Caza al ciberladrón de los mil millones

Estaban a punto de empezar a utilizar un nuevo código malicioso indetectable. Capaz de penetrar los sistemas bancarios y desvalijarlos a placer a cualquier hora del día o de la noche a través de sus cajeros sin dejar rastro. La herramienta había sido bautizada «Cobalt strike» y llegaron a probarla en entidades de todo el mundo, incluidas españolas, pero los planes se vinieron abajo con la captura este mes en Alicante del ucraniano Denis K., el cerebro informático y del grupo cibercriminal que en los últimos años ha logrado tomar el control de las redes operativas de la práctica totalidad de los bancos privados de Rusia. Y con ello amasar un botín que se calcula superior a los mil millones de dólares, de los que una parte -500.000 euros- fue extraída en julio de 2017 desde terminales localizadas en Madrid.

Agentes de la Policía Nacional, en un operativo coordinado por Europol y la Fiscalía especializada en delincuencia informática y que ha contado también con el apoyo del FBI, Interpol y agentes de la policía de Bielorrusia, conseguían quebrar esta organización después de una investigación iniciada a principios de 2015 , que sigue abierta. Tres años de trabajo complejo, en los que -como ayer informaron algunos de los responsables en una rueda de prensa presidida por el ministro del Interior, Juan Ignacio Zoido- las técnicas tradicionales de indagación coexistido con métodos de última generación para la búsqueda de indicios probatorios en en el universo cibernético y el de las criptomonedas, a las que se había convertido un porcentaje del dinero.

Toda la pirámide criminal pendía de Denis K.. Afincado en Alicante desde 2014, diseñaba los malware, -primero el llamado «Anuak», luego el «Carberp»-, que un colaborador de su misma nacionalidad lanzaba en ficheros dentro de mails dirigidos de forma masiva a ordenadores de bancos. Solo con pinchar en ellos se ejecutaba el código malicioso y con él, la descarga de un paquete de software a través del cual la organización tomaba el control remoto del computador. Un tercer miembro se ocupaba entonces de ir escalando privilegios hasta comprometer todo el sistema.

Una vez conseguido el mando, como describió ayer el jefe de la Unidad Central de Ciberdelincuencia, Rafael Pérez, se trataba de poner los cajeros a su servicio de varias formas: una, ordenándoles remotamente que expidieran dinero; dos, abriendo cuentas en el banco penetrado y engordando luego su saldo para extraerlo con tarjetas asociadas, junto a lo que también realizaban transferencias de grandes cantidades a cuentas de la organización . Lo hicieron con hasta 400 bancos rusos, aunque solo robaron en 50 -a razón de un millón y medio de dólares por ciberatraco-, y consta que infectaron entidades también en Bielorrusia, Ucrania o Taiwan , aunque se cree que fueron muchas más, pero que callan para preservar su imagen de marca.

Aparte del equipo tecnológico, esta organización contaban con un equipo de «mulas», compuesto primero por miembros de la mafia rusa y luego de la moldava, que retiraban físicamente los billetes de los cajeros y, en parte, los enviaban a Denis K. transformados en criptomonedas. Llegó a acumular 15.000 bitcoins y en los registros se le han intervenido coches de alta gama, joyas de enorme valor y dos viviendas de cerca de un millón de euros.