investigación para colaborar con los equipos técnicos de los bancos y con las policias de los diversos países afectados».
Dada la gravedad del asunto, ningún aspecto de la investigación se hizo público entonces: «A partir de ese momento, empezamos a difundir la informacion, pero siempre a nivel privado, a todos los bancos de todos los paises a los que pudimos llegar. Llevamos meses enteros compartiendo esa información restringida. Y ahora, después de todo ese tiempo y ante las primeras filtraciones no controladas, decidimos hacer una comunicación pública».
No se conoce el alcance real del robo
El alcance real de la operación Carbanak sigue siendo desconocido. Y a pesar de que Kaspersky se ha puesto en contacto con un gran número de bancos en todo el mundo, muchos ni siquiera han contestado. «Lo que nosotros tenemos -explica Vicente Díaz- son rastros informáticos y pistas que apuntan a víctimas potenciales. Pero no estamos dentro de ningún banco y no podemos saber si les han robado o no dinero. Solo tenemos esos rastros que apuntan a esas instituciones. Les avisamos de lo que hemos visto y son ellos los que comprueban si han sufrido algún robo o no. Por supuesto, no están obligados a contestarnos o a colaborar con nosotros. Pueden investigar por su cuenta, con sus propios equipos de seguridad, o con la Policía, sin que nosotros tengamos la menor noticia de ello».
Los actuales sistemas antifraude de los bancos tienen serias dificultades para detectar esta clase de ataques. Las operaciones no se hacen de golpe, sino poco a poco, y siempre «disfrazadas» de transacciones normales de cantidades pequeñas en un gran número de cuentas. Según los datos recabados por Kaspersky, los daños de cada banco atacado están entre los 2,5 y los diez millones de dólares, «o por lo menos eso es lo que dicen las víctimas con las que hemos podido hablar», afirma Díaz.
Los cibercriminales, además, parecen estar «autolimitándose» a esas cifras, porque esas son las cantidades que los bancos destinan anualmente a paliar los efectos del fraude. «Quedándose por debajo de esos límites -apunta el analista de Kaspersky- no se activan las alarmas y todo parece esstar dentro de la normalidad. Pero esto no es más que una especulación. Podría haber víctimas que hayan perdido mucho más».
España, a salvo
Al parecer, nuestro país, por ahora, no ha formado parte de los objetivos de Carbanak. «En España hubo un rastro que apuntaba a un banco concreto, pero se trataba de un falso positivo, es decir, ese ataque no llegó a producirse», afirma Díaz. «También tenemos toda una serie de "direcciones IP" españolas que no sabemos a quién corresponden. Nosotros compartimos toda la información que tenemos con los posibles afectados, pero ellos, tanto víctimas como policía, pueden no querer compartirla con nosotros. Por ahora, y que sepamos, no hay datos de pérdidas en España».
Uno de los secretos del éxito de los atacantes es que, en esta ocasión, han conseguido ir siempre un paso por delante de sus víctimas. «Usan las mismas herramientas que usan los adminstradores de los bancos, por ejemplo, el control remoto de terminales -explica Díaz- Pero con cada víctima actúan de forma diferente. A diferencia de otros casos, por ejemplo un gusano que afecta a millones de equipos, aquí la banda entra en equipos muy concretos, y una vez dentro va viendo lo que puede hacer en cada caso, uno por uno, de forma individualizada. Y no existe una herramienta defensiva capaz de verlo todo al mismo tiempo. Los tiros, hoy en día, van por ahí, y pasan por utilizar herramientas de administración genéricas, de las que usa todo el mundo, y no grandes y sofisticados programas de espionaje. Los cibercriminales avanzan poco a poco, paso a paso, se toman su tiempo yvan viendo qué estrategia concreta pueden aplicar en cada caso».
Vulnerabilidades antiguas
Lo único que se puede hacer, según el experto de Kaspersky, es «no bajar la guardia y mantener siempre los ojos muy abiertos. Y por supuesto, aplicar todas las actualizaciones de seguridad de los programas que haya instalados en los ordenadores. No olvidemos quelas vulnerabilidades de Microsoft explotadas por Carbanak eran de versiones antiguas de Word, entre Word 97 y Word 2003. Es decir, hace mucho tiempo que esas vulnerabilidades podían haber sido corregidas por los dueños de esos equipos con solo aplicar las actualizaciones programadas».
Para Vicente Díaz, con Carbanak estamos ante una organización criminal muy bien engrasada y en la que participa mucha gente. «Por un lado -explica- está el control de los vídeos. Un equipo de personas tuvo, tiene que dedicarse a eso, a controlar minuto a minuto las cientos de horas de vídeo grabadas por los ordenadores de los propios equipos infectados. Era así como los criminales se familiarizaban con las rutinas de trabajo de los empleados, con sus horarios, con sus procedimientos... Luego hay un segundo grupo de "mulas" que tiene que ir, físicamente, a retirar el dinero de los cajeros infectados. Y seguro que hay, por lo menos, un tercer grupo que se encarga de lavar el dinero robado. No se sabe si se trata solo de una organización o si por el contrario hay varias que trabajan juntas y colaboran en las diferentes tareas».
A día de hoy, la operación Carbanak sigue abierta. Y es muy probable que en los próximos días aparezcan más víctimas y aumente la cantidad total de dinero robado en todo el mundo. «No lo sabemos -concluye Díaz-. A partir de ahora puede pasar cualquier cosa».
Las claves del ciberataque
¿Qué es Carbanak?
Es el nombre utilizado por Kaspersky para designar un ataque del tipo APT (Advanced Packaging Tool o Herramienta Avanzada de Empaquetado) y cuyos objetivos son (aunque no solo) las instituciones financieras. La principal diferencia con otros atques APT es que los atacantes no buscan datos de usuarios, sino directamente dinero. El nombre surge de la mezcla del tipo de amenaza (Carberp) y del nombre del archivo de configuración, «anak.cfg». Carbanak es una «puerta trasera» remota, dieñada para labores de espionaje y para tener un acceso remoto a las máquinas infectadas.
¿Cuál es el propósito de este ataque?
Los atacantes se infiltran en la red de las víctimas en busca de los sistemas críticos que éstas utilizan para mover el dinero. Una vez conseguida una suma significativa (entre 2,5 y 10 millones de dólares por cada entidad), los atacantes abandonan a su víctima y se retiran.
¿Por qué este ataque es diferente?
Los bancos siempre han estado en el punto de mira de los ciberdelincuentes. Sin embargo, la mayor parte de los ataques llevados a cabo hasta ahora tenían como objetivo a los clientes. Esta vez, el ataque se dirigió directamente contra las entidades financieras, lo que supone una acción sin precedentes y que necesita altos grados de coordinación y profesionalidad, hasta el punto de auto limitarse en la cantidad robada a cada banco.
¿Desde cuándo se producen ataques de este tipo?
Según los datos disponibles, las primeras acciones se llevaron a cabo en Agosto de 2013, cuando los cibercriminales empezaron a probar Carbanak. Las primeras máquinas infectadas se detectaron en Diciembre de 2013.
¿Cuánto dura cada «atraco»?
Como media, cada robo a un banco concreto dura entre dos y cuatro meses desde que se infecta el primer terminal de la red del banco hasta que se logra sacar el dinero. Kaspersky cree que la banda logró saquear a sus primeras víctimas entre Febrero y Abril de 2014. El pico de infecciones se registró en Junio de 2014 y la campaña de atracos sigue aún activa.
¿Por qué no se ha sabido nada hasta ahora?
Desde que Kaspersky empezó a trabajar en este caso, ha colaborado con numerosos organismos de seguridad internacionales en la investigación. Y dado que esa investigación está aún abierta, se pidió a la compañía que no revelara detalle alguno hasta que fuera seguro hacerlo.
¿Cómo ha contribuido Kaspersky a la investigación?
Ayudando a adoptar contramedidas que interrumpan las operaciones del malware y la actividad de los cibercriminales. Durante la investigación se aportaron conocimientos técnicos como el análisis de vectores de infección, programas maliciosos y apoyo de infraestructuras de control.
¿Cómo se distribuye Carbanak?
Los atacantes usan como punta de lanza correos electrónicos con archivos adjuntos maliciosos, que envían a los empleados de las instituciones financieras atacadas. En algunos casos, esos correos se enviaron a sus cuentas personales. Los correos parecían comunicaciones ordinarias del banco y llevaban adjuntos archivos «.doc» de Microsoft Word (versiones del 97 a 2003) o «.CPL» del Panel de Control de Windows, en los que se encontraba el código malicioso. Los adjuntos aprovechaban diversas vulnerabilidades de Microsoft Office y Microsoft Word para penetrar en el sistema. Y una vez dentro, un código desencriptaba y ejecutaba la "puerta trasera" conocida como Carbanak. Una vez conseguido el acceso, los atacantes se dedicaban a vigilar los movimientos y las acciones de los empleados cuyas máquinas habían sido infectadas y a explorar con calma toda la red. Cada caso es diferente y, según las necesidades, los atacantes llevaban a cabo operaciones muy distintas, según las necesidades de cada momento. El objetivo principal, en todos los casos, era el de llegar a los sistemas que permiten el movimiento de dinero y que controlan los cajeros automáticos.
¿Cual es el daño potencial que puede sufrir cada víctima?
Basándose en lo que los atacantes han robado a cada institución concreta, cada víctima se enfrenta a unas pérdidas potenciales de 10 millones de dólares. Sin embargo, ese límite es totalmente arbitrario y se basa en lo que se sabe. En realidad, no existe un límite a las pérdidas potenciales de una institución una vez ha sido atacada.