Ministerio del Interior
Alicante, 26/03/2018
En un operativo de la Policía Nacional coordinado por EUROPOL y la Fiscalía Especializada de Criminalidad Informática
El ministro Zoido destaca la importancia de la operación policial por la transcendencia internacional del cibercriminal detenido, que logró acceder junto con otros tres colaboradores a prácticamente todos los bancos de Rusia y llegó a realizar extracciones en cajeros de Madrid por un importe de medio millón de euros
Denis K, de nacionalidad ucraniana, es el «cerebro» de un grupo de cibercriminales que tomaba el control de los sistemas informáticos de entidades bancarias de modo que podían vaciar los cajeros de forma remota, modificar cuentas destinatarias en transferencias de alto valor o alterar los saldos de cuentas controladas por ellos
Los beneficios obtenidos con cada ataque, que superaban el millón y medio de dólares de media, eran convertidos inmediatamente en criptomonedas con el fin de facilitar su movimiento en una red internacional de blanqueo de capitales
Infectaban los ordenadores de empleados del banco con un software malicioso para escalar privilegios dentro del sistema comprometido y moverse lateralmente a otros dispositivos de la red interna bancaria, hasta que tomaban el control de sistemas críticos del banco
Agentes de la Policía Nacional, en un operativo coordinado por EUROPOL y la Fiscalía Especializada de Criminalidad Informática, han detenido en Alicante al «cerebro» de una organización presuntamente responsable de centenares de ciberatracos a entidades bancarias de todo el mundo cometidos desde España mediante sofisticados ataques informáticos y que sustrajo «más de 1.000 millones de dólares».
El arrestado, Denis K., de nacionalidad ucraniana, junto con otros tres miembros de la organización, de nacionalidades rusa y ucraniana, infectaban con un software malicioso los sistemas informáticos de entidades bancarias, principalmente rusas, pero también de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan, tomando el control de los sistemas críticos que les permitía vaciar cajeros de forma remota, alterar saldos o modificar cuentas
En el caso de España, la organización criminal atacó durante el primer trimestre de 2017 cajeros situados en el centro de Madrid realizando extracciones fraudulentas por un valor de medio millón de euros. «Estamos ante una de las operaciones más importantes de la Unidad Central de Ciberdelincuencia de la Policía Nacional por la transcendencia internacional del cibercriminal detenido», subrayó el ministro del Interior, Juan Ignacio Zoido, durante una comparecencia pública para informar de este «complicadísimo trabajo de investigación».
1,5 millones de dólares de media en cada operación
Desde que comenzaron a operar en el año 2013 este grupo de delincuentes logró acceder a prácticamente todos los bancos de Rusia. Los beneficios obtenidos con cada ataque, que superaban el millón y medio de dólares de media, eran convertidos inmediatamente en criptomonedas con el fin de facilitar su movimiento en una red internacional de blanqueo de capitales.
En el registro realizado en el domicilio del detenido se han intervenido equipos informáticos, joyas valoradas en 500.000 euros, diversa documentación y dos vehículos de alta gama, entre otros efectos. Además se han bloqueado cuentas bancarias y dos viviendas valoradas en cerca de 1.000.000 de euros.
La investigación iniciada a principios de 2015 ha resultado especialmente compleja al tener que conjugar técnicas de investigación tradicionales contra el crimen organizado y novedosos métodos para la búsqueda de indicios probatorios en infraestructuras cibernéticas y el uso de criptomonedas. Los investigadores españoles han contado con el apoyo operativo del FBI y de Interpol.
La Unidad de Ciberdelincuencia, prestigiosa en el mundo
El ministro del Interior, Juan Ignacio Zoido, ha resaltado la importancia de esta operación, «una de las más importantes de la Unidad de Ciberdelincuencia de la Policía Nacional», por la transcendencia internacional del cibercriminal detenido. «Quiero que sepan—dijo en la rueda de prensa en la que se detalló la operación policial—que contamos con una de las unidades de Ciberdelincuencia más prestigiosas del mundo».
Zoido recordó que esta Unidad ha trabajado durante 2017 en más de 500 investigaciones vinculadas a delitos en la red como estafas, blanqueo de capitales, delitos contra la propiedad intelectual e industrial, suplantaciones de identidad o pornografía infantil, con la detención de 383 personas.
Lideraba la organización de ciberdelincuentes desde el año 2013
El arrestado dirigía esta organización criminal desde España creada a finales del año 2013 e integrada por otros tres individuos con los que había establecido contacto a través de foros en Internet y con los que no mantenía contacto personal alguno.
A pesar del elevadísimo nivel técnico de sus integrantes, los ciberdelincuentes necesitaban el apoyo de otros grupos criminales para coordinar el trabajo de las «mulas» encargadas de las extracciones de dinero en efectivo de los cajeros automáticos que atacaban en diferentes países. Hasta el año 2015 fue la mafia rusa la encargada de este cometido y a partir de 2016 lo hizo la mafia moldava.
Softwares maliciosos
Desde su constitución hace cinco años los cibercriminales evolucionaron el software malicioso empleado en sus ciberataques. Entre 2013 hasta mediados de 2017, la banda criminal desarrolló varios de ellos, denominados anunak y carberp, que cambiaron cuando las empresas de seguridad desarrollaron mecanismos de detección. A partir de ahí decidieron desarrollar una nueva herramienta, denominada Cobalt Strike, de acceso remoto, que utilizó la organización como parte de sus ciberataques. Durante este periodo, no sólo atacaron a bancos de Rusia, sino que ampliaron su actividad criminal a otras entidades de antiguas repúblicas soviéticas e incluso a Taiwán.
Desde mediados del año 2017 la organización criminal se centró en el desarrollo de una nueva herramienta indetectable que tenía mayores capacidades y sofisticación. Cuando tuvieron disponible una versión de evaluación probaron su efectividad para penetrar en los sistemas de entidades bancarias de todo el mundo (incluidas entidades españolas), teniendo previsto utilizarla para sus ciberatracos de forma inminente. Los investigadores han logrado obtener una muestra de este nuevo software durante el análisis de los dispositivos informáticos intervenidos al detenido.
Correos infectados con un código malicioso
El modus operandi utilizado desde el inicio de sus actividades criminales era similar. El ataque comenzaba con el envío masivo de correos electrónicos fraudulentos suplantando la identidad de organismos o empresas legítimas y dirigidos a una multitud de direcciones de correo electrónico de empleados de entidades bancarias de todo el mundo. Estos correos adjuntaban un fichero, generalmente en formato .RTF o .DOC, que contenían un código malicioso que hacía posible explotar alguna vulnerabilidad no actualizada en los sistemas informáticos de las víctimas.
Una vez el empleado recibía el correo electrónico y abría el fichero adjunto, y en aquellos casos en los que la vulnerabilidad no se encontraba debidamente actualizada en el ordenador del empleado, se ejecutaba en su ordenador un código malicioso. Este iniciaba la descarga de un paquete del software que permitía, posteriormente, el control remoto del mismo desde servidores de comando y control.
Desde el ordenador infectado del empleado intentaban escalar privilegios dentro del sistema comprometido y se movían lateralmente a otros dispositivos de la red interna bancaria, hasta que tomaban el control de sistemas críticos del banco (sistema de transacciones o infraestructura de cajeros automáticos). Una vez los cibercriminales conseguían el control, manejaban a su antojo los cajeros automáticos ordenándoles remotamente que expidieran dinero, ejecutaban modificaciones de saldo en cuentas concretas para realizar posteriormente extracciones con tarjetas asociadas, o desviaban transferencias de grandes cantidades de dinero a cuentas de la organización.
Control de los bancos de Rusia
La selección de las entidades bancarias objetivo se hacía en función del interés que presentaban para la organización, de acuerdo a parámetros de capacidades económicas e informáticas. De la investigación se deduce que, a lo largo de su actividad, la organización consiguió tomar el control de la red de la práctica totalidad de los bancos de Rusia, extrayendo dinero de unos 50 de ellos, aquellos que por sus características y estructura podrían reportarles mayores beneficios.
El impacto económico ocasionado con sus actividades delictivas se estima en más de 1.000 millones de dólares. Entre sus objetivos figuraban, además de bancos rusos, entidades de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwán. En lo referido a España, la organización criminal atacó cajeros del centro de Madrid durante al menos el primer trimestre del año 2017. Realizaron extracciones por un valor de alrededor de 500.000 euros usando tarjetas asociadas a cuentas corrientes con saldos modificados fraudulentamente y pertenecientes a bancos de Rusia y Kazajistán.
Los beneficios eran cambiados a bitcoins
Los beneficios de la actividad ilícita en forma de grandes cantidades de dinero en efectivo eran cambiados a bitcoins en casas de cambio de Rusia y Ucrania. Los bitcoins eran posteriormente transferidos a cuentas del detenido, que llegó a acumular alrededor de 15.000 bitcoins. El detenido utilizaba plataformas financieras en Gibraltar y Reino Unido para cargar tarjetas prepago con esta criptomoneda que podía utilizar en España para la compra de todo tipo de bienes y servicios (incluidos vehículos y viviendas). Asimismo, el detenido disponía de una enorme infraestructura de minado de bitcoins que utilizaría como medio de blanqueo.
El altísimo nivel de vida que habría llevado el detenido tanto en Ucrania como en España, junto con inversiones realizadas en infraestructura cibernética necesaria para ejecutar nuevos ataques e incrementar los beneficios, a lo que hay que sumar pérdidas millonarias en disputas con la mafia rusa y en plataformas de intercambio de criptodivisa, hace sospechar que su patrimonio actual en moneda virtual habría disminuido considerablemente.
NOTA: Los medios de comunicación que lo deseen podrán obtener imágenes de la operación en el siguiente enlace:
Otras noticias:
CUERPO NACIONAL DE POLICÍA – POLICE NATIONALE – POLÍCIA DE SEGURANÇA PÚBLICA
Agentes de la policía francesa y portuguesa se integran en patrullas de la Policía Nacional para reforzar la atención al turista en puntos clave
31 / 03 / 2013 MADRID
Proyecto ”Comisarías Europeas”, amparado en el Tratado de Prüm.
Tres efectivos de la Police Nationale francesa patrullarán durante Semana Santa junto a agentes españoles en zonas de gran afluencia turística de Madrid.
Otros tres policías de la PSP de Portugal se desplazarán a la comisaría de Torremolinos-Benalmádena con el fin de atender a los estudiantes portugueses que se desplazarán hasta dicha localidad por viaje de estudios.
En el marco de este tipo de colaboración seis funcionarios de la Policía Nacional se desplazarán a las comisarías portuguesas de Lisboa, Braga y Vila Real de Santo Antonio para atender al turista español.
Agentes de la Policía Nacional española, la Police Nationale francesa y la Segurança Pública Portuguesa trabajan conjuntamente durante la Semana Santa para reforzar la atención al turista en puntos clave de la geografía de nuestro país y del país portugués. Dentro del proyecto «Comisarías europeas», amparado en el Tratado de Prüm, tres efectivos de las fuerzas de seguridad galas patrullan junto a agentes españoles en zonas de gran afluencia turística de Madrid y otros tres policías de la PSP de Portugal se desplazarán a la comisaría de Torremolinos-Benalmádena con el fin de atender a los estudiantes portugueses que se desplazarán hasta dicha localidad por viaje de estudios. Agentes de la policía francesa y portuguesa se integran en patrullas de la Policía Nacional para reforzar la atención al turista en puntos clave
Como en años anteriores y con ocasión de las vacaciones estivales agentes de la policía francesa y portuguesa, uniformados y con sus armas reglamentarias colaboran en dispositivos de seguridad ciudadana en España, para ofrecer así al turista galo y portugués una atención integral y en su lengua natal. En el marco de este tipo de colaboración seis funcionarios de la Policía Nacional española se desplazarán a las comisarías portuguesas de Lisboa, Braga y Vila Real de Santo Antonio para atender al turista español.
Tres agentes galos y tres agentes portugueses
Los tres agentes galos desplazados hasta España son castellanoparlantes y prestan servicio desde el 28 de marzo hasta el 7 de abril en la comisaría de Retiro de Madrid. Sus funciones comprenden desde patrullas a pie o en vehículo hasta atención a víctimas de delitos, prevención de la delincuencia o apoyo en la formalización de denuncias.
Por su parte los tres policías de la Segurança Pública Portuguesa se desplazarán hasta nuestro país en vehículo policial y de uniforme desde el 28 de marzo hasta el 1 de abril con el fin de atender a los estudiantes lusos que se desplazan hasta Torremolinos y Benalmádena con ocasión de los denominados viajes de estudios.
El objetivo es estar cerca del turista para ofrecerle una atención integral en el área de seguridad ciudadana con policías que hablan su lengua materna y conocen los procedimientos legales propios de ambos países. Por ello recorrerán zonas con especial afluencia de turistas. Las patrullas conjuntas suponen un paso más en la colaboración y cooperación policial internacional, favorecen la mejora de la atención al ciudadano y permiten consolidar el concepto de la seguridad transfronteriza.
Iniciativa «Comisarías europeas» desde 2008
La Policía Nacional española participa desde el año 2008 en la iniciativa «Comisarías europeas», en la que también están involucrados agentes de otros países europeos como Italia, Bélgica, Alemania, Luxemburgo u Holanda. En este ocasión seis agentes procedentes de las plantillas de Badajoz, Vigo y Ayamonte se trasladarán hasta las comisarías de Lisboa, Braga y Vila real de Santo Antonio respectivamente. Los dos funcionarios desplazados hasta la capital lusa se integrarán en el dispositivo de seguridad establecido con ocasión de la reunión bilateral de Ministros de Interior, a petición de las autoridades portuguesas y continuarán su estancia, al igual que los otros cuatro, para la atención del turista español desplazado con ocasión de semana santa hasta el 1 de abril.
Cooperación para prevenir y luchar contra la delincuencia
En la pasada reunión del día 25 en la que comparecieron los ministros portugueses de Administración Interna y de Justicia, Miguel Macedo y Paula Teixeira da Cruz y el ministro del interior, Jorge Fernández Díaz, se analizaron materias como la prevención y lucha contra la delincuencia, el tráfico de drogas o el terrorismo y la colaboración entre ambos países.
Con respecto al control y vigilancia de fronteras marítimas, los ministros se felicitaron mutuamente por los resultados significativos entre el Sistema Integrado de Vigilancia y control Costero de Portugal (SIVICC) y el Sistema Integrado de Vigilancia Exterior de España (SIVE), ambos integrados en el proyecto piloto EUROSUR, papel fundamental contra la inmigración irregular y la trata de seres humanos.
Además, han destacado las excelentes relaciones bilaterales, el intercambio de información y de buenas prácticas. En este sentido han valorado la importancia y la relevancia de iniciativas como la “Operación Escuadras/ Comisarías conjuntas- Semana Santa 2013”.
Agentes de la policía francesa y portuguesa se integran en patrullas de la Policía Nacional para reforzar la atención al turista en puntos claveDescargar