En el año 2016, el Banco Central de Bangladesh fue víctima de uno de los mayores robos cibernéticos de la historia, en el que los atacantes lograron sustraer 81 millones de dólares.
Contexto inicial
El Banco Central de Bangladesh, como muchos otros bancos centrales, mantenía una cuenta en la Reserva Federal de Nueva York, donde almacenaba reservas extranjeras. Esta cuenta se usaba para realizar transferencias internacionales a otros bancos a través del sistema de mensajería financiera SWIFT. SWIFT es una red global de comunicaciones seguras que bancos y otras instituciones financieras utilizan para enviar y recibir información, como órdenes de pago y transferencias de dinero.
Acceso inicial al sistema
Los atacantes consiguieron infiltrarse en el sistema del Banco de Bangladesh, comprometiendo las computadoras que gestionaban las transacciones a través de la red SWIFT. Se cree que el acceso inicial fue obtenido a través de un ataque de phishing, donde los empleados del banco fueron engañados para descargar malware mediante correos electrónicos que parecían legítimos. El malware era altamente sofisticado y estaba diseñado para pasar desapercibido por los sistemas de seguridad del banco. Dicho malware permitió a los atacantes obtener las credenciales necesarias para acceder al sistema de SWIFT y manipular las transacciones.
Preparación y ejecución del robo
Una vez dentro del sistema, los atacantes comenzaron a estudiar el entorno y cómo funcionaban las transacciones dentro del Banco de Bangladesh. Esto probablemente llevó semanas o incluso meses de preparación, ya que necesitaban conocer cada detalle para evitar levantar sospechas.
El viernes 4 de febrero de 2016, los atacantes eligieron el momento adecuado para ejecutar su plan. Esto fue estratégico, ya que el ataque se llevó a cabo justo antes del fin de semana en Bangladesh, cuando los bancos están cerrados, lo que dio a los atacantes una ventana de tiempo para realizar las transferencias sin ser detectados de inmediato.
Manipulación del sistema SWIFT
El grupo utilizó el acceso al sistema SWIFT para enviar 35 solicitudes de transferencia desde la cuenta del Banco de Bangladesh en la Reserva Federal de Nueva York a varias cuentas bancarias en Filipinas y Sri Lanka. El valor total de estas solicitudes ascendía a casi 1,000 millones de dólares.
Para camuflar sus acciones, los cibercriminales también manipularon el sistema interno del banco para que no se registraran alertas o notificaciones inusuales. Además, el malware insertado en las computadoras comprometidas borraba automáticamente las huellas de las transacciones fraudulentas, lo que dificultó aún más su detección.
Ejecución exitosa de algunas transferencias
De las 35 solicitudes, la mayoría fueron bloqueadas por la Reserva Federal debido a irregularidades o fueron marcadas para una revisión extra. Sin embargo, 5 solicitudes lograron pasar desapercibidas y fueron ejecutadas, lo que resultó en el envío de 81 millones de dólares.
Detalles de las transferencias
-
Filipinas: Gran parte del dinero se transfirió a varias cuentas en el Rizal Commercial Banking Corporation (RCBC) en Filipinas. Desde ahí, los fondos se movieron rápidamente a cuentas de testaferros y se canalizaron a través de casinos en Manila, lo que dificultó el rastreo del dinero debido a las leyes de juego que permiten grandes movimientos de dinero sin muchos registros.
-
Sri Lanka: Una de las transferencias, por un monto de 20 millones de dólares, estaba destinada a una ONG llamada "Fundación Shalika". Sin embargo, debido a un error tipográfico en el nombre de la entidad ("Shalika Fandation" en lugar de "Foundation"), la transacción fue bloqueada y eventualmente revertida.
Descubrimiento del fraude
El error tipográfico en la transferencia a Sri Lanka fue lo que inicialmente despertó sospechas. La revisión manual de esta transacción llevó a descubrir las demás solicitudes fraudulentas.
Al darse cuenta del ataque, el Banco de Bangladesh contactó de inmediato a la Reserva Federal de Nueva York y otros bancos involucrados para intentar detener las transferencias restantes y recuperar el dinero, pero para entonces ya era demasiado tarde para la mayoría de los fondos.
Investigación y reacción internacional
Una vez descubierto el robo, se inició una investigación a nivel internacional que involucró a varias agencias de seguridad, incluyendo el FBI, y a las autoridades financieras de varios países. La investigación reveló que el ataque estaba bien coordinado y probablemente involucró a un grupo criminal con profundos conocimientos en ciberseguridad y finanzas.
El Grupo Lazarus, vinculado a Corea del Norte, fue señalado como uno de los posibles responsables del ataque, aunque nunca se ha confirmado oficialmente. Este grupo ya había sido asociado con otros ciberataques de gran envergadura, incluyendo el hackeo de Sony Pictures en 2014.
Consecuencias del ataque
Aunque algunos fondos fueron recuperados, la mayoría del dinero robado, especialmente los que fueron blanqueados a través de casinos en Filipinas, nunca fue recuperado. Además, el ataque dañó la reputación del Banco de Bangladesh y expuso las debilidades en la ciberseguridad no únicamente de este banco, sino del sistema bancario global en su conjunto.
El incidente llevó a una revisión general de la seguridad en el sistema SWIFT y a la implementación de nuevas medidas para prevenir futuros ataques. Asimismo, los bancos alrededor del mundo redoblaron sus esfuerzos para asegurar aún más sus sistemas y evitar vulnerabilidades similares.