Hackeo bancario SWIFT 2015-2016

Serie de robos de dinero a través de Internet

En 2015 y 2016, se reportaron una serie de ciberataques que utilizaron la red bancaria SWIFT , lo que resultó en el robo exitoso de millones de dólares. ^{[1] [2]} Los ataques fueron perpetrados por un grupo de piratas informáticos conocido como APT 38 ^[3] cuyas tácticas, técnicas y procedimientos se superponen con el infame Grupo Lazarus que se cree que está detrás de los ataques a Sony . Los expertos coinciden en que APT 38 se formó después de las sanciones de marzo de 2013 y las primeras operaciones conocidas relacionadas con este grupo ocurrieron en febrero de 2014. Si la atribución a Corea del Norte es precisa, sería el primer incidente conocido de un actor estatal que utiliza ciberataques para robar fondos.

Los ataques explotaron vulnerabilidades en los sistemas de los bancos miembros, lo que permitió a los atacantes obtener el control de las credenciales SWIFT legítimas de los bancos. Los ladrones luego usaron esas credenciales para enviar solicitudes de transferencia de fondos SWIFT a otros bancos, los cuales, confiando en que los mensajes eran legítimos, enviaron los fondos a las cuentas controladas por los atacantes. ^[1]

Primeros informes

Los primeros informes públicos de estos ataques provinieron de robos en el banco central de Bangladesh y en un banco de Vietnam.

Según un informe del New York Times , un robo de 101 millones de dólares del banco central de Bangladesh a través de su cuenta en el Banco de la Reserva Federal de Nueva York fue atribuido a cibercriminales que explotaron vulnerabilidades del software Alliance Access de SWIFT . No fue el primer intento de este tipo, reconoció la sociedad, y la seguridad del sistema de transferencias estaba siendo sometida a un nuevo examen en consecuencia. ^{[4] [5]}

Poco después de los informes sobre el robo al banco central de Bangladesh, se informó de un segundo ataque, aparentemente relacionado, ocurrido en un banco comercial en Vietnam. ^[1]

En ambos ataques se utilizó un malware creado para emitir mensajes SWIFT no autorizados y ocultar el envío de los mensajes. Una vez enviados los mensajes SWIFT que robaron los fondos, el malware eliminó el registro de la base de datos de las transferencias y tomó medidas adicionales para evitar que los mensajes de confirmación revelaran el robo. En el caso de Bangladesh, los mensajes de confirmación habrían aparecido en un informe en papel; el malware alteró los informes en papel cuando se enviaron a la impresora. En el segundo caso, el banco utilizó un informe en formato PDF; el malware alteró el visor de PDF para ocultar las transferencias. ^[1]

Además, la agencia de noticias Reuters informó el 20 de mayo de 2016 que ya había habido un caso similar en Ecuador a principios de 2015, cuando se transfirieron fondos del Banco del Austro a cuentas bancarias en Hong Kong . Ni el Banco del Austro ni Wells Fargo , a quienes se les pidió que realizaran las transacciones, informaron inicialmente los movimientos a SWIFT como sospechosos; las implicaciones de que las acciones en realidad eran un robo solo surgieron durante una demanda de la BDA presentada contra Wells Fargo. ^[2]

Se amplía el alcance y las sospechas sobre Corea del Norte

Después de los dos informes iniciales, dos empresas de seguridad informaron que los ataques involucraron malware similar al utilizado en el hackeo de Sony Pictures Entertainment en 2014 y afectaron a 12 bancos en el sudeste asiático. ^{[6] [7]} Ambos ataques se atribuyen a un grupo de piratas informáticos apodado Lazarus Group por los investigadores. Symantec ha vinculado al grupo con Corea del Norte . ^[8] Si la participación de Corea del Norte es cierta, sería el primer incidente conocido de un actor estatal que utiliza ciberataques para robar fondos. ^{[9] [10]}

Ramificaciones

Relaciones internacionales

Si el ataque se originó en Corea del Norte, los robos tendrían profundas implicaciones para las relaciones internacionales. Sería el primer caso conocido de un actor estatal que utiliza ataques cibernéticos para robar fondos. ^[10]

Los robos también pueden tener consecuencias para el régimen de sanciones internacionales que pretende aislar la economía de Corea del Norte. El robo puede representar un porcentaje significativo del PIB actual de Corea del Norte. ^[10]

Sistema SWIFT

La confianza en el sistema SWIFT es un elemento importante de la banca internacional desde hace décadas. Los bancos consideran que los mensajes SWIFT son fiables y, por lo tanto, pueden seguir las instrucciones transmitidas de inmediato. Además, los robos en sí mismos pueden amenazar la solvencia de los bancos miembros. ^[6] "Se trata de un asunto importante y afecta directamente a la banca", dijo el director general de SWIFT, Gottfried Leibbrandt, quien agregó: "Los bancos que se vean comprometidos de esta manera pueden verse obligados a cerrar". ^[6]

Tras los ataques, SWIFT anunció un nuevo régimen de controles obligatorios que deberán cumplir todos los bancos que utilicen el sistema. ^[11] SWIFT inspeccionará a los bancos miembros para comprobar su cumplimiento e informará a los reguladores y a otros bancos en caso de incumplimiento.

Los funcionarios de SWIFT han hecho reiteradas declaraciones de que se espera que los ataques al sistema continúen. ^{[5] [11]} En septiembre de 2016, SWIFT anunció que tres bancos más habían sido atacados. En dos de los casos, los piratas informáticos lograron enviar órdenes SWIFT fraudulentas, pero los bancos receptores las consideraron sospechosas y descubrieron el fraude. Según los funcionarios de SWIFT, en el tercer caso, un parche en el software de SWIFT permitió al banco atacado detectar a los piratas informáticos antes de que se enviaran los mensajes. ^[11]

Véase también

• Portal de bancos

• Actividades ilícitas de Corea del Norte

Referencias

1. Corkery, Michael (12 de mayo de 2016). "Una vez más, los ladrones entran en la red financiera de Swift y roban". New York Times . Consultado el 13 de mayo de 2016 .
2. Bergin, Tom; Layne, Nathan (20 de mayo de 2016). "Informe especial: los ladrones cibernéticos explotan la confianza de los bancos en la red de transferencias SWIFT". Reuters . Consultado el 24 de mayo de 2016 .
3. Fireye. "APT 38: Un-Usual Suspects". Fireeye.com . Consultado el 25 de febrero de 2019 .
4. Corkery, Michael (30 de abril de 2016). "Ataque de piratas informáticos por 81 millones de dólares a la banca mundial". The New York Times . Consultado el 1 de mayo de 2016 .
5. Mullen, Charles Riley y Jethro (31 de agosto de 2016). "SWIFT dice que cada vez más bancos están siendo atacados por piratas informáticos". CNNMoney . Consultado el 2 de enero de 2017 .
6. Riley, Michael; Katz, Alan (26 de mayo de 2016). "La investigación sobre el hackeo de Swift se expande a una docena de bancos más allá de Bangladesh". Bloomberg . Consultado el 28 de mayo de 2016 .
7. Bright, Peter (27 de mayo de 2016). "Se investiga a 12 bancos más por el robo de SWIFT en Bangladesh". Ars Technica . Consultado el 28 de mayo de 2016 .
8. Pagliery, Jose; Riley, Charles (27 de mayo de 2016). "Hackers de 'Lazarus' vinculados con Corea del Norte atacaron un cuarto banco en Filipinas". CNN Money . Consultado el 29 de mayo de 2016 .
9. Shen, Lucinda (27 de mayo de 2016). "Corea del Norte ha sido vinculada a los ataques al banco SWIFT". Fortune . Consultado el 28 de mayo de 2016 .
10. Perlroth, Nicole; Corkery, Michael (26 de mayo de 2016). "Corea del Norte vinculada a ataques digitales a bancos globales". New York Times . Consultado el 28 de mayo de 2016 .
11. "El sistema bancario SWIFT fue hackeado al menos tres veces este verano". Fortune . 26 de septiembre de 2016 . Consultado el 2 de enero de 2017 .