edición: 2764 , Viernes, 19 julio 2019
11/03/2016
banca 

Un robo electrónico por 101 millones de dólares que afectó a la Reserva Federal alerta a la banca

Las pérdidas por la violación de la seguridad informática crecen de forma exponencial
Carlos Schwartz
La sustracción esta semana de 101 millones de dólares pertenecientes al Banco de Bangladesh desde sus cuentas en la Reserva Federal han hecho saltar las alarmas en los bancos y las corporaciones que viven una escalada de este tipo de crímenes. El incidente consistió en la sustitución de la personalidad de los funcionarios de Banco de Bangladesh que habitualmente operan las claves para ordenar los movimientos de saldos entre cuentas corrientes, de forma tal que las órdenes se cursaron con las claves pertinentes a través del sistema de transferencias propiedad de un consorcio de bancos denominado Swift, a través del cual se cursan todas las órdenes de transferencias a nivel mundial. Para operar en el movimiento de saldos de una entidad, en particular si los saldos que se van a mover son altos, es necesario utilizar claves que forman parte del proceso de encriptación.
De acuerdo con algunos expertos en seguridad informática, los hackers normales no tienen capacidad para romper esas claves de encriptación y hacerse con las llaves simétricas con las que se firman las órdenes. Pero este hecho arroja aun más luz sobre el problema, y es que en realidad el incremento del crimen en los sistemas electrónicos de pagos en los últimos dos años no se ha registrado por la penetración de los sistemas de seguridad, sino por la sustitución de personalidad y la incapacidad de verificar dicha sustitución porque es creible, o porque no hay una determinación humana de hacer una verificación.

  De acuerdo con la información dada a conocer por el banco afectado, las transferencias se dividieron en una de 20 millones de dólares, y otras por 81 millones. La primera destinada a un banco de Sri Lanka despertó sospechas por un error ortográfico en el término “fundación” que llevó al banco receptor de la orden a verificar con el emisor. El incidente hizo saltar el fraude. Pero la realidad es que los servicios informáticos de la Reserva Federal no vieron comprometida su integridad, sino que recibieron órdenes presuntamente emitidas por los funcionarios autorizados de otra entidad bancaria que se ajustaban a todos los protocolos de autorización. Este es el principal argumento con el que la Reserva Federal rechaza las acusaciones de responsabilidad hechas por el Banco de Bangladesh contra el banco de bancos estadounidense. Aunque desde luego el error en la escritura de un nombre no llamó la atención, porque lo único que miran los funcionarios es si el mensaje de swift tiene el formato correcto y las autorizaciones adecuadas. De momento los 20 millones desviados a Sri Lanka están en vías de recuperación. El resto fue desviado a varias cuentas corrientes y su recuperación puede retrasarse más. Pero las autoridades del Banco de Bangladesh consideran que esas cantidades están ya en vías de recuperación. Pero si esto es así es porque se detectó un fallo humano en el proceso. Lo que pone de relieve este incidente es que existió una labor de inteligencia por parte de los criminales que pudo haber sido prolongada.

Las claves para validar las transferencias, el formato de los mensajes, las personas encargadas de hacer las órdenes fueron obtenidas sin que se sepa como hasta el momento. Los expertos consideran que pudo haber piratería informática para “observar” de forma remota el tráfico de los mensajes de swift, pero dudan que las claves hayan sido sustraídas de esta forma. Se inclinan a pensar que también hubo “ingeniería social”, es decir la obtención de información de forma personal, por teléfono sustituyendo la personalidad de otras autoridades, o por sustracción de documentación del banco. Lo cual indica que el crimen informático se compone de más de un elemento y no solo de la pericia para penetrar un sistema informático ajeno. Es el incidente más significativo en términos monetarios.

Sin embargo, este tipo de fraudes se ha incrementado de forma significativa. En 2014 una secular empresa dedicada al trading y almacenaje de granos en Estados Unidos, Scoular, sufrió un desfalco cuya base fue un correo electrónico del consejero delegado de la empresa al director financiero en el que le solicitaba una transferencia de 17,2 millones de dólares en el contexto de una adquisición secreta de un rival chino. El director financiero debía obtener los datos de la cuenta a la que se debía hacer la transferencia y de su titular a través de un consultor de la empresa de auditoría KPMG. El consejero delegado dijo al director financiero que sería premiado por su eficacia en esta operación extremadamente confidencial. El director financiero hizo la transferencia tras ponerse en contacto con el consultor de KPMG. Pero el correo electrónico del consejero delegado era fraudulento, el consultor de KPMG, su dirección de correo y los teléfonos en los que respondía una secretaria que identificaba a la empresa como la consultora de marras, eran un montaje.

En el año entre 2014 y 2015 el modelo de fraude de los altos ejecutivos ordenando transferencias fantasmas se multiplicaron. De acuerdo con el centro del FBI dedicado al fraude electrónico 12.000 empresas en todo el mundo cayeron en la trampa en ese lapso. La suma defraudada a las empresas durante ese año de acuerdo con el departamento del FBI fue de 2.000 millones de dólares. Price Waterhouse Cooper (PWC) elabora un informe sobre Crimen Económico Global que en su último informe que abarca el periodo 2014-2015 afirma que en el 54% de sus encuestados dicen haber experimentado alguna forma de crimen informático en ese periodo. Los afectados han subido un 10% en el periodo considerado. La cifra aumentó también a nivel global pero solo un 32% de los encuestados dijo haber sufrido un crimen informático. Los delincuentes informáticos se han sofisticado y suelen incluir en los mecanismos del engaño a consultores y abogados. El nivel de información con que cuentan los delincuentes en los casos exitosos es muy alto.

De acuerdo con los expertos parte de la información se puede obtener directamente de las redes sociales donde los ejecutivos por ejemplo suelen comentar sus viajes de negocios con antelación. El ejemplo de Scoular es significativo en este sentido. El director financiero declaró al FBI que no sospechó de los correos electrónicos y la solicitud de transferencia porque la empresa estaba discutiendo una expansión en China en la que él mismo había trabajado junto a KPMG en una auditoría.

Lo que indica una vez más un trabajo previo de inteligencia sofisticado que permitió que el esquema fuera convincente por argumentación y oportunidad. Este es un nuevo frente de fraude en crecimiento al que las empresas deberán prestar la atención necesaria.

Noticias Relacionadas

Director
Alfonso Pajuelo ( director@icnr.es )

Esta web no utiliza cookies y no incorpora información personal en sus ficheros

Redacción (redaccion@icnr.es)

  • Juan José González
  • Javier Ardalán
  • Carlos Schwartz
  • Rafael Vidal

Intelligence and Capital News Report ®
es una publicación de Capital News Ediciones S.L.
Editor: Alfonso Pajuelo
C/ Joaquín María López, 30. 28015 Madrid
Teléfono: 92 118 33 20
© 2019 Todos los derechos reservados.
Prohibida la reproducción sin permiso expreso de la empresa editora.

Optimizado para Chrome, Firefox e IE9+

loading
Cargando...