El mayor ciberatraco de la historia no fue solo obra de unos ciberladrones experimentados. Varios ejecutivos del banco atracado cobraron de la banda de ciberdelincuentes que logró birlar 81 millones de euros al Banco Central de Bangladés el pasado febrero utilizando el sistema de transacciones bancarias SWIFT (Society for Worldwide Interbank Financial Telecommunication), que usan todos los bancos del mundo y cuya seguridad podría haber quedado en entredicho tras el incidente, según la agencia Reuters.

Los ladrones obtuvieron los 81 millones de dólares a partir de varios ataques que durante diez meses aprovecharon brechas de seguridad en los sistemas de mensajería del consorcio SWIFT, propiedad de los propios bancos que lo utilizan, tanto centrales como privados. Lograron que el Banco Central de Bangladés emitiera, desde los fondos que tenía en la Reserva Federal estadounidense en Nueva York, transferencias hacia un banco comercial filipino, por lo que los bangladesís han acusado a filipinos y estadounidenses de ser responsables. Y estos a su vez han acusado a los bangladesís de haber descuidado su seguridad.

El robo no fue mayor --los atacantes hicieron peticiones de 951 millones de dólares-- porque los ladrones fueron torpes. Algunas órdenes de pago falsas que emitieron fueron rechazadas por defectos de forma y otras porque incluyeron una palabra (Jupiter) que pertenecía a una compañía petrolera iraní, país contra el que EEUU mantenía un embargo comercial, y la Fed las bloqueó o las devolvió. Las que no tenían esa palabra ni podían supuestamente relacionarse con Irán, colaron, según Reuters.

El consorcio SWIFT, que gestiona decenas de miles de millones de dólares diarios, ya advirtió el pasado 2 de noviembre en una circular a sus asociados de que se estaban produciendo ataques cibernéticos a todo el sistema bancario mundial de una naturaleza cada vez más sofisticada.

El método era, según SWIFT, una de las llamadas «amenazas continuas persistentes» (las temidas APT), es decir, las que utilizan distintas tácticas para lograr un único objetivo, en este caso el sistema bancario global. Los atacantes van sofisticando métodos y programas hasta encontrar la forma de acceder a los sistemas informáticos o de conseguir sus fines engañando a las personas o a las máquinas, pero la víctima siempre es la misma.

Pero el supuesto ataque cibernético supersofisticado ha sufrido recientemente un giro inesperado. Los investigadores acusan a algunos ejecutivos de rango medio del Banco Central de Bangladés de exponer deliberadamente sus ordenadores a la acción de los ciberladrones y anuncian detenciones para los próximos días. Por lo visto, no solo habían descuidado los sistemas informáticos sino que cedieron a programas de tipo malware.