miércoles, 27 de febrero de 2019

La cuenta bloqueada y el error ortográfico que desbarataron parte del mayor ciberatraco de la historia

Un usuario consulta la página web de la Reserva Federal de Nueva York.

Un usuario consulta la página web de la Reserva Federal de Nueva York. 

Se cumplen tres años de un golpe minuciosamente planificado que pretendía robar más de 800 millones de euros, aunque los piratas solo pudieron hacerse con 73


En la era de las transacciones sin efectivo y la gestión informatizada de entidades bancarias, no se necesitan máscaras de Dalí ni planes de fuga con nombres secretos para llevar a cabo un atraco multimillonario. Bastan unas horas de descuido y la pericia de piratas informáticos para coordinar un ataque cibernético como el que desvalijó casi 73 millones de euros del Banco Central de Bangladés. Aquel robo vinculó a entidades de EE UU, Filipinas y Sri Lanka en un complejo movimiento que puso al descubierto fallos en el sistema financiero global y del que se cumplen tres  años ahora; más de un mes después de la única sentencia a una persona relacionada con el caso, el pasado 10 de enero.
El viernes 5 de febrero de 2016, festivo en Bangladés, un aparente fallo técnico parecía haber hecho que las copias impresas de los informes de las transacciones financieras recientes del Banco Central, en Dacca, no mostrasen información alguna. En 2009, la institución del país asiático se digitalizó y ahora enviaba las órdenes de transferencias internacionales por Swift, la red electrónica con base en Bruselas que usan 11.000 instituciones financieras en más de 200 países y territorios. A la mañana siguiente, sin embargo, el sistema Swift no funcionaba y la Reserva Federal de Nueva York —guardián de operaciones bancarias mundiales, que acoge un depósito de 2,6 billones de 250 bancos centrales y gobiernos— había pedido la aclaración sobre varias decenas de instrucciones de pago por valor de unos 870 millones de euros en las últimas 24 horas.
La situación no pudo aclararse hasta después del fin de semana. Pero el lunes ya era tarde cuando la Reserva Federal confirmó que el dinero no estaba en su poder. El martes, finalmente, el Banco Central de Bangladés consiguió que su homólogo filipino parase el desvío. “No había línea directa entre nosotros y la Reserva Federal. Esencialmente, creo que fue un error en el sistema global de pagos”, dijo el gobernador del Banco Central, Atiur Rahman, que dimitió después de que desapareciesen los 73 millones de las arcas de la entidad.
Rueda de prensa en la que el gobernador del Banco de Bangladesh, Atiur Rahman, presentó su renuncia en 2016.
Rueda de prensa en la que el gobernador del Banco de Bangladesh, Atiur Rahman, presentó su renuncia en 2016.  AP
Una curiosa coincidencia, sin embargo, hizo que 30 de las emisiones (por valor de 742 millones) no se efectuasen porque el sistema canceló pagos a la sucursal Júpiter de un banco de Manila, ya que la cuenta de un negocio ateniense con el mismo nombre estaba bloqueada. Otra de las emisiones autorizadas inicialmente, fue rechazada por un banco de Sri Lanka al descubrir un error ortográfico en el nombre de la fundación local a la que se destinaron otros 17,5 millones. Así, 760 millones se salvaron del que, no obstante, fue el mayor y mejor planeado golpe a un banco en la historia. “Si no hubiese sido por la rápida acción de alguien en el banco central de Nueva York, se habrían perdido 900 millones de dólares adicionales”, explicó al New York Times la congresista Carolyn B. Maloney, miembro del Comité de Servicios Financieros de la Cámara.
Desvalijar un banco y mover el dinero sin dejar huella
Las pesquisas demostraron los fallos del sistema y la complejidad de un minucioso ataque cibernético. Durante meses, los intrusos habrían conocido las operaciones bancarias después de entrar en el sistema usando un solo terminal vulnerable, hasta que se hicieron con las claves de empleados y llegaron al lugar más protegido: el servidor Swift. Los ladrones diseñaron un malware con un código configurado para atacar un banco determinado. Creado de la nada y con un único objetivo, este esquivó la protección de virus y borró las huellas del delito eliminando las instrucciones de pago del sistema Swift. Así, quedó en entredicho la seguridad de grado militar de este método de transmisión por el que se procesan más de 3.000 millones de órdenes para mover dinero mediante el envío de mensajes encriptados a múltiples destinatarios.
Violar la seguridad inquebrantable de un banco y hacer volar envíos digitales por decenas de millones entre entidades aprovechando el descuido humano y tecnológico, y un lapso de tiempo determinado por diferentes franjas horarias, era solo el inicio del plan. No necesariamente lo más complicado. La última parte del atraco perfecto era transformar el valor digital del dinero en metálico, y hacerlo desaparecer. Para lo que se combinaron el paraíso del blanqueo de los casinos filipinos y Maia Santos Deguito, exdirectora de la sucursal Júpiter del Banco Comercial Rizal (RCBC), hallada culpable el pasado 10 de enero, con penas de hasta 56 años y una multa de 95 millones de euros. Hasta la fecha, única persona condenada por este caso.
Según la sentencia del juicio a la directora de la sucursal del RCBC —multado con casi 19 millones de euros por los reguladores financieros filipinos— Santos Deguito facilitó, coordinó y corroboró la ejecución de transacciones ilegales de los 73 millones desaparecidos del Banco Central de Bangladés. Alegando seguir el dictado de clientes, la banquera transfirió el dinero a cinco cuentas y una compañía de remesas local que llegó a manejar 3.000 millones de pesos filipinos en metálico que se volatilizaron en las salas de juego propiedad de uno de esos clientes, el hongkonés Kam Sin Wong. En un país en el que 25 millones de habitantes viven con 1,5 euros diarios, la apuesta mínima en los casinos de Luzon, isla en la que se asienta Manila, es de 4.500 euros. Y la máxima de Wong: “Pide siempre ver el dinero, nunca de dónde viene”.
Hace 20 años que Filipinas aprobó la ley Contra el Blanqueo de Capitales, reformada en varias ocasiones para evitar las listas negras de los organismos de control internacionales. Sin embargo, los políticos locales han sido persuadidos para mantener a los casinos al margen de la ley, preservando el anonimato de sus clientes y el secreto sobre sus operaciones. Así, el informe estratégico de 2017 sobre el control internacional de narcóticos del Departamento de Estado estadounidense describe a Filipinas como “principal” punto de blanqueo, donde “grupos criminales usan el sistema bancario filipino, las compañías privadas y, particularmente, los casinos para transferir drogas y otros procedimientos ilícitos a cuentas extranjeras”.
https://elpais.com/internacional/2019/02/21/mundo_global/1550777229_689814.html

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.