El Banco Central de Bangladesh fue víctima de uno de los mayores atracos a bancos de todos los tiempos en febrero: 81 millones de dólares. Los delincuentes siguen en libertad y podrían tener las combinaciones de muchas más bóvedas.
Desde que el atraco a Bangladesh salió a la luz, otros bancos también han revelado sus casos. En Ecuador, un banco comercial indicó que el año pasado le robaron 12 millones de dólares; otro en Vietnam señaló que delincuentes intentaron y fracasaron en un hurto por 1.1 millones, en lo que los expertos consideran una sesión de práctica para el robo de Bangladesh. A finales de mayo, una docena de bancos, sobre todo en el sureste asiático, informaron sobre atracos.
Todos los ataques fueron cometidos por ciberdelincuentes, y al menos algunos hicieron uso de un sistema de mensajería a cargo de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, mejor conocido como Swift (por sus siglas en inglés).
Los crímenes revelan un gran problema en la transferencia transfronteriza de dinero, un elemento clave de las finanzas globales. Swift conecta a 11 mil miembros, incluidos los bancos centrales y comerciales, corredores, administradores de dinero y corporaciones multinacionales en más de 200 países y territorios.
Los bancos en el mundo desarrollado no han sido víctimas de la ola de crímenes, pero los atracos en otras parte del mundo han servido como una llamada de alerta de que cualquier sistema es vulnerable. Expertos en seguridad dicen que el rastro digital parece conducir a Corea del Norte, al que el gobierno de Estados Unidos culpa por los hackeos a Sony Pictures en diciembre de 2014.
Estas violaciones socavan la confianza y pueden perjudicar la actividad empresarial en los países en desarrollo, pues los bancos pueden desconfiar si al otro extremo de la línea hay un banco real o un ladrón. "Si los bancos pierden confianza en Swift, o tendrán que vivir con la incomodidad o reducir su participación en los pagos transfronterizos", dice Erin McCune, un estratega de pagos del grupo de consultoría Glenbrook Partners.
Swift, un organismo sin fines de lucro con sede en Bélgica, fue fundado hace más de 40 años para que fuera más fácil para los bancos en varios países comunicarse entre sí. Sustituyó a los mensajes enviados por las máquinas de télex. La red privada fue diseñada para ser más segura, y sus mensajes siguen un protocolo para ser entendidos rápidamente por los bancos en todo el mundo.
Swift no se mueve el dinero en sí mismo, las transferencias tienen lugar entre los bancos. Pero sus mensajes señalan qué cuentas y por cuánto, gracias a ello, por ejemplo, un padre que vive en Nueva York puede enviar dinero a su hijo que estudia en Londres o una empresa de ropa en Francia puede pagar a una fábrica de camisas en Vietnam. Todos los días se envían 27.5 millones de estos mensajes.
Swift ha dicho que el sistema en sí no ha sido violado. Eso significa que los hackers no han sido capaces de leer o cambiar un mensaje que viaje a través de su red. Si el Banco A recibe instrucciones desde el banco B, el mensaje se originó desde el ordenador del banco B.
Los hackers han dejado claro, sin embargo, que Swift no puede garantizar que la persona que envía el mensaje desde la computadora de un banco realmente es un empleado de éste. En el caso de Bangladesh, un malware fue introducido en los sistemas del banco en enero. Ello probablemente permitió a los hackers grabar las pulsaciones del teclado y, finalmente, robar los códigos que les permitieron enviar mensajes fraudulentos en la red Swift.
Los piratas informáticos atacaron el 4 de febrero, pidiendo decenas de transferencias que equivalían a casi mil millones de dólares. Los mensajes solicitaban que el dinero fuera enviado desde la cuenta de Bangladesh en el Banco de la Reserva Federal de Nueva York a cuentas en Filipinas y Sri Lanka. La mayor parte de las transacciones fueron bloqueados después de ser marcadas para su revisión, con el fin de que cumplieran con las normas estadounidenses, pero cinco peticiones pasaron. El malware deshabilitó una impresora en Bangladesh que habría imprimido una lista de las transferencias completadas, lo que desaceleró la detección del robo.
El dinero se trasladó a las cuentas de Filipinas, donde fue entonces retirado y habría pasado por varios casinos locales, enfriando la huella de las transacciones. La transferencia a Sri Lanka fue finalmente anulada debido a un error tipográfico.
Los megabancos han puesto atención.
JPMorgan Chase ha reducido el número de empleados con acceso a Swift, y el Banco de Inglaterra ha dado instrucciones a las instituciones que supervisa para reforzar la seguridad. "Si no se toman en serio esta amenaza, lo mismo les pasará", señaló Avivah Litan, analista de ciberseguridad de Gartner.
Los bancos en el mundo en desarrollo tienen que hacer aún más. Muchos tienen firewalls más endebles que los bancos grandes y no siguen las máximas medidas de seguridad recomendadas por Swift, dicen los expertos. Esto incluye el uso de una segunda pieza de verificación externa, como un escáner de retina o huella digital, para acceder a los ordenadores de los bancos. Swift también recomienda que varias personas participen en el proceso de mensajería, como una persona para crear el mensaje y otra para aprobar y autentificar.
Swift está considerando hacer este tipo de medidas de seguridad obligatorias. También puede introducir un software de reconocimiento de patrones para identificar comportamientos sospechosos, similar al que las compañías de tarjetas de crédito utilizan para detectar fraudes. Sin embargo, los cambios tomarán tiempo, y los bancos más pobres que emplean el sistema probablemente siempre se quedarán atrás en las mejoras necesarias para mantenerse al día ante los estafadores.
Mientras tanto, los bancos hackeados han tratado de culpar a los más grandes, a las instituciones más ricas. El banco de Bangladesh dijo que la Fed de Nueva York debería haber detectado las transferencias fraudulentas. El banco ecuatoriano, Banco del Austro, demandó a Wells Fargo, donde tiene una cuenta, señalando que era en parte culpable por el robo. Ambos, tanto la Fed de Nueva York como Wells Fargo, respondieron que siguen las instrucciones de seguridad de Swift; Wells Fargo devolvió casi un millón de dólares. Una comisión del Congreso ha abierto una investigación sobre el incidente Bangladesh y la respuesta de la Fed de Nueva York en el ataque.
Estos ataques probablemente despierten interés para desarrollar otras formas de hacer pagos internacionales. "Pero va a tomar años", dice McCune. E incluso con la tecnología más segura, cuando ésta se utiliza para unir a un gran número de seres humanos falibles en todo el mundo, los hackers probablemente hallarán un hueco. "Cualquiera que sea la barrera de seguridad que tengamos, con el tiempo puede ser penetrada", dice Hank Uberoi , jefe de Earthport, una firma global de pagos con sede en Londres que está construyendo una red alternativa. "Y si pueden entrar, pueden generar caos".