A finales de 2013, un cajero automático en Kiev comenzó a dispensar efectivo de forma aleatoria sin que -aparentemente- nadie hubiera utilizado una tarjeta de crédito ni hubiera tocado un solo botón del ATM. Las cámaras mostraron que algunos “clientes” tuvieron la “suerte” de aparecer por allí en el momento adecuado para retirar el dinero.

Cuando personal de Kaspersky Lab se desplazó a Ucrania para investigar descubrió que el cajero automático era el menor de los problemas de este banco y de otros, ya que formaba parte de un plan de una banda apodada “Carbanak” que habría robado directamente a 100 instituciones financieras, 300 millones de dólares confirmados aunque se sospecha que la cantidad real sería el triple.

Carbanak consiguió acceder a la red interna y de vigilancia de los bancos a través de empleados de los mismos a los que había atacado bajo técnicas “spear phishing”. El grupo inflaba las cuentas para realizar transacciones fraudulentas y programaba los cajeros remotamente para que “escupieran” metálico a una hora programada que era recogido por algunos de sus miembros.

The New York Times dice que robo alcanza a 100 instituciones financieras de 30 países, especialmente Rusia, Japón, Estados Unidos y otros países europeos.

Ninguno de estos bancos ha reconocido el robo ni presentado denuncia alguna. Este silencio está motivado por la reticencia de las empresas a reconocer que sus sistemas de seguridad fueron violados con aparente facilidad y porque se sospecha que estos ciberataques continúan.

El mismo Obama ha instado la aprobación de una ley que requeriría la divulgación pública de cualquier incumplimiento que hubiera comprometido la información personal o financiera. Ya vimos en el Día de la Protección de Datos en Europa, el enorme reto que supone la protección de datos para gobiernos, empresas y usuarios. La era de la movilidad, la explosión del ‘Big Data’ y la Internet de las Cosas pondrá la seguridad y la privacidad.

Fuente: muyseguridad