edición: 2612 , Lunes, 10 diciembre 2018
26/04/2016
banca 

Nueva evidencia sobre el fraude contra el Banco de Bangladesh sugiere un giro en el crimen informático

Las órdenes por 951 millones cursadas por Swift afectaron una cuenta bancaria en la Reserva Federal
Carlos Schwartz
BAE Systems publicó al comienzo de esta semana un post en su blog en el que da cuenta de la existencia en el software de los servidores locales del Banco de Bangladesh (BdB) de un elemento modificador de su funcionamiento (malware o virus troyano) destinado a borrar los rastros de las órdenes hechas sustituyendo a los operadores habituales del sistema de mensajería de Swift. A principios de febrero unos hackers aun no identificados irrumpieron en el software alojado en los servidores del BdB que es la interfaz para ordenar las transferencias mediante el sistema internacional de mensajes de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (Swift, por sus siglas en inglés) y ordenaron transferencias por 951 millones de dólares de los que solo 81 millones lograron ser desviados con éxito.
La interfaz utilizada por BdB es Alliance Access, desarrollada por el propio consorcio de 3.000 bancos. Existen diversos software utilizados como interfaz para el sistema de mensajería de Swift, pero el que ha caído víctima de este ‘troyano’ es el desarrollado por el consorcio. En respuesta a esta comunicación de BAE Systems, contratada para esclarecer el incidente, Swift afirmó que el “malware no ha tenido impacto sobre la red de Swift o el núcleo de sus sistemas de mensajería”.

Nadie pone en cuestión la integridad del sistema de Swift, del que dependen miles de millones de órdenes de pagos diarias en todo el mundo, pero la aparición de un ‘virus’ con estas características está indicando una fase superior en el desarrollo de los ataques informáticos contra entidades bancarias y financieras. La invasión de la interfaz para operar con el sistema de mensajería internacional sugiere un nivel más alto de la delincuencia informática. El consorcio afirma que “Entendemos que el malware está diseñado para ocultar los rastros de pagos fraudulentos ordenados desde aplicaciones de las bases de datos de clientes y solo puede ser instalado en los sistemas locales de los usuarios por atacantes que han logrado identificar y explotar de forma exitosa debilidades en su seguridad local”. La afirmación va al núcleo del problema: quienes ordenaron las transferencias lograron sustituir a los funcionarios autorizados para hacer las transferencias porque se hicieron con sus claves de acceso.

Sin embargo, el hecho de que haya “virus” diseñados a la medida para alojarse en Alliance Access demuestra que la operación era altamente sofisticada, proporcional al botín que se esperaba obtener. Swift no menciona a su interfaz como la víctima de este “malware”. Por su parte BAE Systems afirma que “este ‘malware’ parece ser parte de un conjunto de herramientas de ataque más amplio, y fue utilizado para ocultar los rastros de los atacantes tras el envío de las instrucciones falsas para hacer las transferencias... las herramientas son altamente configurables y una vez obtenido el acceso correcto podrían utilizarse para ataques similares en el futuro”.

Si bien hasta ahoras no hay indicios de que el troyano haya intervenido directamente en la operación de cursar las órdenes, su presencia es claramente un nuevo escalón en los ataques informáticos. Existen muchos software en el mercado que compiten con Alliance Access, desarrollados por diferentes empresas especializadas desde IBM hasta SunGard. El más extendido es el que ofrece el propio consorcio Swift. La pregunta de como el troyano llegó a alojarse en la base de datos local del BdB aun no tiene respuesta pero de acuerdo con consultas hechas por ICNreport “pudo haber sido inoculado de forma directa desde el exterior”, es decir sin necesidad de cooperación desde dentro del banco.

De acuerdo con los investigadores, el virus actuó como un 'loop' hasta las seis de la mañana del 6 de febrero de 2016. “Esto es significativo porque se cree que las transferencias se ordenaron los dos días previos a esta fecha”. La herramienta fue hecha a la medida para este trabajo “y pone de relieve un conocimiento significativo del software Alliance Access de Swift así como una habilidad importante en la codificación de ‘malware’ ”, señala BAE Systems. El objetivo del ingenio es revisar la base de datos local de las órdenes para obtener referencias de transferencias y direcciones de Swift utilizando estos detalles para borrar transacciones específicas o modificar la cuantía de transacciones ya hechas.

Los criminales informáticos intentaron efectuar transferencias por un total de 951 millones de dólares desde la cuenta del BdB en la Reserva Federal de Nueva York en febrero, aunque la noticia se difundió recién el 10 de marzo. La mayor parte de los pagos fueron bloqueados pero 81 millones lograron traspasar las barreras de seguridad y acabaron en cuentas bancarias en Filipinas y de allí fueron desviadas a una red de casinos en el país.

De acuerdo con la información dada a conocer por el banco afectado las transferencias se dividieron en dos tramos. Uno de 20 millones de dólares, y otro por 81 millones. El primero destinado a un banco de Sri Lanka despertó sospechas por un error ortográfico en el término “fundación” que llevó al banco receptor de la orden a verificar con el emisor. El incidente hizo saltar el fraude. El BdB acusó a la reserva Federal por las transferencias fraudulentas, pero la realidad es que los servicios informáticos de la Reserva Federal no vieron comprometida su integridad, sino que recibieron órdenes presuntamente emitidas por los funcionarios autorizados de otra entidad bancaria que se ajustaban a todos los protocolos de autorización. Este es el principal argumento con el que la Reserva Federal rechaza las acusaciones de responsabilidad hechas por el Banco de Bangladesh.

Aunque desde luego el error en la escritura de un nombre no llamó la atención, porque lo único que miran los funcionarios es si el mensaje de Swift tiene el formato correcto y las autorizaciones adecuadas. De acuerdo con los investigadores los ciber criminales se valieron de métodos no informáticos para hacerse con las claves para operar a través del sistema. Es decir no habrían tenido la capacidad de obtener las claves “observando” la utilización de las mismas online.

De acuerdo con los técnicos en fraude informático el grueso de los delitos en el sector informático se hacen induciendo a los responsables de emitir órdenes de pago a hacer transferencias indebidas mediante el engaño .

Sin embargo, el descubrimiento de que un grupo de criminales se ha dedicado a desarrollar un troyano para un sistema tan sofisticado como una interfaz para Swift inaugura un nuevo periodo de riesgos informáticos para la banca y el sistema financiero en general.

Noticias Relacionadas

Director
Alfonso Pajuelo ( director@icnr.es )

Redacción (redaccion@icnr.es)

  • Juan José González
  • Javier Ardalán
  • Carlos Schwartz
  • Rafael Vidal

Intelligence and Capital News Report ®
es una publicación de Capital News Ediciones S.L.
Editor: Alfonso Pajuelo
C/ Joaquín María López, 30. 28015 Madrid
Teléfono: 92 118 33 20
© 2018 Todos los derechos reservados.
Prohibida la reproducción sin permiso expreso de la empresa editora.

Optimizado para Chrome, Firefox e IE9+

loading
Cargando...