"Contamos con una de las unidades de Ciberdelincuencia más prestigiosas del mundo", dice Zoido

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo utilizar la Dark Web

Juan Ignacio Zoido resaltó la importancia de la operación llevada a cabo ayer por agentes de la Policía Nacional, en un operativo coordinado por EUROPOL y la Fiscalía Especializada de Criminalidad Informática. En ella se detuvo en Alicante al cerebro de una organización presuntamente responsable de centenares de ciberatracos a entidades bancarias de todo el mundo cometidos desde España mediante sofisticados ataques informáticos y que sustrajo más de 1.000 millones de dólares.

Por la transcendencia internacional del cibercriminal detenido, esta operación es una de las más importantes de la unidad de Ciberdelincuencia de la Policía Nacional, destacó el titular de Interior, quien aprovechó para decir que “contamos con una de las unidades de Ciberdelincuencia más prestigiosas del mundo".

Zoido recordó que esta Unidad ha trabajado durante 2017 en más de 500 investigaciones vinculadas a delitos en la red como estafas, blanqueo de capitales, delitos contra la propiedad intelectual e industrial, suplantaciones de identidad o pornografía infantil, con la detención de 383 personas.

El arrestado dirigía esta organización criminal desde España creada a finales del año 2013 e integrada por otros tres individuos con los que había establecido contacto a través de foros en Internet y con los que no mantenía contacto personal alguno.

A pesar del elevadísimo nivel técnico de sus integrantes, los ciberdelincuentes necesitaban el apoyo de otros grupos criminales para coordinar el trabajo de las "mulas" encargadas de las extracciones de dinero en efectivo de los cajeros automáticos que atacaban en diferentes países. Hasta el año 2015 fue la mafia rusa la encargada de este cometido y a partir de 2016 lo hizo la mafia moldava.

Evolución del software, pero siempre la misma forma de operar
Desde su constitución hace cinco años, los delincuentes evolucionaron el software malicioso empleado en sus ciberataques. Entre 2013 hasta mediados de 2017, la banda criminal desarrolló varios de ellos, denominados anunak y carberp, que cambiaron cuando las empresas de seguridad desarrollaron mecanismos de detección. A partir de ahí decidieron desarrollar una nueva herramienta, denominada Cobalt Strike, de acceso remoto, que utilizó la organización como parte de sus ciberataques. Durante este periodo, no sólo atacaron a bancos de Rusia, sino que ampliaron su actividad criminal a otras entidades de antiguas repúblicas soviéticas e incluso a Taiwán.

Desde mediados del año 2017 la organización criminal se centró en el desarrollo de una nueva herramienta indetectable que tenía mayores capacidades y sofisticación. Cuando tuvieron disponible una versión de evaluación probaron su efectividad para penetrar en los sistemas de entidades bancarias de todo el mundo (incluidas entidades españolas), teniendo previsto utilizarla para sus ciberatracos de forma inminente. Los investigadores han logrado obtener una muestra de este nuevo software durante el análisis de los dispositivos informáticos intervenidos al detenido.

Sin embargo, el modus operandi utilizado desde el inicio de sus actividades criminales era similar. El ataque comenzaba con el envío masivo de correos electrónicos fraudulentos suplantando la identidad de organismos o empresas legítimas, dirigidos a una multitud de direcciones de correo electrónico de empleados de entidades bancarias de todo el mundo. Estos correos adjuntaban un fichero, generalmente en formato .RTF o .DOC, que contenían un código malicioso que hacía posible explotar alguna vulnerabilidad no actualizada en los sistemas informáticos de las víctimas.

Una vez el empleado recibía el correo electrónico y abría el fichero adjunto, y en aquellos casos en los que la vulnerabilidad no se encontraba debidamente actualizada en el ordenador del empleado, se ejecutaba en su ordenador un código malicioso. Este iniciaba la descarga de un paquete del software que permitía, posteriormente, el control remoto del mismo desde servidores de comando y control.