Bloomberg Businessweek

Este es el relato secreto de un hacker que estuvo ligado con el robo histórico a la banca mexicana

Así fue como un experto en informática y la dueña de una tienda vivieron de cerca uno de los mayores atracos bancarios en la historia de México.

ECONOMÍA

Bloomberg Businessweek

Antonio recibe una llamada al mes para hacer "trabajos" de hackeo. Dos cuando hay mucha 'chamba' y muy de vez en cuando se le han llegado a juntar tres compromisos en fechas cercanas. En su línea de trabajo, al menos en una de las dos que tiene y la más riesgosa, no es buena idea ir por la red dejando rastros frecuentes de sus operaciones. El anonimato es su mejor aliado y la discreción una herramienta casi tan valiosa como su habilidad para 'tirar' portales, acceder a sitios prohibidos en Internet y obtener datos personales sin que la gente se percate de ello.

Por eso, para él fue normal la llamada que recibió el 16 de abril sobre un trabajo que involucraba a un numeroso grupo de hackers, todos dispuestos a participar en un proyecto grande para 'darle un llegue' a los bancos. Era muy temprano por la mañana, pero la voz al otro lado de la línea sonaba muy despierta, segura y con un mensaje atractivo.

"Hola, ¿qué tal?", dijo un hombre desde un número que no tenía registrado. "Hablo a nombre de Daniel".

De entre el mar de conocidos suyos en el mundo hacker, Antonio conocía a un par de personas con ese nombre, por lo que continuó con la conversación sin ningún problema.

"Estoy consciente de que sabes cómo se trabajan las tarjetas (el hombre usó un nombre en clave que usan los hackers para los plásticos bancarios) ¿No te interesa trabajar con nosotros?", continuó la voz al otro lado de la línea y en seguida dijo algo que se tatuó en la memoria de Antonio. "Luego de ésta no tendrás que trabajar más en la vida".

Desde luego, Antonio no es el nombre real de quien proporcionó toda la información para este relato y fue cambiado por motivos de seguridad. Sin embargo, tanto su recuento y los documentos que proporcionó sirven para dar luz sobre el ataque hacker más grande en la historia del sistema financiero mexicano.

Según Antonio, aceptó "por mera curiosidad" involucrarse en el 'proyecto' que el hombre le proponía. A lo largo de su carrera como hacker había entendido que era mejor conocer qué estaba pasando en ese mundo que no hacerlo, aunque fuera desde la distancia o en un rol menor.

El hombre le habló de una operación que llevaba tiempo en activo. A través de una falla en uno de los proveedores de conexión de varios bancos al servicio del Sistema de Pagos Electrónicos Interbancarios (SPEI) del Banco de México (Banxico), varios colegas suyos habían conseguido extraer recursos de cuentas específicas que ya habían sido 'marcadas' por cómplices dentro de los bancos, es decir, ya sabían en qué cuentas enfocarse, qué cantidades aproximadas tenían y hacia dónde debían redirigir el dinero. No había nada aleatorio en el esquema y nada fue dejado a la suerte.

Antes de continuar, el hombre le pidió a Antonio que hiciera una demostración de lo que sabía hacer detrás del teclado. Quería cerciorarse de que trabajaba con alguien profesional y no con algún 'poser' o farsante de la informática. Era una prueba normal para establecer la confianza que se requiere entre quienes están a punto de cruzar la línea de la legalidad. Antonio no tuvo problema. Llevaba más de año y medio haciendo cosas importantes, hackeos serios, moviendo dinero, clonando tarjetas, extrayendo passwords, enviando virus desde mensajes de texto y gifs en redes sociales.

“Luego de ésta no tendrás que trabajar más en la vida”.

De la llamada entre Antonio y el contacto de Daniel

Desde niño le gustaba la informática y poco a poco fue accediendo a foros de hackers en redes. Al inicio, conoció a varios que solamente descargaban softwares llamados "LOIC" y "HOIC", que funcionan para tirar páginas de Internet y sirven de plataforma para generar un ataque DOS (denial of service), que inhibe las funciones de servicio de algún sistema. Luego, en chats especializados fue acercándose a gente que tenía casinos virtuales donde robaban datos y dinero de jugadores despistados, así como a personas que planeaban golpes más serios.

"Me hacía pasar por mujer", señaló Antonio. "Así atraía la atención de otras personas y llegué a las salas con información de ataques reales. A partir de ahí me volé muy cabrón".

En el nuevo mundo al que acababa de acceder se topó con bases de datos de cuentahabientes bancarios, pines de tarjetas de crédito, números de seguridad, nóminas de empresas, manuales para la clonación de tarjetas de crédito y débito y estrategias de ingeniería social para lograr que las personas entregaran sus datos de manera voluntaria. Una de los esquemas más comunes que comenzó a emplear en esa época era enviar por correo electrónico o mensajes de texto una liga para abrir un video de Facebook. Se trataba de un clon exacto de la pantalla de inicio de la red social que hacía pensar a la gente que debían reiniciar sesión para ver el contenido deseado. Las víctimas introducían su usuario y contraseña y al dar 'enter', la página se reiniciaba, el clon desaparecía con la información de acceso y las personas podían entrar al sitio real de Facebook. Antonio ya tenía todo lo que necesitaba para ver su perfil.

Otra manera de engañar era a través de un 'gif', esos microvideos tan populares en redes sociales que circulan por millones cada día. Antonio subía varios de ellos a la red, que al darles clic, se activaba un programa que registraba todo lo que las personas teclearan en sus teléfonos por espacio de varios días. Esto lo hacía sobre todo en quincenas, cuando las personas realizan operaciones bancarias desde sus teléfonos y así obtenía nombres de usuario, números de tarjetas, contraseñas, dígitos de seguridad y otros datos que normalmente las personas guardan con recelo.

Poco después, Antonio se adentró un nivel más en el mundo de los fraudes bancarios y conoció en la red cómplices que trabajaban en sucursales bancarias.

"En los casos fuertes con tarjetas siempre hay que tener a alguien adentro", dijo Antonio. "La persona de adentro proporciona los datos para acceso, todos los dígitos de la tarjeta, el PIN, la clave secreta, lo que sea que se necesite para hacer el movimiento". Al preguntarle qué opina de que los bancos sostengan tajantemente que no hay complicidad de sus empleados en ese tipo de operaciones, el hacker simplemente tronó la boca y siguió con su relato.

"Alguien en el banco vende esa información, generalmente trato con cajeros, te vende la información por lotes, en paquetes de 50 tarjetas o 20", detalló. "El precio depende del tipo de tarjetas, si vienen cuentas Premier o Gold. Hay paquetes de 20 mil a 50 mil pesos, pero si vienen cuentas más premium, el precio se puede ir a los 80 mil". Un cajero bancario, en promedio, gana unos 7 mil pesos mensuales, de acuerdo con datos del sector.

A veces, los cómplices en los bancos solo exigían a cambio que les compraran un vuelo con la tarjeta clonada o algún producto electrónico en una tienda departamental. Otras, únicamente cobraban 500 o mil pesos por los datos de una sola cuenta bancaria.

Cuando Antonio mostró que sí tenía las habilidades necesarias para el trabajo, el hombre que lo evaluaba le mostró información de algunas cuentas que habían sido extraídas a través del SPEI, los montos que iban a robar y le explicó que varias de esas cuentas eran de personas que ya habían fallecido y dejaron mucho dinero en el banco.

“Alguien en el banco vende esa información, generalmente trato con cajeros, te vende la información por lotes, en paquetes de 50 tarjetas o 20”

Antonio

Antes de terminar, el hombre le pidió a Antonio que se reuniera la siguiente semana con una de sus socias, una mujer que le daría aún más detalles de lo que tendría que hacer y luego le volvió a repetir: "nunca volverás a trabajar después de esto".

Sin saber que la operación llevaba varias semanas en curso, el miércoles 25 de abril Antonio acudió a un domicilio en el poniente de la Ciudad de México. El hombre que lo había contactado le presentó a una mujer únicamente por su apodo. Era mexicana, joven y sabía mucho de finanzas. Hablaba de operaciones bancarias, transferencias, saldos y le pidió a Antonio que los apoyara a verificar que las cuentas sí tuvieron el dinero que algunos cómplices en los bancos aseguraban que encontrarían. Luego tendría que extraer los recursos y 'pulverizarlos' en varias cuentas, es decir, repartirlo en montos más pequeños en varias tarjetas de débito. La mujer le habló de montos exactos en cuentas específicas y le explicó que no debía hacerse de otro modo para no disparar alertas en los bancos. Antonio debía verificar también la identidad de los dueños de las cuentas que iban a robar a través del hackeo de sus teléfonos y así comprobar su autenticidad.

"Después me habló de la estructura que tenían y vi que esto era grande, entendí que iban a usar empresas que habían creado para depositar parte del dinero y entendí que todo el asunto estaba muy cabrón", relató Antonio. "Luego me enseñaron los montos de algunas de las cuentas que debía 'saldear' y me dijeron que tenía seis horas para partirlo en otras cuentas y ahí es cuando me eché para atrás, no era posible hacerlo sin riesgo".

Según Antonio, explicó que no se sentía confiado para hacer la operación y salió de la casa sin ningún problema. Solamente le pidieron discreción y silencio absoluto.

Dos días más tarde, todo reventó.

El sistema electrónico de pagos mexicano, que por años aseguró estar blindado contra los ciberataques, fue puesto de rodillas en tiempo récord.

Las primeras señales de alerta se empezaron a dar el viernes 13 de abril, cuando la casa de bolsa Kuspit, que opera únicamente de forma electrónica, sufrió el primer ataque a sus sistemas que lo conectan con el SPEI. El 17 de abril, se culminó el robo por alrededor de 3 millones de pesos de esa institución, lo cual la obligó a cerrar operaciones, avisando a sus clientes que estaba en proceso de mejora de sus sistemas y sin informar lo que realmente había sucedido.

Siguió Banjército, que atiende a las fuerzas armadas y que dado su tamaño recibe el apoyo de otras instituciones financieras, como compartir sus cajeros automáticos. Aproximadamente el 24 de abril, los hackers tuvieron acceso a su conexión al SPEI y lograron sustraer una cantidad similar al de la casa de bolsa.

Dos días después iniciaron otro ataque, primero a una pequeña caja de ahorro, que de acuerdo con fuentes cercanas a los hechos los delincuentes usaron como prueba para asegurarse que todo marchaba conforme a lo planeado y seguir adelante con un ataque mayor dirigido a Banorte la tarde y noche del 26 de abril.

Un día más tarde, el viernes 27 de abril, se desató el caos entre los clientes de ese banco que no recibían sus transferencias tras ser desconectados del SPEI y enviados a un procedimiento de contingencia denominado "Cliente de Operación Alterno SPEI" (COAS). La falta de capacitación del personal bancario en ese sistema hizo aún más lentas las operaciones, de acuerdo con las autoridades financieras.

Durante el ataque a Banorte, que derivó en transferencias no reconocidas hasta ese momento contabilizadas en 145 millones de pesos, según fuentes enteradas, la institución fue avisada por Banxico de que algo estaba pasando en su conexión, luego de que un banco de menor tamaño reportó que algo pasaba en el sistema y había operaciones fraudulentas provenientes de la mayor institución financiera mexicana del país. La respuesta de Banorte fue asegurar que no tenían ningún indicio del ataque y su proveedor de conexión al SPEI no había informado de alguna irregularidad. Luego de varias deliberaciones y análisis, Banxico decidió enviar a Banorte al COAS.

Según una autoridad financiera con conocimiento del asunto, parte del problema es que varias instituciones afectadas no avisaron que habían tenido un ataque que derivó en transferencias no autorizadas, como lo estipulan las regulaciones, por lo que creen esto pudo haberse evitado si se hubiera seguido el protocolo establecido. Los bancos apenas acaban de firmar un acuerdo de colaboración con la PGR y acordaron la creación del Grupo de Respuesta a Incidentes de Seguridad de la Información (GRI).

Ese mismo viernes, algunos directores de los principales bancos del país reconocieron que fueron alertados en la madrugada sobre el ataque y de "que le habían pegado a Banorte". Al día siguiente, las autoridades financieras sostuvieron una reunión de emergencia donde reconocieron la gravedad de la situación, sin que tomaran medidas más concretas o directas para atender el asunto. De hecho, se creía que lo peor ya había pasado pese a que ninguno de los bancos afectados lograba identificar el 'hoyo' por el cual ingresaron los hackers a sus sistemas. Días más tarde, los delincuentes sustrajeron alrededor de 150 millones de pesos de Inbursa, propiedad de la familia Slim, y una pregunta comenzó a tomar fuerza: ¿A dónde fue a parar el dinero?

Hay una dueña de una tienda en el oriente de la Ciudad de México que sabe la respuesta. Se hace llamar Leticia y los primeros días de abril fue contactada por uno de sus proveedores para ver si estaba interesada en ganar dinero por hacerle un favor. "Me dice que son como 20 mil pesos los que me iban a dar solo por hacer un retiro de mi cuenta, que ahí me iban a depositar un dinero de uno de sus familiares pero como él no podía retirarlo, tenía que hacerlo yo", señaló en entrevista. "Dinero así de fácil, ¿pues quién no?" .

Pasó una semana sin que su proveedor le hiciera mención del depósito y ella no insistió en el asunto. Finalmente, el viernes 27 de abril recibió una llamada de él indicándole que ya tenía en su cuenta el dinero y en dos horas iba a pasar por ella para llevarla a hacer el retiro. Dejó la tienda encargada a su hijo y camino a la sucursal preguntó de cuánto tenía que hacer el retiro en el cajero.

"Se rió y me dijo: 'No, señora, en el cajero no, tiene que ir a la ventanilla para sacar más, son como 70 mil pesos", relató Leticia. "En ese momento la verdad me dio nervio, no porque no supiera de dónde era el dinero, ese era asunto suyo, sino ya ve cómo andan los asaltos".

Leticia no tuvo problemas para sacar el dinero, la operación demoró un poco porque debían contar el efectivo. Cuando se lo dieron lo metió en su bolsa y salió a encontrarse con su inesperado socio.

"Subimos al carro y arrancamos rápido, traía prisa", dijo. "Una vez que llegamos a la tienda contó el dinero, separó unos billetes y me los dio".

No eran los 20 mil pesos prometidos, eran apenas 6 mil en billetes de 200 y 500. Leticia se sintió decepcionada pero no quiso reclamar, era dinero por el que solo había tenido que ir al banco y hacer un retiro, era dinero gratis, según ella. Aun así, le preguntó amablemente a su proveedor por el resto del dinero y éste le contestó que no le había llegado la transferencia completa, pero que luego la compensaba con algo más.

Leticia escuchó del hackeo días más tarde en la televisión y se puso muy nerviosa cuando leyó en Facebook que 'el gobierno' ya tenía identificadas las cuentas de las cuales se hicieron los retiros del robo. Ha preguntado con amigos si debería decir algo, pero todos le han sugerido silencio, que si no 'le mueve' seguro que no pasa nada. De cualquier modo anda intranquila por lo que pudiera pasarle en los siguientes días.

Aun así, hace poco le dijo su proveedor que podrían caer más transferencias y podría llevarse un porcentaje mayor. Leticia le dijo que lo iba a pensar.

Advertising
Advertising