Cae en España el jefe de los ciberatracadores que estafaron 1.000 millones a la banca
La Policía detiene en Alicante al cabecilla ruso-ucraniano de un grupo que se infiltraba desde 2014 en los sistemas informáticos de entidades extranjeras
Denis K., un “genio de la informática”, según lo definen los investigadores, fue detenido el 6 de marzo en Alicante. El sospechoso —con doble nacionalidad ruso-ucraniana— había traído de cabeza a la policía española, europea y de otros países como líder de una banda creadora de virus que atacaban principalmente a bancos rusos. Según cálculos de la empresa de ciberseguridad rusa Kaspersky, los daños ascendieron a 1.000 millones de dólares (unos 800 millones de euros).
El detenido, residente en Alicante desde octubre de 2014, lideraba una banda que desarrollaba virus informáticos destinados a infectar los sistemas informáticos de los bancos. Según explicó el comisario jefe de la Unidad de Investigación Tecnológica (UIT), Rafael Pérez, el grupo liderado por Denis K. —casado, con una licenciatura superior en informática y con un nivel de vida elevado en Alicante— se infiltraba en los bancos para vaciar los cajeros a distancia, modificar cuentas haciendo transferencias de alto valor o alterar los saldos de los depósitos abiertos por su organización criminal.
Una vez hecho el desfalco, el líder cambiaba el dinero logrado a criptomonedas. Los investigadores creen que llegó a atesorar 15.000 bitcoins —que, a su cotización actual, equivaldrían a más de 120 millones de euros; pero que a finales del año pasado se pudieron cambiar incluso por casi 300 millones—. El hecho de que los fondos estén en criptomonedas hace muy difícil su recuperación por la opacidad de estas divisas y la imposibilidad de acceder a ellas sin conocer la clave secreta que los guarda. El informático disponía de una enorme infraestructura de minado de bitcoins para lavar los fondos procedentes de las actividades ilegales.
La banda liderada por Denis K. tenía una doble estructura. Por una parte, el bloque técnico, liderado por el detenido y formado por otras tres personas, se ocupaba de diseñar los virus que eran enviados por correos electrónicos masivos haciéndose pasar por empresas con las que los bancos tenían relaciones. Una vez descargados los ficheros que contenían estos correos —normalmente en formato .RTF o .DOC—, entraba en acción otro miembro de la banda responsable de escalar privilegios dentro del sistema informático. Era en ese momento cuando los ciberatracadores podían cometer fraudes para acceder a las cuentas y sistemas de los bancos, prácticamente todos los existentes en Rusia, aunque también algunos de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwán. En cada ataque a un banco, los criminales solían obtener una media de un millón y medio de euros.
Cajeros de Madrid
La otra pata del equipo la formaban las llamadas mulas. Su labor era acudir a los cajeros hackeados para recoger el dinero estafado. Pese a que la banda no defraudó a ninguna entidad financiera española, sí actuó en suelo nacional. Durante el primer trimestre de 2017, extrajeron de forma fraudulenta medio millón de euros de cajeros situados en el centro de Madrid —pero desde cuentas de bancos generalmente rusos—, actividad para las que necesitaban a las mulas, todos integrantes de un grupo mafioso moldavo.
Desde que empezaron a actuar hace cinco años, Denis K. y su banda había desarrollado tres tipos de virus. Entre 20013 y 2017 diseñaron los llamados anunak (más primitivo) y carberp (con más capacidad de destrucción). A medida que las empresas iban desarrollando mecanismos de detección, los informáticos-delincuentes creaban nuevos —y más peligrosos— instrumentos. Es el caso de Cobalt Strike, con la que atacaron ya no solo bancos rusos sino de otras antiguas repúblicas soviéticas y Taiwán. Desde 2017, Denis K. trabajaba en una nueva herramienta que en el momento de su detención no había sido usada aún. Cuando ya estaba a punto de ser operativa, el grupo probó su efectividad para introducirse en los sistemas operativos de bancos de todo el mundo, incluidos los españoles, sin ser detectados. Con este nuevo virus tenían previstos atracos inminentes, pero la operación de la Policía Nacional desbarató sus planes.
En rueda de prensa, el ministro del Interior, Juan Ignacio Zoido, felicitó a los responsables de la operación. “Estamos ante una de las operaciones más importantes de la Policía Nacional por la trascendencia internacional del cibercriminal detenido”, dijo el ministro. El operativo fue coordinado la Europol y por la Fiscalía Especializada de Criminalidad Informática.
El único detenido en suelo español fue Denis K., que ha ingresado en prisión por orden del juez de la Audiencia Nacional Manuel García-Castellón. No obstante, los responsables policiales restaron importancia al hecho de que fuera solo uno el detenido, e insistieron en su capacidad para causar daños millonarios a la industria financiera. Pese al éxito policial, la operación no ha contribuido hasta ahora a recuperar el dinero estafado. Los agentes le requisaron un piso y un chalet por valor de un millón de euro y joyas por 500.000 euros.
Un reto cada vez mayor para la seguridad nacional
La detención de Denis K. y su banda muestran hasta qué punto la ciberseguridad y el blanqueo de dinero a través de criptomonedas es un reto creciente para los responsables policiales y judiciales de los países industrializados. El ministro del Interior, Juan Ignacio Zoido, cifró en más de 500 las investigaciones en marcha sobre delitos cibernéticos y en más de 300 los detenidos en los últimos meses por estos motivos.
“La ciberseguridad es ya uno de nuestros objetivos estratégicos. Las redes sociales son magníficas en el día a día, pero cada vez se usan más como herramientas para cometer delitos, desde pequeñeces hasta fraudes que puedan poner incluso en riesgo la seguridad nacional”, aseguró el ministro Zoido en la rueda de prensa donde presentó con orgullo la caída del líder de la banda de ciberatracadores. Todo apunta a que la detención de Denis K., del que se han encontrado un pasaporte ruso y otro ucranio, no va a ser la última de estas características.
