Grandes robos informáticos de la historia

“El único sistema verdaderamente protegido es aquél que está apagado, encerrado en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados - y aún así tengo mis dudas ”. Corría el año 1989 cuando el profesor y reputado experto en seguridad informática Gene Spafford realizó esta llamativa reflexión.

Se trata de una exageración, con la que probablemente pretendía lanzar un toque de atención a la sociedad en general sobre la escalada imparable de los delitos informáticos. ¿Pero somos realmente conscientes de los peligros a los que estamos expuestos en la era del todo conectado e informatizado?

No, o como poco no lo suficiente. Prueba de ello es, por ejemplo, que en el 2007 las contraseñas más usadas de la red fueran también las más inseguras y que dos años después la tendencia continuara inmutable. En palabras de José Carlos Norte, director de tecnología de eyeOS con amplia experiencia en el mundo de la seguridad consultado por Diario Turing: “El ciudadano de a pie vive en su burbuja, leyendo el mainstream y pensando que está seguro, pero la realidad es muy distinta, y cada día, miles de personas pierden dinero o intimidad a causa de ataques a sistemas informáticos de distinta naturaleza.”

Ante este panorama la concienciación sobre la importancia de la seguridad informática se vuelve una cuestión nada baladí, y qué mejor forma de concienciar que repasando algunos de los robos informáticos más importantes de la historia.

Ataques a la cartera... de los que duelen

Confeccionar un top de robos informáticos cuyo objetivo es lo económico o información financiera sensible no resulta fácil. Son los que más se dan, sobre todo en los últimos años durante los que el comercio electrónico, la banca electrónica y los sistemas de pago telemáticos se han consolidado. Aún así tras bucear exhaustivamente entre muchos casos de este tipo reportados en los últimos años, varios son los que llaman especialmente la atención.

Uno de los que no podía faltar en la lista, por ser de los primeros importantes, es el golpe al First National Bank de 1988 capitaneado por Armand Devon Moore que el Fiscal de los Estados Unidos del Distrito Sur de Illinois de la época calificó como “el esquema de malversación de fondos más grande en la historia de Chicago, y sin duda el más grande si tenemos en cuenta la cantidad de dinero que se movió”.

El modus operandi fue el siguiente: Moore convenció a Otis Wilson y Gabriel Taylor, empleados del First National Bank a los que llegó a través de su primo Herschel Bailey, para que le ayudaran a robar la entidad, pero no con pasamontañas y pistolas sino mediante transferencias electrónicas. Dicho y hecho; aprovechándose de su acceso a los equipos informáticos y telefónicos del First National Bank y de los conocimientos que poseían sobre el funcionamiento del sistema interno de transferencias electrónicas, seleccionaron tres grandes clientes corporativos del banco -Merrill Lynch & Co, United Airlines y Brown-Forman Corp- y traspasaron casi 70 millones de dólares en unos 60 minutos de sus cuentas a otras dos abiertas por la banda en Viena.

Para lograrlo simularon tres llamadas de responsables de las empresas solicitando las transferencias. A su vez Taylor fingió haber realizado las llamadas a Merrill Lynch, United Airlines y Brown-Forman necesarias para verificar las operaciones -en realidad llamaba a uno de los compinches-. De ahí las órdenes pasaron a un tercer empleado, que nada tenía que ver con el robo, y las hizo efectivas. Aunque todo parecía perfecto, pocas horas después de consumar el atraco les pillaron. Las víctimas no tardaron en detectar la falta de los fondos, contactaron con el First National y se descubrió el pastel.

El tipo de esquema delictivo descrito, en el que la piedra angular son empleados o exempleados con acceso a la información interna y a los equipos informáticos de la empresa que toque, se sigue repitiendo constantemente pero no es de los más sofisticados.

Los hay mucho más complejos, como el que aplicó Vladimir Levin en 1994 en su mítico robo al poderoso Citibank. Sin salir de San Petersburgo ni contactos dentro, logró colarse en la red de la entidad, acceder a las cuentas de cientos de clientes y realizar un buen puñado de transferencias a otras creadas por él en bancos de Alemania, Israel, Estados Unidos, Holanda, Argentina, etc. En pocas semanas consiguió robar 3,7 millones de dólares y marcó un antes y un después; se trató del primer robo serio de dinero a nivel internacional perpetrado contra un gran banco mediante la irrupción en sus redes de manera completamente remota.

Muy inteligente, sin embargo no lo fue tanto al alargar en el tiempo el robo (casi un año) y depender de una amplia red de colaboradores que retiraba en cajeros y sucursales el dinero saqueado. La INTERPOL siguió el rastro dejado por las transferencias, poco a poco capturaron a los colaboradores y en 1995 detuvieron a Levin en el aeropuerto de Heathrow (Inglaterra). Más tarde le extraditaron a los Estados Unidos donde se declaró culpable de los cargos imputados y le condenaron a tres años de prisión.

Pero no solamente se han dado, y continúan dándose, grandes robos informáticos a cuentas bancarias. Existen muchos otros perpetrados contra toda clase de objetivos. ¿Un ejemplo destacable? El “fraude de clics” desmantelado recientemente por Microsoft y Symantec en el que un grupo de delincuentes lograron montar una enorme botnet que llegó a reportarles un millón de dólares al año. La estrategia consistió en tomar el control de miles de ordenadores infectándolos con algún malware a través del que posteriormente instalaban en las máquinas el troyano Bamital que se ocupaba de ejecutar el fraude. Según Symantec, Bamital “redireccionó usuarios finales a anuncios y contenido que no tenían intención de visitar. Asimismo, generó tráfico no humano en anuncios y sitios web con la intención de recibir pagos de las redes de publicidad”.

Mención aparte merecen los robos de tarjetas de crédito. Ya en 1999 Maxim Kovalchuk, que en 2004 terminó en el banquillo de los acusados por piratería de software, se atribuyó el robo de 300.000 números de tarjetas de clientes de cduniverse.com. Poco tiempo después ocurrió lo que las autoridades de medio mundo temían: una operación de saqueo de tarjetas de crédito de alcance internacional perfectamente coordinada. El caso se hizo público en 2001 cuando el FBI comunicó que un grupo de delincuentes de Rusia y Ucrania, aprovechando vulnerabilidades conocidas en Windows NT, habían comprometido la seguridad de unas 40 compañías estadounidenses sustrayendo de sus bases de datos en línea más de un millón de números de tarjetas. De ahí en adelante se produjeron un gran número de delitos similares. El más notorio lo protagonizó Albert González de finales de 2006 a principios de 2008; durante ese periodo, junto a dos compinches rusos, sustrajo de varias empresas norteamericanas entre 130 y 170 millones de números de tarjetas de clientes utilizando técnicas de inyección SQL. “La broma” le costó una pena de 20 años de prisión que sigue cumpliendo en la actualidad.

Lo verdaderamente preocupante es que este tipo de robos no solamente han sobrevivido hasta nuestros días sino que ahora son mucho más masivos y sofisticados que los de antaño. Lo podemos ver en el reciente robo a la cadena de supermercados Schnucks de 2,4 millones de datos de tarjetas en el que, a diferencia de los anteriores, se sustrajeron directamente de 69 establecimientos tras hackearles in situ los sistemas que procesan los pagos. En opinión de José Carlos Norte, “es algo increíble y de una magnitud que supera a casi todo lo sucedido hasta ahora”.

Información, el otro gran objetivo de los robos informáticos

Vistos los robos informáticos más importantes de la historia relacionados con lo económico, le toca el turno a los hurtos en los que la información es el objetivo. De estos también hay muchos documentados al ser igual de habituales que los financieros y las motivaciones detrás de ellos suelen ser: pura ansia de conocimiento, espionaje, hacer negocio, o una mezcla de varias de ellas.

En esa última categoría cuadra perfectamente el robo de información sensible destapado en 1988 que sufrieron varias agencias gubernamentales, militares y empresas de Estados Unidos, Japón y otros países. Según el número 25 del e-zine Phrack donde se recopila bastante información del golpe, un grupo de cinco hackers alemanes -Markus Hess, Karl Koch, Hans Huebne, Dirk Brezinski y Peter Carl- sustrajo material diverso del Pentágono, NASA, Laboratorio Nacional de Los Álamos, CERN, ESA, Thomson, diversas empresas de armamento de Europa Occidental y compañías alemanas involucradas en investigaciones nucleares. Los más grave del tema no fueron las incursiones en sí mismas, que también, sino que entregaban la información a la KGB a cambio de dinero y sustancias estupefacientes -uno de los miembros del grupo era adicto a la cocaína-.

De 1988 saltamos hasta 2005, año en el que un joven Cameron Lacroix accedió a la cuenta de Paris Hilton en los servidores de T-Mobile asociados a sus terminales Sidekick en los que se guardaban desde la agenda de contactos, hasta los vídeos pasando por las fotos de los usuarios, incluidas las de la celebrity. Una vez que tuvo acceso, Lacroix sustrajo varias imágenes subidas de tono de Hilton, su directorio telefónico y publicó todo en Internet. ¿Por qué añadir este caso a la lista? Ciertamente la información robada y luego filtrada al público no es especialmente relevante que digamos, pero el hackeo en sí lo es porque puso en el punto de mira a los famosos y sentó las bases para los muchos parecidos que vendrían después.

Volviendo a los más importantes, Chema Alonso, profesional de seguridad informática y hacking referente a nivel mundial, tuvo a bien participar en este artículo proponiendo lo que en 2010 se bautizó con el nombre de “Operación Aurora”.

Se trató de un ataque proveniente de China altamente sofisticado dirigido contra al menos dos docenas de compañías importantes, entre ellas Google quienes decidieron darlo a conocer. Conforme a lo explicado por la firma de seguridad McAfee, identificaron “una vulnerabilidad de tipo ”zero-day“ en Microsoft Internet Explorer, que sirvió como punto de entrada para que Operación Aurora afectara a Google y al menos a otras 20 empresas”. Que sepamos la operación se saldó con robos de propiedad intelectual, obtención de acceso a cuentas de correo y un conflicto serio entre los del buscador, el gobierno de EE.UU y el de China. A juicio de Alonso la operación le llamó mucho la atención porque “fue un robo de inteligencia a una de las mayores empresas de tecnología del mundo. Una operación que duró meses y que hizo que los APT (Advanced Persistent Threats) se tomaran mucho más en serio.”

A parte de la Operación Aurora, en 2010 se hicieron públicas varias incursiones más dignas de consideración que terminaron con el robo de información protegida. De lo más sonado fue la sustracción cometida por Aaron Swartz de unos cuatro millones de documentos y aplicaciones bajo copyright del repositorio digital de publicaciones académicas JSTOR a través de las redes del MIT.

También fue conocido el hurto de certificados digitales a la empresa Realtek, de no mucho volumen pero “bastante serio” en opinión de José Carlos Norte porque “utilizando este certificado robado misteriosamente a Realtek se consiguió llevar a cabo el ataque de Stuxnet contra las centrales de centrifugación de uranio de Natanz”.

La guinda del pastel llegó con la publicación de 250.000 cables del Departamento de Estado norteamericano por la organización Wikileaks, como nos recuerda el especialista en seguridad informática Alberto Ramírez Ayón.

Estos cables fueron obtenidos por el analista de inteligencia del ejército de los Estados Unidos Bradley E. Manning mediante los ordenadores que utilizaba cuando se encontraba de servicio en una base militar de Bagdad -los mismo estaban conectados a la red SIPRNet que el Pentágono emplea para los cables clasificados-.

David Barroso, responsable de Inteligencia en Seguridad en Telefonica Digital, lo considera “el robo informático que más repercusión ha tenido puesto que aunque no ha sido un robo monetario, ha hecho tambalearse a Estados Unidos y otras naciones, además de ser la mecha de todo el movimiento de Anonymous y todas las demás evoluciones”.

Tanto en 2011 como en 2012 se produjeron robos informáticos de información que por su relevancia no podían faltar en este repaso. Uno de ellos, apuntado por Sebastián Bortnik, gerente de Educación y Servicios de ESET para Latinoamérica, es el que sufrió la plataforma PlayStation Network de donde cibercriminales sustrajeron datos personales de 77 millones de usuarios.

Otro, el bautizado con el nombre “Operation Anti-Security”, denominación bajo la que los grupos Anonymous y LulzSec lanzaron ataques contra gobiernos, empresas e instituciones a lo largo de meses y sustrajeron todo tipo de información que posteriormente publicaron en la red. Finalmente el colofón lo puso el conjunto Swagg Security que primero incautó de los servidores del fabricante tecnológico chino Foxconn los nombres de usuario y contraseñas de muchos empleados y clientes y un tiempo después 1GB de datos pertenecientes a objetivos de alto nivel (MasterCard, Farmers Ins., instituciones gubernamentales etc) repartidos por diferentes partes del globo.

Robos de software, los menos populares pero muy importantes

Menos mediáticos y numerosos han sido los robos informáticos de software, lo que no significa que se produzcan y sean importantes. Es más, un robo de software puede acarrear consecuencias mucho más serias, como veremos, que por ejemplo la sustracción de cientos de contraseñas.

El perpetrado por el histórico hacker Genocide a principios de los ochenta es uno de los máximos exponentes de este tipo de hurto. Por esa época él y otros montaron el grupo de hackers Genocide2600 cuyos miembros se dedicaban a aprender técnicas variadas de hacking que luego ponían en práctica con la intención de saciar sus ansias de conocimiento. En esa época su peso dentro de la “scene” era poco, pero todo cambió cuando lograron incursionar en un servidor corporativo del que Genocide incautó varias herramientas de software diseñadas para romper y testear la seguridad de equipos informáticos.

No tardó en ponerlas a disposición de todos en el sitio web del grupo, lo que supuso el lanzamiento a la fama de Genocide2600 y aún más importante, un empujón para el ecosistema hacker mundial: ahora tenían en su poder programas hasta ese momento desconocidos que usaban los administradores de sistemas para asegurar equipos y detectar intrusiones.

“De repente, teníamos herramientas que nadie más tenía, archivos de comandos que nadie había visto nunca y conocimientos que nadie más poseía sobre técnicas de intrusión y nuevas metodologías”, recordaba el propio Genocide en el libro “The Hacker Diaries: Confessions of Teenage Hackers” del periodista Dan Verton (PDF del primer capítulo).

La misma motivación de Genocide, búsqueda de conocimiento, estuvo detrás de la incursión realizada por Jonathan James en el año 2000 a la NASA. Concretamente se coló en los servidores del Space Flight Center situado en Huntsville (Alabama, EE.UU) a la tierna edad de 16 años. Una vez dentro robó un programa, valorado en 1,7 millones de dólares, encargado de controlar la temperatura y la humedad de la Estación Espacial Internacional. James explicaría después que descargó el programa para completar sus estudios de programación en C, sin embargo no le sirvió de mucho porque según dijo “el código en sí era horrible... Sin duda no vale los 1,7 millones que decían”.

El golpe, unido a otros que dió, le valió una condena de seis meses y se convirtió en el primer adolescente en ser enviado a prisión por piratería. Años después, en 2009, volvió a ser noticia, desgraciadamente por algo mucho más desagradable: su suicidio.

También en el 2000, otro robo de software importante fue el cometido contra los equipos del Naval Research Laboratory (Washington, D.C, EE.UU) de los cuales sustrajeron parte del programa OS/COMET, una aplicación desarrollada por las Fuerzas Aéreas de EE.UU cuya finalidad era guiar naves espaciales, cohetes y satélites. Nunca se llegaron a hacer públicos los autores de los hechos -si es que los pillaron y respecto a la razones se barajaron varias; desde que el código habría sido sustraído por terroristas para boicotear los sistemas informáticos de varios programas espaciales, hasta que se trataba de un nuevo episodio de espionaje industrial.

Cerrando el círculo, Yago Jesus, profesional de la seguridad informática y editor de Security By Default, puso el acento en los acontecimientos ocurridos allá por el 2004 que terminaron con el robo de 30.915 ficheros del código fuente de Windows 2000. Los archivos se pusieron a disposición del público a través de redes P2P y las pistas encontradas por un investigador español apuntaron a que se habían sustraído de un servidor vulnerable propiedad de la empresa Mainsoft, que se dedican a portar aplicaciones nativas de Windows a Unix y tenían un acuerdo con Microsoft que les permitía disponer de ellos. “Esto tuvo un impacto gigante en el mundo de la seguridad, ya que al disponer de ese código, se puede estudiar la seguridad de windows más profundamente” declaró José Carlos Norte.

¿Crees que estás seguro?

Si has llegado hasta aquí y aún sigues pensando que estás seguro, probablemente te equivoques. Los robos informáticos expuestos son solamente los más importantes del total de publicados en diferentes fuentes pero se producen muchísimos constantemente de diferente calado y la gran parte de ellos no se llegan ni a denunciar. Realmente no existe forma de estar completamente seguro, lo único que se puede hacer es contar con las medidas básicas (antivirus actualizado, pasarlo regularmente, tener el sistema y los programas actualizados a su última versión etc) y sobre todo tomar precauciones en base a la lógica (no abrir emails de remitentes desconocidos, no repetir la misma contraseña en varios servicios, jamás proporcionar datos personales a través de chats, emails o similares etc).

Como me dijo un experto en estos temas hace tiempo del que no recuerdo su nombre, “la seguridad es un coñazo, pero no dedicarle tiempo puede acarrear muchos más dolores de cabeza que aplicar las medidas mínimas de seguridad en entornos informáticos”. Hemos visto unos cuantos ejemplos en este relato que lo sustentan así que apúntenselo.

Foto: ClaraDon cc