Se escondía, anónimo con su mujer y su hijo, en Alicante. El cerebro de los robos a miles de cajeros automáticos de todo el planeta, con miles de millones como botín y usando una tecnología complejísima, lideraba la organización secretamente desde la Costa del Sol. Él apretaba un botón, los cajeros escupían dinero a miles de kilómetros de distancia y sus esbirros, las ‘mulas’, lo recogían y se lo enviaban escondido en criptomoneda
Hasta su detención, el pasado 6 de marzo. En una de las operaciones más importantes contra la ciberdelincuencia mundial de los últimos años, con ayuda de Europol y del FBI, varios países implicados y tras peripecias casi propias de ‘Matrix’, la Policía Nacional ha detenido en la capital alicantina al ‘hacker’ líder de la banda de ciberladrones de bancos más dañina y poderosa de la actualidad. Su nombre: Denis K.
Se trata del capo de Carbanak (y también de la organización Cobalt), un ciudadano ucraniano de 34 años que traía de cabeza desde hace al menos cuatro años a varios países por su capacidad para desvalijar bancos a distancia infiltrándose en sus sistemas informáticos. Su detención ha sido anunciada esta mañana por el ministro del Interior español, Juan Ignacio Zoido, y supone el punto final a tres años de laboriosa investigación por parte de la Unidad de Investigación Tecnológica.
La empresa rusa de ciberseguridad Kaspersky estimó su botín, sólo hasta 2015, en 1.000 millones de dólares. Él se presenta siempre como un ‘Robin Hood’ que roba no a personas, sino a los «verdaderos malos», los bancos. Una estimación del botín total logrado con los distintos ‘softwares’ de la organización (Anunak, Cobalt y Carbanak) llegaría hasta los 10.000 millones, según fuentes del sector de la ciberseguridad.
«Esta es una de las operaciones más importantes, por la trascendencia internacional y por las cantidades robadas», ha dicho el ministro Zoido al presentar la operación. «Lograron acceder, por ejemplo, a todos los bancos de Rusia». La Policía española ha colaborado con Interpol y FBI, e incluso con sus homólogos de Azerbayán, Bielorrusia y Taiwan, entre otros países
Amenaza Persistente Avanzada
Hasta la llegada de Carbanak, según fuentes del sector de la ciberseguridad, sólo la actuación de organizaciones vinculadas a Estados había sido calificada de APT (‘Advanced Persistent Threat’, ‘Amenaza Avanzada y Persistente’ en castellano). Sin embargo, la actividad de la banda llevó a considerarla así, pese a que «los Estados que rompen sistemas lo que buscan realmente son datos, mientras que ellos lo que son es una organización criminal pura y dura». Tal es la importancia de la organización descabezada, que a veces lograba desvalijar un banco en apenas cinco días y que podía llevarse por golpe entre 800.000 y 1,5 millones de euros.
Los ladrones primero penetraban en la red informática del banco en cuestión con correos maliciosos a trabajadores, que pinchaban de alguna manera en archivos adjuntos y permitían la entrada del virus. Después, iban ascendiendo poco a poco en los diferentes anillos del sistema, hasta reconocer los resortes de control de cajeros y transferencias, y por último los obligaban a soltar el dinero, bien forzando transferencias o bien haciendo a los cajeros escupir billetes.
El detenido era el líder de la parte técnica del grupo, del que formaban parte otras tres personas: dos en Ucrania y otra en Rusia. Ellos cuatro lideraban la parte técnica y central de la banda, que tenía una importante extensión física. Esta última primero fue subcontratada a elementos de la mafia rusa, para pasar a ser después desempeñada por la mafia moldava, tras desavenencias con los rusos.
La organización se hizo famosa en febrero de 2015, cuando Kaspersky anunció que estaba colaborando con unos 100 bancos de todo el mundo que habría sufrido robos por valor de 1.000 millones de dólares mediante transferencias trucadas y cajeros desvalijados a distancia.
Cajeros en más de 40 países
«Han robado a más de 100 entidades bancarias diferentes en 40 países de todo el mundo«, ha asegurado el jefe de Operaciones de Ciberdelincuencia de Europol, Fernando Ruiz, antes de que Zoido loara a los miembros de la Unidad de Investigación Tecnológica de la Policía: «Son punteros en el contexto internacional, y no lo digo sólo yo, lo dice Europol. Han resuelto en poco tiempo más de 500 casos».
El detenido lideraba la organización y pergeñaba cada una de las operaciones, mientras que su segundo, también ucraniano, se dedicaba a hacer spam con el ‘malware’, habitualmente con ficheros adjuntos. Un tercer miembro era el que se encargaba de escalar en los sistemas informáticos de los bancos y el cuarto y último controlaba todo el ‘ejército’ de mulas, todas ellas de nacionalidad moldava. Sólo el líder está detenido, los otros al menos identificados.
Llegaron a infectar entre 300 y 400 bancos, y por ejemplo sólo en el primer trimestre de 2017, en Madrid, robaron 500.000 euros en cajeros. O bien vaciaban las máquinas, o forzaban transferencias, o creaban cuentas fantasma. El detenido atesoraba dos coches de «muy alta gama», un chalé, un piso valorado en un millón de euros y joyas por valor de 500.000 euros. Llegó a poseer 15.000 bitcoins. Hay 15 ‘mulas’ identificadas y cuatro detenidas en Gran Bretaña, Taiwán, Bielorrusia y Kirguizistán.
El líder de Carbanak ha sido tildado en la rueda de prensa por los propios agentes de «genio informático«. Licenciado superior en Informática, llevaba un nivel de vida «elevado pero no ostentoso» y residía en España desde 2014. Él fue el autor del virus Carbanak, que comenzó a funcionar en 2015 y que dio nombre a la banda, generando mucha atención en el ramo de la ciberdelicuencia por su sofisticación. Robaron a todos los bancos rusos menos al estatal, curiosamente.
‘Robin Hood’ contra los bancos
El detenido ha pasado ya a disposición judicial en una operación supervisada judicialmente por la Audiencia Nacional -el número 6, el de García Castellón- por su volúmen y su carácter internacional, y en sus primeras declaraciones ante la Policía Nacional ha asegurado ser, según fuentes de la investigación, una suerte de ‘Robin Hood’ que roba no a las personas, sino a los bancos.
Según estas mismas fuentes, una de las peculiaridades de la investigación fue que, pese a que la organización escondía frecuentemente en criptomoneda lo que robaba para ocultar las trazas absolutamente, fue precisamente esa una de las vías por las que los agentes lograron desenmascarar al líder de la banda: se consiguió identificar su ‘dirección bitcoin’.
Otras peculiaridad de la operación es el motivo por el que los ciberladrones se cebaron especialmente con bancos rusos: muchos de ellos tenían antivirus copiados y desactualizados, y además los cajeros rusos suelen contar con mucho más efectivo que los de cualquier otro país, en consonancia con el mucho mayor uso de dinero líquido que en cualquier otro lugar.
La banda ha causado pánico desde 2015 a entidades bancarias sobre todo de Europa del Este, lo que puso en guardia a la Federación Europea Bancaria, que ha estado coordinándose con Europol desde entonces para tratar de detener a los criminales.
Fuente: www.elmundo.es