El masivo ciberataque contra JPMorgan y otros gigantes de EE.UU. fue una operación sin precedentes que deja invalorables lecciones

By Brian Monroe
3 de diciembre de 2015

Las recientes acusaciones en EE.UU. contra tres israelíes señalados de planear un masivo ardid de piratería y fraude internacional que generó cientos de millones de dólares en ganancias ilícitas revelan que algunos elementos clave para sus grandes planes eran banqueros corruptos e incluso una cooperativa de crédito deshonesta.

Los investigadores y analistas señalan que el caso no tiene precedentes, ni por su alcance, complejidad ni uso creativo de una infinidad de diferentes fuentes de financiación; tales como violaciones de datos, estafas bursátiles con acciones de centavos — penny stock scams–, juegos de azar en línea, firmas de procesamiento de pagos y uso de Bitcoin. Los esquemas de fraude apuntaron a muchas de las organizaciones de banca, comercio y medios de comunicación más importantes del país, entre ellos JPMorgan, TD Ameritrade y News Corp., propietaria de The Wall Street Journal.

En documentos de la corte, los fiscales acusaron a Gery Shalon, Josué Samuel Aaron y Ziv Orenstein en una acusación formal de 23 cargos de presuntos delitos que abarcan 12 empresas, entre ellas nueve empresas de servicios financieros y medios de comunicación, llevándose datos de más de 100 millones de personas, unos 80 millones de éstos provienen de la filtración de datos en JPMorgan. Para leer las acusaciones, por favor haga clic aquí y aquí.

El caso es más complejo que los típicos esquemas de hacking o violaciones de datos, señala Danielle Camner Lindholm, directora de estrategia de Tecnologías Whitehorse, una consultoría de cumplimiento y seguridad cibernética, y una profesional con un profundo conocimiento de los problemas del sector público y privado en las áreas de defensa, inteligencia, investigaciones y servicios financieros.

«Esta historia tiene todo», señala, y agrega que hay varios puntos clave que hacen de esta investigación un caso único. «Esto realmente no fue un esquema de piratería típico. La verdadera historia es la sofisticación y diversificación de los delincuentes, el valor que ponen en los datos y su conocimiento del sistema bancario y las medidas que se utilizarían para contrarrestarlos».

Las acusaciones muestran una operación muy eficiente y de varios frentes que hackeó bancos y casas de bolsa para obtener información sobre clientes como por ejemplo los gastos de éstos e información comercial y de transacciones, luego utilizó esa información para establecer vínculos con las posibles víctimas para luego venderles acciones con precios artificialmente inflados.

«Esta investigación es indicativa de la sofisticación y complejidad de la ciberdelincuencia y las organizaciones criminales transnacionales que son responsables de ella», dijo el Servicio Secreto agente especial a cargo de Robert Sica.

En números: un juego internacional con más disfraces que “Misión Imposible”

US$?00 millones: La cifra global de los fondos ilícitos generados en los esquemas está en los cientos de millones de dólares. Entre 2007 hasta aproximadamente julio de 2015, Shalon y sus cómplices obtuvieron ganancias ilícitas por cientos de millones de dólares, de las cuales Shalon ocultó al menos US$ 100 millones en cuentas bancarias en Suiza y otros países.

100 millones: Los hackeos resultaron en la captura de información personal de más de 100 millones de clientes, 80 millones en un banco solo, JPMorgan.

75: El número de compañías fantasmas. Shalon, Aaron, Orenstein y sus cómplices operaban sus esquemas criminales, y lavaban sus ganancias ilegales, a través de por lo menos 75 cuentas bancarias, de corretaje y empresas fantasmas en todo el mundo.

200, 30 y 16: el número vertiginoso de identidades y documentos falsos que utilizaron los tres hombres para tratar de mantenerse un paso adelante de bancos y empresas de tarjetas de crédito que intentaban cerrar sus cuentas, investigarlos o informar de sus actividades a las autoridades.

«Los acusados controlaban estas empresas y cuentas utilizando seudónimos, y utilizando de manera aproximadamente 200 documentos de identificación falsos, incluyendo más de 30 pasaportes falsos que supuestamente fueron expedidos por Estados Unidos y por lo menos otros 16 países», según documentos judiciales.

Shalon también se jactaba de la perfección de su plan con sus compatriotas, según la acusación.

«Compramos [por ejemplo, las acciones] muy baratas, las manipulamos, y luego jugamos con ellos», dijo a un individuo apodado cómplice 1. Cuando esta persona le preguntó a Shalon sobre su capacidad para hacer que las personas en Estados Unidos compren las acciones, si realmente era «popular en Estados Unidos – la compra de acciones,» Shalon respondió, «Es como beber vodka en Rusia».

Los fiscales dicen que lavó los fondos a través de bancos internacionales, 75 compañías pantallas y cientos de documentos de identidad falsos.

El esquema también incluyó casinos en línea supuestamente propiedad del grupo, una firma ilegal de procesamiento de pagos para ayudar a su operación criminal y otros en el movimiento de dinero sucio del casino y un cambista de Bitcoin, Coin.mx, que esquivó las obligaciones ALD para mover monedas reales y virtuales ilícitas para el grupo y otras redes de delincuentes.

Anatomía del caso: Cómo los hackers hicieron el dinero. Parte 1 – Fraudes de compraventa de acciones (Pump and Dump)

Paso 1: Ingresar en un importante depósito de información sobre personas, en este caso bancos y casas de bolsa. Esto dio como resultado el robo de información personal de más de 100 millones de clientes, incluyendo nombres, direcciones, números de teléfono y otros datos. Obtuvieron información de 80 millones en JPMorgan, aunque aparentemente no obtuvieron los números de Seguro Social.

Paso 2: Crear y comprar grandes cantidades de micro acciones que cotizan en bolsa, a las que se refiere típicamente como acciones centavos o penique, penny stocks. Éstas se pueden comprar directamente o pueden ser producidas mediante «fusiones inversas» con otras empresas fantasmas que cotizan en bolsa, en este caso, controladas por los delincuentes. Asegurarse de utilizar los seudónimos, pasaportes falsos e información de identidad falsa. También, ocultar la información sobre la propiedad efectiva o los beneficiarios finales.

Paso 3: Para manipular artificialmente el volumen de operaciones y los precios de estas acciones, los delincuentes consiguen cómplices que comercializan las acciones durante un período de unos 15 días, incrementando el volumen y precio. Luego, en momentos precisos, envían mensajes no solicitados en masa, tales como mensajes spam a millones de individuos que se originaron en los datos hackeados, y promocionan las acciones, engañando a estos individuos para que las compren al precio inflado.

Paso 4: Trabajan con promotores e intermediarios inescrupulosos, que no le interesa por qué la acción está creciendo tan rápido o detalles/información sobre las entidades y personas involucradas, y se aseguran de pagarles la puntualmente lo que corresponde.

Si los potenciales clientes preguntaban de dónde obtenían la información, dicen cosas como que la información provenía de «base de datos de los inversores». También utilizaban la información robada de transacciones comerciales y tarjetas de crédito  para formar una relación de confidencia con las futuras víctimas, para construir confianza.

Paso 5: Abrían muchas y lejanas cuentas bancarias y mentían a los bancos y compañías de tarjetas de crédito sobre la naturaleza de las operaciones, en algunos casos por ejemplo el grupo señaló que los fondos eran para cosas como vestidos de novia, alimentos para mascotas, artículos de colección y otros objetos.

Paso 6: Encontraban banqueros corruptos. El grupo también utilizó «corruptos funcionarios bancarios internacionales» que voluntariamente esquivaban sus obligaciones de debida diligencia, monitoreo y presentación de informes. La acusación también menciona fondos «enviados desde cuentas bancarias en Azerbaiyán a una cuenta bancaria en Suiza controlada por Shalon en nombre de otra empresa fantasma».

Los delincuentes, según la acusación, «lavaron las ganancias producto de sus actividades delictivas en el extranjero, dirigiendo millones de dólares de sus ganancias sucias a cuentas en Chipre para su posterior distribución, en parte, a la cuenta de una empresa fantasma con sede en Chipre, propiedad de Aaron y a otras cuentas de compañías fantasmas en el extranjero propiedad de Shalon y controladas por él y otros miembros del ardid».

Bravo mundo nuevo para el hackeo

«Los delitos imputados muestran un nuevo mundo de la piratería informática con fines de lucro», señaló el fiscal federal de EE.UU. Preet Bharara. «Ya no es la piratería simplemente para una ganancia rápida, sino la piratería para apoyar una organización criminal diversificada. Esta fue piratería como modelo de negocio. La supuesta conducta también señala un nuevo escenario en el campo de fraude de valores: piratería sofisticada para robar información privada, algo que los acusados conversaron sobre el próximo paso en la empresa delictiva».

Los cargos lo muestran a Shalon como el líder de la banda, quien lideró operaciones de hackeo desde 2012 contra 9 compañías y, junto con Orenstein, de haber dirigido desde 2007 por lo menos 12 casinos ilegales de Internet.

La acusación contra Shalon, Orenstein y Aaron incluye cargos de piratería informática, fraude de valores y electrónico, robo de identidad, juego ilegal Internet y conspiración para cometer lavado de dinero.

El caso también da una visión del juego del gato y el ratón en versión digital entre los criminales, los hackers tratando de conseguir y mantener cuentas de servicios bancarios y financieros –a través de una combinación de mentiras, hacking y un implacable campaña para encontrar bancos y regiones con los controles de cumplimiento débiles— y los funcionarios de cumplimiento e investigadores de fraude tratando de mantenerlos fuera del sistema financiero internacional.

En uno de los intentos más descarados para obtener información, el grupo, aproximadamente en 2012, «se infiltró en las redes informáticas de una compañía estadounidense –víctima 12—que evaluaba el riesgo y cumplimiento de los comerciantes, incluyendo la detección de comerciantes que aceptaban pagos de tarjetas de crédito para bienes o servicios ilegales».

Tras la filtración, el grupo podía descubrir lo que otros sabían de ellos en «forma permanente» monitoreando «los esfuerzos de detección de la víctima 12, incluyendo la lectura de mensajes de correo electrónico de los empleados de la víctima 12, y de esta manera podía tomar medidas para evadir la detección por parte de esta víctima 12 sobre su esquema de procesamiento de pagos ilegales».

«Tal como se expone en la acusación, los tres acusados perpetraron uno de los mayores robos de datos financieros de la historia», señaló la Procuradora General de EE.UU. Loretta Lynch.

Anatomía del caso: Cómo los hackers hicieron el dinero. Parte 2 – Procesadores de Pago, Cambistas de Bitcoin y juegos en línea

El juego online: desde 2007 hasta alrededor de julio de 2015, Shalon, Orenstein y sus cómplices operaron al menos una docena de casinos de internet ilegales en Estados Unidos y en otros lugares a través de cientos de empleados en varios países, generando «cientos de millones de dólares en ingresos ilegales».

Procesamiento de pago: desde 2011 hasta alrededor de julio de 2015, Shalon, Orenstein y sus cómplices operaron  IDPay y Todur, procesadores de pagos multinacionales para los delincuentes que buscaban recibir pagos por tarjetas de crédito y débito para fomentar sus actividades ilegales.

A través de estos procesadores de pagos, Shalon, Orenstein y sus cómplices «procesaron a sabiendas pagos con tarjetas de crédito y débito de por lo menos, distribuidores farmacéuticos ilegales, proveedores de productos falsificados software malicioso «antivirus», sus propios casinos de internet ilegales y Coin.mx, un cambista ilegal de Bitcoin con sede en Estados Unidos propiedad de Shalon».

Al hacerlo, Shalon, Orenstein y sus cómplices a sabiendas procesaron cientos de millones de dólares en  transacciones de esquemas delictivos, de los que obtuvieron un porcentaje de cada transacción.

Cambista de Bitcoin: Desde 2013 hasta aproximadamente julio de 2015, Shalon fue propietario de Coin.mx, que era operado por Murgio en Estados Unidos bajo la dirección de Shalon en violación de las leyes antilavado de dinero de EE.UU.

A través Coin.mx, Shalon, Murgio y sus cómplices permitieron a sus clientes intercambiar efectivo por Bitcoins, cobrando una tarifa por sus servicios. En total, entre octubre de 2013 y julio de 2015, Coin.mx cambió millones de dólares por Bitcoins en nombre de sus clientes.

Cooperativas de crédito

El grupo también utilizó el soborno, la corrupción y el dinero en efectivo para encontrar una manera más directa en el sistema financiero, en este caso por la cooptación de una cooperativa de crédito.

Aproximadamente en 2014, en un «esfuerzo para evadir potencial escrutinio por parte de estas instituciones y otros, los cómplices de Shalon adquirieron el control de una cooperativa de crédito, nombraron cómplices en la Junta Directiva de la cooperativa de crédito, y transfirieron las operaciones bancarias de Coin.mx a la cooperativa de crédito, que dirigían los cómplices de Shalon, por lo menos hasta principios de 2015, utilizando de esta manera la cooperativa de crédito como un banco cautivo para sus negocios ilegales».

Los criminales esperan que los bancos tengan un enfoque fragmentado de sus esquemas, que no conecten los puntos o crucen información durante semanas, meses o años, señala Lindholm, y agrega que uno de los desafíos de este grupo delictivo era intentar mantenerse a la vanguardia de los equipos de investigación de los bancos y tarjetas de crédito que intentaban cerrar sus cuentas.

El caso es «masivo en su alcance y geografía», dijo Lindholm, quien agregó que también destaca la importancia de reportar cualquier violación de los datos ante las autoridades ya que esa violación puede ser «ser sólo la punta del iceberg. Se debe informar y no preocuparse por el riesgo reputacional hoy, sino por el daño que se podría hacer mañana si no está colaborando» con las autoridades.

«Lo que no puede ser un patrón para usted, puede ser un patrón a la policía una vez que ven todo el cuadro».