Los piratas cibernéticos y el inicio de nuevas formas de robar. Parte I

10 min readAug 3, 2018

El 24 de Mayo de 2018 Banco de Chile sufre el robo de cerca de 10 millones de dólares por parte de piratas informáticos, el primero de este formato en Chile pero no el primero a nivel mundial ya que la historia comienza un par de años antes con episodios similares. En febrero de 2016 misteriosamente se emitieron decenas de órdenes de pago para intentar robar hasta 951 millones de dólares en un banco asiático, acá un resumen de la historia.

Febrero de 2016, Bangladesh

Bangladesh es un país asiático que limita con India y Birmania, acá comienza la historia…

A las 8:45 de la mañana del viernes 5 de febrero de 2016, Zubair Bin Huda, director del Banco Central de Bangladesh, ingresó a la sede central y se dirigió a la oficina administrativa de la “sala de negociaciones”, el área más restringida del edificio.

Bin Huda era el empleado de turno y debía revisar impresiones de confirmaciones de transferencias (algo que hacen todos los Back Offices) y otros mensajes de Swift que habían llegado de la noche a la mañana. (Los mensajes swfit son comunicaciones entre bancos en las cuales se instruyen realizar pagos entre bancos o a terceros. En algunos lugares los mensajes se rutean diretamente a impresoras de manera que los empleados los revisan y ejecutan las instrucciones que estos contienen).

Ese día curiosamente no había ningún mensaje impreso y el empleado supuso un problema técnico, al día siguiente se percató que el software Swift (el programa que lanza el servicio de mensajería), tampoco funcionaba. Cada vez que intentaba abrirlo, aparecía un mensaje de error ( faltaba un archivo).

Poco después del mediodía, pudo recuperar tres mensajes del Federal Reserve Bank de Nueva York e imprimirlos uno por uno. Estos mensajes habían sido escritos por un empleado del banco en Nueva York en los cuales solicitaba una aclaración sobre 46 instrucciones de pago recibidas en las últimas 24 horas. (Al Banco receptor de las instrucciones en Nueva York no le parecio usual un pedido como ese o por un monto tan grande, casi mil millones de dólares).

El empleado debió estar desconcertado y confundido, no era usual, más bien algo totalmente irregular enviar instrucciones de pago los fines de semana e incluso durante el horario normal tampoco era usual enviar más de dos o tres mensajes al Banco en Nueva York en un día. Posteriormente comenzó a indigar quienes serían los recepetores de las instrucciones de pago pero le resultó muy difícil encontrar información, entonces envió un correo electrónico al equipo de soporte de Swift en Bruselas, indicando que había un “gran incidente” en el sistema Swift. Intentó además comunicarse con el Banco en Nueva York por teléfono, pero el banco estaba cerrado al ser fin de semana, entonces envió por correo electrónico y por fax una solicitud para cancelar y no procesar los pagos de todas las instrucciones realizadas el día anterior.

En total el Banco en Nueva York recibió 70 órdenes de pago fraudulentas dirigidas a cuatro cuentas bancarias en Filipinas y una en Sri Lanka, por un total de $ 1 mil millones de dólares.

El lunes por la tarde (hora de Dhaka, capital de Bangladesh), cuando el banco en Nueva York abría sus puertas, Bangladesh Bank pidió a los funcionarios de Nueva York que bloquearan las transferencias de dinero a Filipinas, sin embargo les respondieron que era demasiado tarde y que el dinero estaba ya en los bancos receptores.

A principios de marzo, la policía recibió permiso para inspeccionar el back office. Los investigadores confiscaron pasaportes para ver si alguien había viajado a Filipinas.

De la investigación se obtuvo que el jueves 4 de febrero, (un día antes de que empleado notara la irregularidad con swift) se emitieron cinco órdenes de pago, un depósito de $ 20 millones para Shalika Foundation, una ONG agrícola en Sri Lanka que tenía una cuenta en Pan Asia Bank, y cuatro pagos más para cuentas individuales en la sucursal de Jupiter de Rizal Commercial Banking Corporation cerca de Manila (Filipinas). Las instrucciones de pago se dirigieron a los Bancos corresponsales, quienes al no detectar nada sospechoso procesaron las instrucciones de pago.

Las próximas 30 órdenes de pago por un total de $ 850 millones, fueron detenidas por los sistemas ya que el nombre del receptor contenía la palabra “Júpiter”, que coincidía con el nombre de otro cliente que se encontraba en la lista de “sancionados”, Jupiter Seaways Shipping, una firma con sede en Atenas que fue suspendida en bolsa por evadir sanciones contra Irán. Esto detuvo pagos por $ 900 millones de dólares.

Luego, una de las primeras cinco transacciones (las que habían sido aprobadas inicialmente) también falló. Un empleado del banco de Sri Lanka notó que el pago era inusualmente grande para una ONG tan pequeña. El empleado consultó al Banco Corresponsal Deutsche Bank para obtener una aclaración. Deutsche Bank miró más de cerca y descubrió que la palabra “Fundación” había sido mal escrita. Sospechoso, Deutsche Bank contactó con Bangladesh Bank, que envió una orden de suspensión de pagos.

Finalmente se materializaron cuatro pagos por un total de $ 81 millones de dólares, el golpe más grande de la historia en transferencias electrónicas de dinero.

¿Y que siguió luego?, ¿cómo se pierde el rastro del dinero?, ¿quiénes están tras este plan?

Manila, Filpinas

La investigación se dirige a Filipinas donde llegaron las transferencias. De acuerdo a la información publicada en prensa, las cuatro transacciones llegaron a Filipinas y así la investigación se centra en Maia Santos-Deguito (en adelante MAS), funcionaria del banco, gerente de la sucursal donde se alojaba la cuenta de Jupiter de Rizal Commercial Banking Corporation.

En mayo de 2015, nueve meses antes del evento, MAS se reunió con un cliente, Kam Sin (Kim) Wong, nacido en Hong Kong y presidente de Eastern Hawaii Leisure Company. Wong dirigió “junkets de casino” en Manila y de acuerdo a la información de la prensa de la época, de alguna manera se encargaba de traer a los grandes apostadores chinos en vuelos charter, operando salas VIP en casinos, proporcionándoles fichas a crédito y claro tomando una parte de las ganancias de la casa.
Wong tenía experiencia moviendo dinero dentro y fuera de una industria donde era casi imposible hacer un seguimiento de ello. ( Algunos reportes mencionaban a Filipinas como un sitio de lavado de dinero).
Según el abogado de MAS, Wong le presentó a unos pocos asociados filipinos y le pidió que abriera cuentas para ellos en la sucursal. Sus colegas de RCBC afirmaron en una audiencia en el Senado que estos “clientes” nunca existieron, y acusaron a MAS de usar firmas falsificadas y una foto de licencia de conducir de un ex colega para fabricar sus identidades. El abogado de MAS sostiene que su cliente es inocente y dice que ella confiaba en Wong. MAS mantuvo las cuentas abiertas, y casi vacías, durante ocho meses. Luego, el viernes por la mañana, 5 de febrero de 2016, de repente se activaron.

Los informes indican que el 15 de marzo de 2015 MAS aperturaba cuatro cuentas bancarias en dólares en Jupiter, filial de Makati de Rizal Commercial Banking Corporation (RCBC), bajo los nombres de Enrico Teodoro Vásquez, Alfred Santos Vergara, Michael Francisco Cruz y Jessie Christopher Lagrosas, con un depósito inicial de $ 500 cada uno. Estas cuentas, que luego se descubrió eran falsas, permanecieron inactivas hasta el 4 de febrero de 2016.

Como e mencionaba anteriormente el 4/02, la sede de RCBC recibió instrucciones Swift de sus bancos corresponsales en los Estados Unidos para transferir los $ 81 millones en las cuentas.

En ese momento, en la sede de RCBC en el centro de Manila, los empleados del departamento de pagos estaban trabajando y tenían un atraso de casi 800 mensajes de Swift que se habían acumulado durante el fin de semana festivo. Entre ellos se encontraba una orden de suspensión de pago marcada como “urgente” por el Banco de Bangladesh, pero el mensaje no se leyó hasta las 11:00 AM.

La cronología de traspasos es la siguiente:

(1) El dinero se consolidó y depositó en una cuenta en dólares de William So Go de DBA Centurytex Trading, que se abrió el mismo día.
(2) De la cuenta de William So Go, los supuestos fondos robados del Bangladesh Bank fueron transferidos a la compañía de transferencia de dinero Philrem Services Corporation , propiedad de un matrimonio, Michael y Salud Bautista. MAS afirma que solo estaba siguiendo las órdenes de sus clientes y terminó de transferir los fondos a las 11:30 AM, los Bautistas convirtieron al menos $ 61 millones de dólares en pesos filipinos.
(3) Lo que se lee en prensa es que alrededor de las 7:30 de esa tarde, recogió una maleta, una bolsa de viaje y un bolso en la oficina de la compañía. El equipaje estaba lleno de 90 millones de pesos, con un valor de $ 1.8 millones, y $ 500,000 en efectivo estadounidense. El mensajero colocó el dinero en la parte trasera de una camioneta, y con un conductor de la compañía, se dirigió a Solaire Resort and Casino, propiedad de Bloomberry.
(4) Allí, en la entrada del vestíbulo, la pareja sacó el equipaje y lo colocó en un carrito de casino. El servicio de mensajería hizo girar el dinero por el vestíbulo, pasando filas de máquinas tragamonedas digitales y una sección de mesas, tomó un ascensor en el extremo del vestíbulo hasta la sala VIP del segundo piso donde, según testificó Kim Wong, Salud Bautista y uno de los asociados de Wong estaban esperando.

Bautistas afirmaron en el Senado que ésta entrega fue la primera de muchas que haría su firma:

$ 30 millones en efectivo al asociado de Wong
Transfirieron $ 29 millones al Casino Solaire
$ 21 millones a la compañía de Wong, Eastern Hawaii.

A través de sus abogados, Wong y los Bautistas declinaron hacer comentarios y han mantenido su inocencia. En su testimonio en el Senado, Wong afirmó que recibió solo $ 13.5 millones y que los Bautistas se llevaron el resto. Dos de los otros promotores de juego de Wong, Gao Shuhua y Ding Zhize, también recibieron grandes cantidades de dinero en efectivo.

En la sala VIP de Solaire, en el casino, al final de cada noche, durante al parecer una semana, los jugadores convirtieron sus fichas en dinero. Sus nombres quedaron sin registrar, sus ganancias no se informaron: era, dicen los funcionarios filipinos, la operación definitiva de blanqueo de dinero.

“Todo lo que sabemos es que el efectivo se entregó a ciertos jugadores en los casinos”.

FireEye

Semanas después del crimen, el Banco de Bangladesh contrató a FireEye, firma estadounidense de ciberseguridad, con objeto de investigar la situación. FireEye firmó un acuerdo de confidencialidad con el banco y se ha negado a discutir detalles, pero algunos de los hallazgos del banco se han filtrado, y otras firmas de ciberseguridad han sacado sus propias conclusiones de la evidencia públicamente disponible.

Los analistas compararon algunas de las herramientas utilizadas con los empleados en otros dos ciberataques notorios:

el hack de noviembre de 2014 de Sony Pictures, cuando un grupo autodenominado Guardians of Peace publicó correos electrónicos y salarios y generó problemas a servidores de Sony y además
“Dark Seoul”, un malware que en marzo de 2013 deshabilitó servidores de Internet en tres bancos de Corea del Sur y congeló computadoras en dos emisoras de Corea del Sur.

El código base mencionan fue el mismo utilizado en el ataque ransomware WannaCry en mayo de 2017 en el que los hackers paralizaron más de 200,000 computadoras en todo el mundo y exigieron pagos de Bitcoin para descongelarlas.

Todas estas operaciones, concluyeron los expertos, llevaban las marcas de lo que las firmas de seguridad llamaron Grupo Lazarus, una oscura organización que los expertos en inteligencia dicen probablemente es aliado a Corea del Norte, pero esa es otra historia.

Corea del Norte

Vitaly Kamluk de Kaspersky Lab (quién descubrió la codificación en coreano incrustada en algunos malwares) afirma que definitivamente el Grupo Lazarus está conectado a Corea del Norte, a través de una dirección IP que el grupo utilizó brevemente durante una ola de ataques en Europa y América Central en 2017.

Las investigaciones y la prensa apuntan a Corea del Norte y The New York Times informa que se cree que Corea del Norte mantiene una red de alrededor de 1.700 piratas informáticos en todo el mundo, menciona además que muchas operaciones tienen como objetivo recolectar información de inteligencia de Corea del Sur y otras, como en el caso de Sony, son destinadas a vengar los desaires (recordar el caso Sony) y obtener ganancias financieras.

Los piratas informáticos de Corea del Norte se han vuelto hábiles para apuntar a los eslabones débiles del sistema financiero, los bancos en los países en desarrollo, especialmente los del sudeste de Asia y ahora los de América del Sur.

Fin del la historia

De las muchas personas que se cree están involucradas en el atraco del Banco de Bangladesh, solo uno enfrenta cargos: Maia Santos-Deguito, que fue acusada de múltiples cargos de lavado de dinero y enfrenta una posible pena de 14 años de prisión.

Respecto al dinero no recuperado, mencionar que el rastro se ha perdido y probablemente nunca sepamos donde fué a parar.

Fin de la parte I

Lea también: