El robo del Banco de Bangladesh , también conocido coloquialmente como el atraco cibernético del Banco de Bangladesh , [1] fue un robo que tuvo lugar en febrero de 2016. Treinta y cinco instrucciones fraudulentas fueron emitidas por piratas informáticos de seguridad a través de la red SWIFT para transferir ilegalmente cerca de mil millones de dólares estadounidenses desde la cuenta del Banco de la Reserva Federal de Nueva York perteneciente al Banco de Bangladesh , el banco central de Bangladesh. Cinco de las treinta y cinco instrucciones fraudulentas lograron transferir 101 millones de dólares estadounidenses, de los cuales 81 millones se rastrearon hasta Filipinas y 20 millones hasta Sri Lanka . El Banco de la Reserva Federal de Nueva York bloqueó las treinta transacciones restantes, por un valor de 850 millones de dólares estadounidenses, debido a las sospechas planteadas por una instrucción mal escrita. [2] Hasta 2018, solo se han recuperado alrededor de 18 millones de dólares estadounidenses de los 81 millones transferidos a Filipinas, [3] y desde entonces se ha recuperado todo el dinero transferido a Sri Lanka. La mayor parte del dinero transferido a Filipinas se destinó a cuatro cuentas personales, en poder de individuos individuales, y no a empresas o corporaciones.
Al igual que muchos otros bancos nacionales, el Banco de Bangladesh, el banco central de Bangladesh, mantiene una cuenta en el Banco de la Reserva Federal de Nueva York para depositar, mantener y transferir la reserva de moneda extranjera de Bangladesh. La reserva de moneda extranjera de Bangladesh , una economía en crecimiento, a menudo alcanza varios miles de millones de dólares estadounidenses. A septiembre de 2020, Bangladesh tenía una reserva de moneda extranjera de 39 mil millones de dólares estadounidenses. [4] La red de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales (SWIFT) se utiliza para comunicarse con el banco que tiene la cuenta de divisas para retirar, transferir o depositar la moneda.
El ciberataque de 2016 contra el Banco de Bangladesh no fue el primero de este tipo. En 2013, el Banco Sonali de Bangladesh también fue blanco de ataques de piratas informáticos que lograron sustraer 250.000 dólares estadounidenses.
En ambos casos, se sospecha que los autores recibieron ayuda de personas con información privilegiada dentro de los bancos afectados, quienes los ayudaron a aprovechar las debilidades en el acceso de los bancos a la red de pagos global SWIFT. [5] [6]
Los autores del robo , que se aprovecharon de las deficiencias de seguridad del banco central de Bangladesh, incluida la posible participación de algunos de sus empleados, [7] intentaron robar 951 millones de dólares de la cuenta del Banco de Bangladesh en el Banco de la Reserva Federal de Nueva York . El robo ocurrió en algún momento entre el 4 y el 5 de febrero de 2016, cuando las oficinas del Banco de Bangladesh estaban cerradas durante el fin de semana.
Los autores del delito lograron poner en peligro la red informática del Banco de Bangladesh, observar cómo se realizan las transferencias y obtener acceso a las credenciales del banco para realizar transferencias de pagos. Utilizaron estas credenciales para autorizar alrededor de tres docenas de solicitudes al Banco de la Reserva Federal de Nueva York para transferir fondos a cuentas en Filipinas y Sri Lanka.
El sistema bancario marcó treinta transacciones por valor de 851 millones de dólares para que el personal las revisara, pero se concedieron cinco solicitudes: 20 millones de dólares a Sri Lanka (posteriormente recuperados), [8] [9] y 81 millones de dólares perdidos en Filipinas, que ingresaron al sistema bancario del país del sudeste asiático el 5 de febrero de 2016. Este dinero se lavó a través de casinos y parte se transfirió posteriormente a Hong Kong .
Según un informe publicado en The Straits Times , los investigadores sospecharon que los delincuentes utilizaron el malware Dridex para el ataque. [10]
El dinero transferido a Filipinas se depositó en cinco cuentas separadas en la Rizal Commercial Banking Corporation (RCBC); más tarde se descubrió que las cuentas estaban bajo identidades ficticias. Los fondos se transfirieron luego a un corredor de divisas para que los convirtiera a pesos filipinos, se devolvieran a la RCBC y se consolidaran en una cuenta de un empresario chino-filipino; [11] [9] la conversión se realizó entre el 5 y el 13 de febrero de 2016. [12] También se descubrió que las cuatro cuentas en dólares estadounidenses involucradas se abrieron en la RCBC ya el 15 de mayo de 2015 y permanecieron intactas hasta el 4 de febrero de 2016, fecha en que se realizó la transferencia desde el Banco de la Reserva Federal de Nueva York. [12]
El 8 de febrero de 2016, durante el Año Nuevo chino , el Banco de Bangladesh informó al RCBC a través de SWIFT que detuviera el pago, reembolsara los fondos y "congelara y pusiera los fondos en espera" si los fondos ya habían sido transferidos. El Año Nuevo chino es un día festivo no laborable en Filipinas y el RCBC recibió un mensaje SWIFT del Banco de Bangladesh que contenía información similar solo un día después. Para ese momento, la sucursal de RCBC en Jupiter Street (en la ciudad de Makati ) ya había procesado un retiro por un monto de aproximadamente US$58,15 millones. [12]
El 16 de febrero, el Gobernador del Banco de Bangladesh solicitó la asistencia de Bangko Sentral ng Pilipinas para recuperar sus fondos de 81 millones de dólares estadounidenses, afirmando que las instrucciones de pago SWIFT emitidas a favor de RCBC el 4 de febrero de 2016 eran fraudulentas. [12]
Los piratas informáticos querían enviar la transferencia de 20 millones de dólares a Sri Lanka a la Fundación Shalika, una sociedad de responsabilidad limitada con sede en Sri Lanka . Los piratas informáticos escribieron mal "Fundación" en su solicitud de transferencia de fondos, escribiendo la palabra "Fundación". Este error ortográfico despertó las sospechas del Deutsche Bank , un banco de enrutamiento que detuvo la transacción en cuestión después de pedir aclaraciones al Banco de Bangladesh. [8] [13] [14]
El banco Pan Asia Bank, con sede en Sri Lanka, fue el primero en tomar nota de la transacción, y un funcionario la consideró demasiado grande para un país como Sri Lanka. El banco Pan Asia Bank fue el que remitió la transacción anómala al Deutsche Bank. Los fondos de Sri Lanka fueron recuperados por el Banco de Bangladesh. [8]
Inicialmente, el Banco de Bangladesh no estaba seguro de si su sistema había sido comprometido. El gobernador del banco central contrató a World Informatix Cyber Security , una empresa con sede en EE. UU., para que liderara la respuesta al incidente de seguridad, la evaluación de vulnerabilidades y la remediación. World Informatix Cyber Security contrató a la empresa de investigación forense Mandiant para la investigación. Estos investigadores encontraron "huellas" y malware de piratas informáticos, lo que sugería que el sistema había sido violado. Los investigadores también dijeron que los piratas informáticos estaban radicados fuera de Bangladesh. El Banco de Bangladesh ha iniciado una investigación interna sobre el caso. [8]
La investigación forense del Banco de Bangladesh descubrió que se había instalado malware en el sistema del banco en algún momento de enero de 2016 y recopiló información sobre los procedimientos operativos del banco para pagos internacionales y transferencias de fondos. [12]
La investigación también se centró en un incidente de piratería informática ocurrido en 2013 en el Banco Sonali, que no ha sido resuelto y en el que piratas informáticos aún no identificados robaron 250.000 dólares estadounidenses. Según los informes, al igual que en el caso del hackeo al banco central de 2016, el robo también se realizó mediante transferencias de fondos fraudulentas a través de la red de pagos global SWIFT. Las autoridades policiales de Bangladesh trataron el incidente como un caso sin resolver hasta que ocurrió el sospechosamente similar robo al banco central de Bangladesh en 2016. [15]
La Oficina Nacional de Investigaciones de Filipinas (NBI) inició una investigación e investigó a un chino-filipino que presuntamente desempeñó un papel clave en el lavado de dinero de los fondos ilícitos. La NBI está coordinando con las agencias gubernamentales pertinentes, incluido el Consejo Antilavado de Dinero (AMLC) del país. El AMLC inició su investigación el 19 de febrero de 2016, sobre las cuentas bancarias vinculadas a un operador de viajes de placer . [12] El AMLC ha presentado una denuncia por lavado de dinero ante el Departamento de Justicia contra un gerente de sucursal de RCBC y cinco personas desconocidas con nombres ficticios en relación con el caso. [16]
El 15 de marzo de 2016 se celebró una audiencia en el Senado de Filipinas , dirigida por el senador Teofisto Guingona III , jefe del Comité de la Cinta Azul y del Comité de Supervisión del Congreso sobre la Ley contra el Lavado de Dinero. [17] Posteriormente, el 17 de marzo, se celebró una audiencia a puerta cerrada. [18] La Philippine Amusement and Gaming Corporation (PAGCOR) también ha iniciado su propia investigación. [8] El 12 de agosto de 2016, se informó de que RCBC había pagado la mitad de la multa de 1.000 millones de filipinos impuesta por el banco central filipino (BSP). [19] Antes de eso, el banco reorganizó su junta directiva aumentando el número de directores independientes de cuatro a siete. [20]
El 10 de enero de 2019, Maia Santos Deguito, exgerente de RCBC, fue declarada culpable de 8 cargos de lavado de dinero y sentenciada a entre 4 y 7 años de prisión por cada cargo en un Tribunal de Primera Instancia Regional de la ciudad de Makati . [21] El 12 de marzo de 2019, RCBC demandó a Bangladesh Bank por embarcarse "en una estratagema y un plan masivos para extorsionar dinero del demandante RCBC recurriendo a la difamación pública, el acoso y las amenazas destinadas a destruir el buen nombre, la reputación y la imagen de RCBC". [22]
El 6 de febrero de 2023, la Primera División del Tribunal de Apelaciones desestimó la apelación de Deguito y confirmó la condena del Tribunal de Primera Instancia Regional de la Ciudad de Makati en 2019. [23]
En la sentencia del 29 de febrero de 2024 sobre el robo al Banco de Bangladesh, la Corte Suprema de Nueva York desestimó tres causas de acción (conversión, complicidad en la conversión y conspiración para cometer conversión) contra Rizal Commercial Banking Corporation y los acusados Ismael Reyes, Brigitte Capiña, Romualdo Agarrado y Nestor Pineda por falta de jurisdicción personal. Sin embargo, permitió que el caso del Banco de Bangladesh sobre el robo cibernético de 81 millones de dólares siguiera adelante por otros motivos, incluida la devolución del dinero recibido. [24]
La división forense Mandiant de FireEye y World Informatix Cyber Security , ambas empresas con sede en Estados Unidos, investigaron el caso de piratería informática. Según los investigadores, los perpetradores probablemente consiguieron familiaridad con los procedimientos internos del Banco de Bangladesh espiando a sus trabajadores. La Oficina Federal de Investigaciones (FBI) de Estados Unidos informó de que los agentes han encontrado pruebas que apuntan a que al menos un empleado del banco actuó como cómplice. El FBI también afirmó que hay pruebas que apuntan a que varias personas más podrían haber ayudado a los piratas informáticos a navegar por el sistema informático del Banco de Bangladesh. [25] El gobierno de Bangladesh ha considerado demandar al Banco de la Reserva Federal de Nueva York para recuperar los fondos robados. [8]
Los fiscales federales de Estados Unidos han revelado posibles vínculos entre el gobierno de Corea del Norte y el robo. [26] Según este informe, los fiscales estadounidenses sospechan que el robo fue perpetrado por delincuentes respaldados por el gobierno de Corea del Norte. El informe también dice que se incluirán en los cargos a "presuntos intermediarios chinos", que facilitaron la transferencia de los fondos después de que se desviaran a Filipinas. [27]
Algunas empresas de seguridad, entre ellas Symantec Corp y BAE Systems , afirmaron que el grupo norcoreano Lazarus , uno de los grupos de piratería informática patrocinados por el Estado más activos del mundo, probablemente estaba detrás del ataque. Citan similitudes entre los métodos utilizados en el atraco de Bangladesh y los de otros casos, como el hackeo de Sony Pictures Entertainment en 2014, que los funcionarios estadounidenses también atribuyeron a Corea del Norte. Los expertos en ciberseguridad dicen que el grupo Lazarus también estuvo detrás del ataque de ransomware WannaCry en mayo de 2017 que infectó a cientos de miles de computadoras en todo el mundo. [28]
La Agencia de Seguridad de Infraestructura y Ciberseguridad publicó una alerta titulada "FASTCash 2.0: los BeagleBoyz de Corea del Norte roban bancos", que atribuyó el ataque al Banco de Bangladesh en 2016 a BeagleBoyz. La agencia afirmó que BeagleBoyz es un grupo de actores de amenazas que depende de la Oficina General de Reconocimiento del gobierno de Corea del Norte y que ha estado activo desde 2014. [29]
El subdirector de la Agencia de Seguridad Nacional de Estados Unidos , Richard Ledgett, también fue citado diciendo que "si ese vínculo de los actores de Sony con los actores bancarios de Bangladesh es exacto, eso significa que un estado nacional está robando bancos". [30]
Estados Unidos ha acusado a un programador informático norcoreano, Park Jin Hyok [31] , de piratear el Banco de Bangladesh, alegando que lo hizo en nombre del régimen de Pyongyang. El mismo programador también ha sido acusado en relación con el virus WannaCry 2.0 y el ataque a Sony Pictures en 2014 [32] .
Los investigadores de seguridad informática han vinculado el robo a otros once ataques y han alegado que Corea del Norte tuvo un papel en los ataques, lo que, de ser cierto, sería el primer incidente conocido de un actor estatal que utiliza ciberataques para robar fondos. [33] [34]
La Corporación Bancaria Comercial Rizal (RCBC) dijo que no toleraba la actividad ilícita en la sucursal de RCBC involucrada en el caso. Lorenzo V. Tan , presidente de RCBC, dijo que el banco cooperó con el Consejo Antilavado de Dinero y el Bangko Sentral ng Pilipinas en relación con el asunto. [35] El asesor legal de Tan le pidió al gerente de la sucursal de la calle Júpiter de RCBC que explicara la supuesta cuenta bancaria falsa que se utilizó en la estafa de lavado de dinero. [36]
El comité de la junta directiva del RCBC también inició una investigación separada sobre la participación del banco en la estafa de lavado de dinero. El presidente del RCBC, Lorenzo V. Tan, solicitó una licencia indefinida para dar paso a la investigación de las autoridades sobre el caso. [37] [38] El 6 de mayo de 2016, a pesar de haber sido absuelto de cualquier irregularidad por la investigación interna del banco, Tan renunció como presidente del RCBC para "asumir la plena responsabilidad moral" por el incidente. [39] [40] Helen Yuchengco-Dee, hija del fundador del RCBC, Alfonso Yuchengco, se hará cargo de las operaciones del banco. El banco también se disculpó ante el público por su participación en el robo.
El director del Banco de Bangladesh, el gobernador Atiur Rahman , renunció a su cargo en medio de la investigación del robo al banco central y el posterior lavado de dinero por parte del personal del RCBC en Filipinas. Presentó su carta de renuncia a la Primera Ministra Sheikh Hasina el 15 de marzo de 2016. Antes de que se hiciera pública la renuncia, Rahman declaró que renunciaría por el bien de su país. [41] Después de su renuncia, Rahman se defendió afirmando que había previsto las vulnerabilidades de seguridad cibernética hace un año y había contratado a una empresa de seguridad cibernética estadounidense para reforzar el cortafuegos, la red y la seguridad cibernética general del banco. Sin embargo, culpó a los obstáculos burocráticos por impedir que la empresa de seguridad iniciara sus operaciones en Bangladesh hasta después del robo cibernético. [42]
El 5 de agosto de 2016, el Bangko Sentral ng Pilipinas aprobó una multa de ₱1 mil millones (US$52,92 millones) contra RCBC por su incumplimiento de las leyes y regulaciones bancarias en relación con el robo al banco. Esta es la multa monetaria más grande jamás aprobada por BSP contra cualquier institución. RCBC declaró que el banco cumpliría con la decisión de BSP y pagaría la multa impuesta. [43]
El Banco de Bangladesh continuó sus esfuerzos para recuperar el dinero robado y solo recuperó unos 15 millones de dólares, principalmente de un operador de juegos de azar con sede en Metro Manila. En febrero de 2019, la Reserva Federal prometió que ayudaría al Banco de Bangladesh a recuperar el dinero y SWIFT también decidió ayudar al banco central a reconstruir su infraestructura. El banco central de Bangladesh también creyó que RCBC era cómplice del robo y presentó una demanda en el Tribunal de Distrito de los EE. UU. para el Distrito Sur de Nueva York con respecto al caso a principios de 2019 acusando al banco filipino de "conspiración masiva". En respuesta, RCBC presentó una demanda acusando al Banco de Bangladesh de difamación creyendo que las afirmaciones del Banco de Bangladesh son infundadas. [44]
En 2020, el Banco de Bangladesh presentó una demanda ante la Corte Suprema de Nueva York contra el RCBC por múltiples causas de acción. Tres de estas causas de acción fueron desestimadas el 29 de febrero de 2024. En junio del mismo año, el Tribunal de Apelaciones de Nueva York rechazó la petición del RCBC de que el caso fuera visto en un tribunal diferente. [45]
El caso amenazó con reincorporar a Filipinas a la lista negra del Grupo de Acción Financiera Internacional sobre el Lavado de Dinero, que incluye a países que no han realizado suficientes esfuerzos contra el lavado de dinero. [46] Se prestó atención a una posible debilidad de los esfuerzos de las autoridades filipinas contra el lavado de dinero después de que en 2012 los legisladores lograron excluir a los casinos de la lista de organizaciones obligadas a informar al Consejo contra el Lavado de Dinero sobre transacciones sospechosas.
El caso también puso de relieve la amenaza de ciberataques a instituciones gubernamentales y privadas por parte de cibercriminales que utilizan códigos de autorización bancarios reales para hacer que las órdenes parezcan genuinas. Swift creó el Swift CSP (programa de seguridad del cliente) como respuesta. SWIFT ha aconsejado a los bancos que utilizan el sistema SWIFT que fortalezcan su postura de ciberseguridad y se aseguren de que están siguiendo las directrices de seguridad de SWIFT conocidas como CSCF (marco de cumplimiento de seguridad del cliente). [47]