Hablando con banqueros, algunos comentan que sólo los militares los superan por lo que hace a la fortaleza de sus defensas frente a la ciberdelincuencia. Sin embargo, cuando se recorre la web oscura, como hizo en mayo pasado la compañía de inteligencia Intel 471 por encargo de The Economist, resulta evidente que los intentos de romper esos muros son habituales.

Uno de los delincuentes detectados intentaba reclutar a personas con acceso a información privilegiada en los tres mayores bancos de Estados Unidos, JPMorgan Chase, Bank of America y Wells Fargo, y ofrecía un pago semanal de "siete a ocho dígitos" por autorizar transferencias bancarias fraudulentas. Otro subastaba los datos de 30 millones de cuentas del Bank Mellat de Irán (un país de 83 millones de habitantes).

Esa actividad constituye una muestra del comportamiento de una nueva clase de atracadores de bancos. Hay que olvidarse de los atracos tradicionales. Hoy en día, los hackers más inteligentes están probablemente respaldados por Estados delincuentes, como Corea del Norte y en menor medida Irán, o son tolerados por países como Rusia y China.

 Se benefician de unos recursos y una protección sin precedentes por parte de organismos encargados de hacer cumplir la ley. Además de intentar vaciar cuentas, también tienen como objetivo unos datos que luego son vendidos como información privilegiada.

En tanto que uno de los primeros sectores en ofrecer transacciones online, los bancos llevan defendiéndose de los piratas informáticos desde los albores de Internet. Gastan más en ciberseguridad que cualquier otro tipo de compañía (2.691 dólares por empleado) y consiguen frustrar muchos de intentos de robo. Sin embargo, desde 2016, no hay sector que haya sufrido más ataques.

En un discurso pronunciado en mayo ante el Congreso, Jane Fraser, que dirige Citigroup, uno de los gigantes de Wall Street, calificó los hackeos como la mayor amenaza para el sistema financiero estadounidense. Jamie Dimon, de JPMorgan Chase, ha dicho que podrían llegar a ser "un acto de guerra". El resultado es que los bancos se encuentran sometidos a la presión constante de estar preparados para lo peor. "No es cuestión de 'si', es cuestión de 'cuándo'", afirma el jefe de ciberseguridad de un banco central. Los banqueros necesitan conocer los métodos y motivos de sus enemigos. ¿Han aprendido algo y pueden ir un paso por delante?

Los bancos invierten miles de millones de dólares para evitar los ataques informáticos

Diversas modalidades

Al igual que en otros sectores, los intentos de robo por Internet suelen comenzar con el phishing, es decir, engañando a un empleado para que descargue un software de apariencia inocua (lo que se conoce como "troyano"); ese software, una vez instalado, crea una puerta trasera para que otros virus infecten los sistemas de la compañía.

Las artimañas pueden ser sofisticadas. En 2019, los hackers que se infiltraron en Redbanc, una red interbancaria que conecta el sistema de cajeros automáticos de Chile, fingieron un largo proceso de contratación que incluía rondas de entrevistas en vídeo con el único objetivo de engañar a una víctima para que descargara y ejecutara un troyano.

Una vez instalada la puerta trasera, los hackers tienen numerosos modus operandi. Éstos han evolucionado con el tiempo. A principios y mediados de la década de 2010, una táctica popular consistía en alterar las bases de datos de los bancos para inflar los saldos de las cuentas existentes con el fin de vaciarlas por medio de transferencias online fraudulentas. Otra táctica consistía en robar los nombres y las contraseñas de los empleados con acceso autorizado a SWIFT, el sistema de mensajería interbancario utilizado para las transferencias internacionales, con el fin de realizar transferencias fraudulentas a las cuentas bancarias de los ladrones.

En 2016, en el mayor ciberatraco registrado hasta la fecha, los ladrones transfirieron fondos de una cuenta que el banco central bangladesí tenía en el Banco de la Reserva Federal de Nueva York a bancos de Filipinas, Sri Lanka y otros lugares de Asia. Robaron 81 millones de dólares.

Los ataques de ransomware, como los que son habituales en otros ámbitos empresariales, van en aumento. Sin embargo, los bancos también se encuentran expuestos de otras maneras. Un ejemplo es el jackpotting, basado en el empleo de programas maliciosos que manipulan los cajeros automáticos para que despachen grandes sumas de dinero accediendo a ellos mediante tarjetas falsificadas, aunque no haya fondos. Los ladrones contratan a una multitud de "mulas", procedentes normalmente de mafias locales, para llevar a cabo retiradas simultáneas de dinero. Utilizando ese método, los delincuentes se llevaron en 2018 unos 13,5 millones de dólares del Cosmos Bank de la India a través de 15.000 retiradas de efectivo en tan sólo dos horas.

Otra táctica es convertir los sitios web que los bancos visitan regularmente en "pozos" envenenados. El caso más notorio tuvo lugar en 2017, cuando los delincuentes atacaron con éxito 104 empresas, en su mayoría financieras, en 31 países, incluidos siete bancos en Gran Bretaña y 15 en Estados Unidos. En esa ocasión, introdujeron trampas en las páginas web de los bancos centrales de Polonia, México y otros países para que los bancos descargaran archivos maliciosos y se infectaran con malware. Ese malware era susceptible de ser utilizado para espiar a los bancos, robarles los datos y, en última instancia, realizar transferencias fraudulentas (aunque, en la mayoría de los casos, parece que la intrusión se descubrió antes de que se robara el dinero).

A veces, lo que buscan los ladrones son datos, no dinero. El último truco consiste en robar datos de los mercados financieros en poder de los bancos para tener acceso a información privilegiada. Una encuesta realizada por la empresa de ciberseguridad VMware entre 126 empresas financieras de todo el mundo ha puesto de manifiesto que el 51% de ellas sufrió el año pasado un aumento de ese tipo de ataques. Los gestores de carteras de Estados Unidos y Gran Bretaña que sufrieron recientemente un ataque habían detectado actividades sospechosas cada vez que se disponían a operar, afirma Tom Kellermann, jefe de estrategia de la compañía.

A la multiplicidad de métodos se suma la malevolencia de los implicados. En un principio, los atracos eran obra sobre todo de ladrones particulares procedentes de los antiguos estados soviéticos. Entre ellos estaba Carbanak, un famoso grupo que robó más de 1.000 millones de dólares de 100 bancos a partir de 2013 (sus cabecillas fueron detenidos en 2018). Desde que Estados Unidos apartó a Corea del Norte de su sistema financiero en 2017, el Estado Ermitaño ha reforzado su relación con las bandas criminales como forma de "obtener beneficios y eludir las sanciones", dice Michael D'Ambrosio, importante investigador del servicio secreto estadounidense. Llamadas de diversas maneras Lazarus, Bluenoroff o BeagleBoyz, esas entidades patrocinadas por el Estado tienen acceso a muchísimos más recursos y personal que los simples delincuentes. Sus miembros suelen vivir encubiertos en Rusia y China, afirma Mark Arena, de Intel 471.

Los Estados, en la mira

Según una acusación del Departamento de Justicia estadounidense publicada en enero, dos individuos vinculados a un organismo de inteligencia militar de Corea del Norte intentaron robar más de 1.300 millones de dólares a través de atracos bancarios y robos a cajeros automáticos, así como extorsionando a empresas de criptomonedas.

Además, los Estados delincuentes suelen formar empresas conjuntas con bandas privadas. Una de ellas, un grupo de habla rusa que opera un famoso troyano de alquiler llamado Trickbot, proporciona acceso a muchos ordenadores infectados. Algunos ciberexpertos se sorprendieron recientemente al descubrir que ese software se había utilizado en ataques junto con malware norcoreano.

No está claro cuánto dinero se escapa por la puerta trasera. Las cifras de la consultora Advisen señalan que los bancos han perdido unos 12.000 millones de dólares a causa de la ciberdelincuencia desde el año 2000; de ellos, unas tres cuartas partes procederían de las filtraciones de datos. Los estudios indican que cada hora de interrupción de la actividad le cuesta a un banco una media de 300.000 dólares; una filtración de datos típica causa pérdidas por valor de unos 6 millones de dólares.

Ahora bien, los bancos suelen prohibir a su empleados que hablen de esos ataques, y las cifras comunicadas infravaloran enormemente el problema. Aunque muchas instituciones están obligadas a informar de los hackeos graves a los reguladores y, a veces, a los clientes, las normas cambian con frecuencia y varían según las jurisdicciones, lo que significa que la divulgación es irregular.

Además, las pérdidas iniciales pueden quedar empequeñecidas por efectos de segundo orden. Según John Meyer, de la consultora Cornerstone Advisors, un incidente medio hace que el 27% de los clientes corra un alto riesgo de cerrar sus cuentas en la entidad afectada y hunde las cotizaciones entre un 5 y un 7% de media. En Gran Bretaña, un caso del Tribunal Supremo podría facilitar este verano las demandas colectivas de los clientes afectados por ciberataques y exponer a los bancos a cientos de millones de libras en daños potenciales.

Sin embargo, no todo juega en favor de los delincuentes. Las compañías auditoras están realizando un buen trabajo a la hora de atribuir los ataques a grupos específicos de piratas informáticos, y también lo están haciendo los organismos de inteligencia vinculando apodos de Internet con personas reales. Algunas bandas son neutralizadas o capturadas.

En septiembre, el ejército estadounidense lanzó una ciberofensiva que debilitó TrickBot, el troyano respaldado por Corea del Norte. En enero, la policía ucraniana, en una operación con homólogos europeos y estadounidenses, detuvo a los ladrones que dirigían Emotet, una red de bots presuntamente responsable de robos por valor de al menos 2.500 millones de dólares desde 2014.

Los bancos se esfuerzan por construir fortificaciones más resistentes y contratan a hackers "de sombrero blanco" para que prueben sus defensas. Los más grandes son los que más gastan: en junio, Bank of America dijo que invertiría 1.000 millones de dólares anuales para contrarrestar las crecientes amenazas. Según un estudio de Deloitte, las empresas financieras gastaron el año pasado en ciberseguridad una media del 0,48% de sus ingresos, frente al 0,34% en 2019. Aplicado a los ingresos totales del sector en 2020, ese porcentaje supondría un gasto de 23.000 millones de dólares sólo en Estados Unidos.

De todos modos, la situación puede empeorar porque, en primer lugar, las redes de los bancos son cada vez más costosas de asegurar. "Reconocemos que nunca vamos a impedirlo todo", dice el jefe de ciberseguridad de un importante banco estadounidense. "Así que debemos tener defensas en capas y dar por sentado que muchas defensas fallarán". La multiplicación de los dispositivos conectados a Internet, la digitalización de la banca y el teletrabajo ofrecen nuevos puntos de entrada a los atacantes.

Akamai, una empresa de seguridad que presta servicio a ocho de los diez principales bancos del mundo, fue testigo el año pasado de 736 millones de ataques contra las aplicaciones web de las compañías financieras, un aumento de dos tercios con respecto a 2019. La expansión de las compañías fintech sin una regulación homogénea está creando puntos ciegos. Y la migración de los bancos a la nube, considerada en principio más segura, podría ser contraproducente si acaba concentrando el riesgo en unas pocas plataformas, dice Jano Bermudes, de la correduría de seguros Marsh.

En segundo lugar, los delincuentes tienen a su disposición más recursos, tanto tecnológicos como económicos. Según afirman los expertos en seguridad, lo que ellos hacen principalmente es concentrarse en expulsar a los intrusos antes de que tengan tiempo de robar nada. Sin embargo, como afirma un experto, es probable que pronto los hackers utilicen inteligencia artificial para acortar las fases de un ataque, la "cadena de exterminio" en la jerga.

Los ciberdelincuentes también se están enriqueciendo. Maze, uno de ellos, anunció en noviembre su "jubilación" tras embolsarse más de 100 millones de dólares en rescates en un año. Además, los delincuentes emergentes intentar aprovecharse del éxito de los ya famosos. El pasado otoño, unos hackers que se hacían pasar por Lazarus y por Fancy Bear (un famoso grupo ruso) amenazaron a más de 100 empresas financieras con ataques distribuidos de denegación de servicio, en los cuales los botmasters movilizan vastas redes de ordenadores infectados para saturar sus objetivos con tráfico digital si no pagan un rescate.

Esos hackers pueden contar con prósperos mercados secundarios para monetizar su botín. En ToRReZ, un sitio parecido a eBay que The Economist visitó recientemente a través de un navegador ultraprivado, los datos de una tarjeta de crédito se venden a 25 dólares, o cuatro por el precio de tres. Por 4,99 dólares, un tutorial ofrece ayuda para crear sitios web de phishing que copian los de Barclays, un banco británico. Las compras se pagan en criptodivisas que pueden cobrarse en cuentas bancarias abiertas con identificaciones falsas (un permiso de conducir de Tennessee cuesta 150 dólares, por ejemplo). Los nuevos ladrones de bancos hacen gala del mismo espíritu emprendedor (delictivo) de siempre.