TecnoXplora » Internet » Ciudad con ley

CIUDAD CON LEY

El método Carbanak: así logró un cibercriminal robar miles de millones de euros a los bancos

Cinco años de investigación para que las policías que han participado reconstruyendo el ciberataque de Carbanak, como se conoce al malware que genera la amenaza, encontraran indicios suficientes. Llama la atención que el presunto autor, el ucraniano Denis K., no operara desde un tercer país, donde le hubiera sido más fácil eludir el rastreo policial y la intervención judicial. ¿Quién operaba detrás del malware bancario denominado Carbanak?

Carbanak

Carbanak Silvia Barrera

Publicidad

Tenía su centro de operaciones en Alicante y desde ahí actuaba sin levantar sospechas. Según las fuentes de información públicas, en su declaración, Denis K. se denominó así mismo el “Robin Hood” de los bancos solo que en sus 5 años de actividad criminal olvidó un pequeño detalle: repartir entre los pobres el más del millón de euros robados a cientos de bancos en todo el mundo. Te puede parecer una barbaridad, que lo es, pero el cibercrimen es un negocio muy rentable “que no levanta sospechas”.

Cinco años, que se dice bien. Pocas investigaciones duran tanto tiempo. Por eso, el cibercrimen no le compensa a nadie más que a sus propios autores. Dificultades de rastreo, limitaciones legales, cooperación internacional, identificación y obtención de información de las víctimas, complejidad técnica, evidencias volátiles, criptomonedas cuyos monederos donde se alojan todos los beneficios desaparecen a golpe de click y mucha constancia. No os podéis hacer una idea del ingente trabajo que hay detrás de esta detención. Pero gracias a estas actuaciones policiales, todavía hay más de algún criminal que se lo piensa dos veces antes de actuar.

Y es este mismo silencio del que se valen los cibercriminales para seguir actuando. Por eso, este ucraniano estaba operando desde Alicante, tan tranquilo. Hay tantas formas de imposibilitar y dificultad una investigación que se creía impune. Pero si hay buenos investigadores detrás, al final, encuentran esa evidencia, esa pista definitiva. Si hubiera sospechado o temido de una actuación policial, hubiera cogido un avión rumbo a su país o a otros donde los compañeros no hubieran podido dirigir y coordinar el operativo. Son criminales, no tontos. Pero no se olía el operativo policial y se le acabó el chollo, al menos, de momento.

¿De dónde proviene toda esta infraestructura criminal?

Lo habréis oído muchas veces: amenaza persistente avanzada (siglas en inglés APT). Organizaciones criminales con amplios conocimientos, medios técnicos y económicos que realizan ataques dirigidos a un objetivo concreto, poco a poco, sin ser detectados. Por eso, las primeras APT y otras más conocidas han sido usadas por el ciberespionaje para robar terabytes de información confidencial, como fue el caso de APT1, puro ciberespionaje chino. Estas amenazas han generado conflictos geopolíticos entre estados como fue el caso del supuesto ciberespionaje ruso para modificiar el curso de las elecciones en EEUU. Son auténticas empresas que, incluso, analizan el coste- beneficio de sus actividades criminales, es decir, “no arriesgo mi seguridad si el beneficio no va a merecer la pena” y, sin duda, lo merece.

Pero Carbanak, inicialmente, nada tiene que ver con el ciberespionaje internacional. Su motivación es un lucro desmedido que atacó cientos de sucursales bancarias en más de 30 países de todo el mundo. Y el autor de este ataque vivía en Alicante con su familia.

¿Cómo se investigan estas estructuras?

Hay varias líneas de investigación. La más técnica y especializada es el estudio del comportamiento del malware, mediante el análisis dinámico o blackboxing (infectando un sistema controlado para obtener información sobre su forma de actuar) o el análisis estático o whiteboxing, con técnicas de ingeniería inversa. La más lenta, costosa y sensible es el análisis meticuloso de los rastros digitales que se encuentran en los sistemas informáticos atacados de las víctimas y la protección y conservación de los efectos informáticos. Y por último, la investigación técnica tradicional mediante el análisis de vulnerabilidades de los sistemas atacados, el rastreo de las posibles huellas digitales dejadas para confundir al investigador, las conexiones, la monetización de los beneficios o la venta de información proveniente del mismo robo. Todo suma, en trabajo, tiempo y recursos.

Si a toda esta metodología, le unimos la identificación de víctimas (no siempre fáciles de identificar), la tramitación de las órdenes judiciales, la colaboración con las policías de otros países, no solo de Europa, también con el FBI, la coordinación de EUROPOL o INTERPOL y el trabajo conjunto con empresas de soluciones tecnológicas cuyo soporte es crítico, es más que razonable que la identificación final del autor/es (si se consigue) conlleve tanto esfuerzo.

¿Cómo funciona el negocio?

El modus operandi del “Robin Hood” lo encontrarás en uno de mis posts de archivo “Los cajeros que escupían billetes a sus clientes”. Pero quizá te interese conocer algunos aspectos de su actuación que te puedan dar una idea de hasta dónde son capaces de llegar:

- Sus ataques son dirigidos, también denominados spear phishing. Lejos de lanzar un ataque masivo para llegar al mayor número de víctimas, como suele ser habitual en el mundo ciberchoricesco (con la premisa de “Ave que vuela, a la cazuela”), estudiaba a sus objetivos (empleados de banco) durante meses. Como la amenaza no era detectada, tenía tiempo para estudiar bien a sus víctimas: sistemas operativos utilizados, versiones de software, fallos de configuración, desactualizaciones. Su objetivo: dar con la vulnerabilidad adecuada que les permitía explotar puertas traseras y actuar en sus sistemas sin ser detectados.

- Ingeniería social para conseguir activar la infección con archivos de texto adjuntos que podían pasar inadvertidos para un empleado: operaciones de pago, detalles de facturación, etc.

- Utilizaban diferentes familias de malware para explotar los sistemas, dependiendo de las vulnerabilidades que encontraban. El malware lleva su propia firma y eso le permite distinguirse del resto y determinar que Carbanak y después Cobalt, seguían haciendo su agosto.

- Actuación remota. Esto es lo que más me llama la atención. Tanto la infección como el control del malware (lo que se denomina el C&C, Comando y Control) del autor se hacen de forma remota, sin acceso directo físico a tus dispositivos, luego ¿Por qué quedarte en un país donde se persiguen estas actividades y la actividad policial y judicial es intensa?

Este último punto abre un camino para la esperanza. Los criminales en la Red son más escurridizos pero, como todos, si su actividad es prolongada (la codicia no conoce límites), acaban cometiendo errores, afortunadamente.

Publicidad