Aquí en Argentina, al igual que en muchos otros países de Latinoamérica, los grandes ciberataques de los que solemos hablar cada día en WeLiveSecurity no suelen ser moneda corriente; cuanto menos, parecen algo teórico. Apenas se está empezando a tomar consciencia del phishing, de la necesidad de resguardar la privacidad y respaldar la información, o de que hay algo parecido al secuestro de información rondando por ahí.
Pero los casos de malware capaz de alterar el tipo de cambio de una divisa, o de cortar el suministro eléctrico de una localidad, todavía no forman parte de la cotidianeidad de los usuarios aquí. Es por eso que, cuando ocurre un incidente relacionado a la ciberseguridad y toca a una entidad conocida, no pasa desapercibido y llega a los titulares de los medios más grandes.
Ayer, por ejemplo, supimos que la Policía Federal Argentina detuvo a los responsables de comprometer cuentas bancarias de la municipalidad bonaerense de 25 de Mayo para robar 3.600.000 pesos.
Las preguntas de los periodistas no tardaron en llegar a nuestros voceros...
¿Se puede robar dinero a través de amenazas informáticas? ¿Es posible atacar un banco y desviar fondos de sus cuentas?
Lamentablemente, hemos visto casos en los que el malware fue una de las herramientas necesarias para hacerlo, pero nunca la única. A veces, su complemento es el accionar negligente o irresponsable de un empleado u otro actor interno, quizá sin ser consciente de ello; otras veces, se necesita aplicar ténicas de ingeniería social para engañar a un usuario con determinados permisos que los cibercriminales necesitan; y otras veces, la mera inexistencia de medidas de seguridad como antivirus y firewall crea la puerta de entrada perfecta para las amenazas.
siempre hubo casos en el mundo, pero en nuestra región todavía es sorprendente que pasen estas cosas
Más allá de que siempre hubo casos y evidencia concreta en el mundo, en nuestra región todavía es sorprendente que pasen estas cosas. Después de todo, como demostró un informe del Banco Interamericano de Desarrollo y la Organización de los Estados Americanos, Latinoamérica posee vulnerabilidades “potencialmente devastadoras”, ya que cuatro de cada cinco países carecen de una estrategia de ciberseguridad.
Sumado a eso, la educación sobre ciberseguridad está completamente ausente en los niveles iniciales y no se fomenta demasiado el interés de las personas por su privacidad y seguridad en línea. Es así como llegamos al punto de sorpresa generado por esta reciente noticia.
No se sabe demasiado respecto al incidente en sí y qué permitió el fraude; el acceso indebido, según reportó el diario Clarín, se produjo el domingo 20 de noviembre por la noche, pero fue detectado el día siguiente por el tesorero municipal, cuando el banco inició su actividad comercial habitual.
Los atacantes, según el informe, "ingresaron a las cuentas de la comuna y comenzaron a realizar las transferencias de fondos a otras de distintos bancos del territorio bonaerense, ante la mirada del contador del municipio, que veía cómo iba desapareciendo el dinero del sistema".
Al parecer, fue un malware la puerta de entrada a dicho sistema, ya que se habló de un "virus invasivo" que infectó las computadoras de la Tesorería.
"Para cuando las autoridades denunciaron el hecho y el Banco Central emitió la orden de bloquear las cuentas a diversas entidades financieras, diferentes personas ya habían cobrado por ventanilla sumas de entre 100.000 y 250.000 pesos, por un total de 3.600.000 pesos", relató el diario.
La investigación de la División Fraudes Bancarios de la Policía Federal Argentina detectó la existencia de 24 "falsas transferencias a proveedores".
La evidencia de casos anteriores
Volviendo a las preguntas que inspiraron este artículo, sí, es posible que un malware permita desviar dinero de manera fraudulenta. Por ejemplo, existen numerosos troyanos bancarios y otras amenazas diseñadas para robar las credenciales de cuentas de usuarios de determinados bancos; así, si saben tu clave de home banking, podrán transferir tu dinero fácilmente.
la mayoría de estos criminales usan phishing dirigido para infectar a las organizaciones de su interés
Los bancos también son blanco de cibercriminales: un caso resonante fue el ataque al Banco Central de Bangladesh. Los criminales irrumpieron en su red y robaron credenciales para transferencias de dinero, gracias a lo cual hicieron solicitudes para transferir 81 millones de dólares a Filipinas. Afortunadamente, la quinta operación fraudulenta, por un monto de 20 millones y destinada a Sri Lanka, fue detectada a tiempo: los atacantes cometieron un error ortográfico que alertó a oficiales bancarios.
Por otro lado, vimos a Retefe, que apuntaba a Tesco Bank y otros bancos de Suiza, Austria y el Reino Unido; en noviembre del año pasado, Retefe permitió que los cibercriminales ejecutaran 20.000 transacciones robando dinero de clientes de Tesco Bank.
También hablamos de los ataques a sitios web de entidades de regulación financiera en Polonia, Uruguay y México, que ocasionaron que los visitantes fueran redirigidos a un exploit kit que descargaba malware.
Como explicábamos al analizar los ataques a entidades financieras, la mayoría de estos grupos criminales usan ataques de phishing dirigido para intentar infectar las organizaciones de su interés. Como se ilustra en el esquema de abajo, abrir el archivo adjunto de phishing dirigido en un sistema vulnerable conduce a la infección; además, se descargan e instalan herramientas adicionales (como herramientas de administración remota) para que el atacante pueda controlar el equipo por completo.
Que el ataque a la municipalidad bonaerense deje estupefactos a muchos lectores nos demuestra que necesitamos seguir trabajando en la concientización de la comunidad, para que todos los niveles de usuarios sepan que los complejos ciberataques que parecen ficción pueden en verdad ser una realidad; para quienes formamos parte de la industria de la ciberseguridad esto puede parecer obvio, pero no lo es para la totalidad de la región.
También nos parece lógico pensar que la gran mayoría de estos ataques se pueden prevenir y evitar, tomando las medidas necesarias y con una estrategia de seguridad adecuada.
Por eso, seguiremos cumpliendo nuestro objetivo de educar a los usuarios para que puedan comprender esta realidad y sepan cómo afrontarla.