El mayor ciberataque de la historia fue más financiero que tecnológico

En abril de 2014, la ciberseguridad mundial fue sacudida por el descubrimiento de Heartbleed, el nombre dado a una vulnerabilidad hallada en uno de los sistemas que usamos para comunicarnos con seguridad en internet.

En aquel momento, como suele ser el caso de las nuevas vulnerabilidades, no teníamos ni idea de la forma en la que se explotó.

En lo que los investigadores llaman el mayor robo de datos de clientes de instituciones financieras de la historia, Heartbleed fue utilizada para obtener acceso a una firma financiera que ha sido apodada como Víctima 2, con sede en Boston. Pero este es sólo una porción de este enorme ataque.

Ingeniería social

El daño real parece que fue hecho con un poco de ingeniería social, ejecutada de tal manera que muestra lo difícil que es defenderse de determinados delincuentes cibernéticos.

Según los investigadores, los hackers tuvieron acceso a varias redes pertenecientes a JP Morgan y a otras seis instituciones financieras estadounidenses, haciéndose con datos personales que utilizaron para manipular precios de las acciones.

Noticias financieras

Otros hacks tuvieron como blanco organizaciones de noticias financieras. Los tres acusados, identificados como Gery Shalon, Joshua Samuel Aaron y Ziv Orenstein, se enfrentan a 23 cargos.

Según los fiscales, así fue como lo hicieron: la técnica de hacking a menudo implicó el uso de cuentas legítimas pertenecientes a Joshua Aaron.

Datos de clientes

El uso de este acceso legítimo, como si Aaron fuera un cliente habitual, allanó el camino para que los hackers accedieran a las redes y sistemas que contienen grandes cantidades de datos sobre otros clientes, de personas que estaban invirtiendo en acciones.

En el transcurso de varios años, robaron datos personales de más de 100 millones de personas.

Expectativas bursátiles

Los hackers no accedían a los datos bancarios. Ni los necesitaban ni los querían. Los investigadores dicen que utilizaron los datos personales para enviar información a direcciones de correo electrónico de los jefes, promocionando acciones que habían comprado baratas.

De esta manera el precio de las acciones aumentaba y los hackers las vendían.

Es una técnica conocida como pump and dump, que involucra la inflación en el precio de una acción comprada barata, mediante la manipulación o falsificación de información, para venderla a un precio más alto.

¿Podrían los bancos haber hecho más? Es difícil de decir.

Hubo al menos un momento cuando una empresa se dio cuenta de que algo andaba mal pero no fue capaz de hacer nada. Los hackers estaban usando un servidor remoto en Egipto para acceder a la red de la Víctima 3, una firma de servicios financieros con sede en Omaha, Nebraska.

Desde Egipto

El servidor remoto fue utilizado para iniciar una sesión en la cuenta que el acusado Aaron tenía de Víctima 3. Cuando el personal de información de seguridad en la empresa se dio cuenta de la ubicación extraña de inicio de sesión, la cuenta de Aaron fue bloqueada.

Pero, según los documentos del tribunal, Aaron llamó a Víctima 3 tras ser notificado de que su cuenta había sido bloqueada, y cuando un representante de los servicios al cliente le preguntó si había estado viajando por Egipto en marzo de 2014, Aaron dijo que sí.

Casinos ilegales

Los investigadores lo han calificado como el mayor robo de datos de clientes de instituciones financieras de la historia. Pero eso no es todo de lo que estos hombres son acusados de haber hecho.

Según los documentos judiciales, además de la manipulación de valores, y dirigir una plataforma de negociación Bitcoin para ayudar a lavar el dinero en efectivo, los acusados manejaban casinos ilegales en línea, vendían software antivirus falso y estaban a cargo de una estafa a ancianos a través de internet que consistía en ofrecerse a la compra de productos farmacéuticos.

Todo esto añadido a un botín de unos 100 millones de dólares, mantenidos a buen resguardo en Suiza.