La Policía Nacional ha detenido en Alicante al “cerebro” de la organización de ciberdelincuentes Carbank presuntamente responsable de centenares de ciberatracos a miles de cajeros automáticos de todo el planeta usando una tecnología complejísima. Lideraba la organización secretamente desde la Costa del Sol y hasta su detención el pasado 6 de marzo Denis K., de nacionalidad ucraniana, traía de cabeza desde hace al menos cuatro años a varios países por sofisticados ataques informáticos con los que sustrajo “más de 1.000 millones de dólares”.
Durante el operativo coordinado por EUROPOL y la Fiscalía Especializada de Criminalidad Informática el líder de la organización fue arrestado junto con otros tres miembros de la organización, de nacionalidades rusa y ucraniana. Estos infectaban con un software malicioso los sistemas informáticos de entidades bancarias, principalmente rusas pero también de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan, tomando el control de los sistemas críticos que les permitía vaciar cajeros de formar remota alterar saldos o modificar cuentas.
En España la organización criminal atacó durante el primer trimestre de 2017 cajeros situados en el centro de Madrid, realizando extracciones fraudulentas por valor de 500.000 euros. “Estamos ante una de las operaciones más importantes de la Unidad Central de Ciberdelincuencia de la Policía Nacional por la transcendencia internacional del cibercriminal detenido”, subrayó el ministro del Interior, Juan Ignacio Zoido, durante una comparecencia pública para informar de este “complicadísimo trabajo de investigación”.
La investigación, que iniciada a principios de 2015 ha resultado especialmente compleja al tener que combinar técnicas de investigación tradicionales con el novedoso método para la búsqueda de indicios probatorios en infraestructuras cibernéticas. Los investigadores españoles ha trabajado conjuntamente con operativos del FBI y de Interpol.
El Ministro del Interior, Juan Ignacio Zoido, ha resaltado la importancia de esta operación, “una de las más importantes de la Unidad de Ciberdelincuencia de la Policía Nacional”, por la transcendencia internacional del cibercriminal detenido. “Quiero que sepan que contamos con una de las unidades de Ciberdelincuencia más prestigiosas del mundo”, recordando que esta Unidad ha trabajado durante 2017 en más de 500 investigaciones vinculadas a delitos en la red, con la detención de 383 personas.
Denis K., líder de la organización
El arrestado ha sido señalado durante la rueda de prensa por los propios agentes de “genio infotmático”. Licenciado superior en Informática, dirigía esta organización criminal desde España creada a finales del año 2013 e integrada por otros tres individuos con los contactó a través de Internet y con los que no mantenía relación personal. Él fue el autor del virus Carbank que comenzó a funcionar en 2015 y que dio nombre a la banda, produciendo mucho interés en la rama de la ciberdelincuencia por su sofisticación.
Desde su constitución hace cinco años los cibercriminales evolucionaron el software malicioso empleado en sus ciberataques. Entre 2013 y hasta mediados de 2017, la banda criminal desarrolló varios de ellos, denominados Anunak y Carberp, que cambiaron cuando las empresas de seguridad desarrollaron mecanismos defensivos. Desde entonces decidieron desarrollar una nueva herramienta de acceso remoto, denominada Cobalt Strike, que utilizó la organización como parte de sus ciberataques.
Desde mediados del año 2017 la organización criminal se centró en el desarrollo de un nuevo software indetectable que tenía mayores capacidades y sofisticación. Cuando lo desarrollaron probaron su efectividad para penetrar en los sistemas de entidades bancarias de todo el mundo (españolas también), y tenían la intención de utilizarlo para sus ciberatracos de forma inminente. Los investigadores han logrado obtener una muestra de este nuevo software durante el análisis de los dispositivos informáticos intervenidos al detenido.
Su modus operandi
Los hackers primero penetraban en la red informática del banco en cuestión mediante correos maliciosos a trabajadores, que pinchaban en archivos adjuntos y permitían la entrada del virus. Después ascendían poco a poco pasando diferentes barreras del sistema, hasta reconocer los resortes de control de cajeros y transferencias.
Una vez que conseguían el control, manejaban a su antojo los cajeros automáticos ordenándoles remotamente que sacaran dinero, ejecutaban modificaciones de saldo en cuentas concretas para realizar posteriormente extracciones con tarjetas asociadas, o desviaban transferencias de grandes cantidades de dinero a cuentas de la organización. El impacto económico ocasionado con sus actividades delictivas se estima en más de 1.000 millones de dólares.
Junto el elevadísimo nivel técnico de los integrantes, también necesitaban el apoyo de otros grupos criminales para coordinar el trabajo de las “mulas”, que se encargaban de extraer el dinero en efectivo de los cajeros automáticos que habían atacado. A partir de 2016 la mafia moldava se encargaba de este cometido, antes lo hacia la mafia rusa.
Los beneficios de la actividad ilícita en forma de grandes cantidades de dinero en efectivo eran cambiados a bitcoins en casas de cambio de Rusia y Ucrania. Los bitcoins se transferían posteriormente a cuentas del detenido, que llegó a acumular alrededor de 15.000 bitcoins.
El detenido utilizaba plataformas financieras en Gibraltar y Reino Unido para cargar tarjetas prepago con bitcoins que podía utilizar en España para la compra de todo tipo de bienes y servicios. En el registro realizado en el domicilio del detenido se han intervenido equipos informáticos, joyas valoradas en 500.000 euros, diversa documentación y dos vehículos de alta gama, entre otros efectos.
