El impactante atraco del Grupo Lázaro
Geoff White y Jean H. Lee – BBC News
En 2016, piratas informáticos de Corea del Norte planearon un ataque al Banco de Bangladesh para obtener US$1.000 millones. Y estuvieron a punto de conseguirlo.
Solo la suerte evitó que todas las transferencias, excepto una por US$81 millones, siguieran adelante.
Pero ¿cómo acabó uno de los países más pobres y aislados del mundo formando a un equipo de ciberdelincuentes de élite?
Todo comenzó con una impresora que funcionaba mal, algo a lo que ya estamos habituados en la vida moderna, por lo que cuando le sucedió al personal del Banco de Bangladesh pensaron lo mismo que la mayoría de nosotros: un día más con otro dolor de cabeza por problemas tecnológicos.
No parecía gran cosa.
Pero no se trataba de una impresora cualquiera, ni de un banco cualquiera.
El Banco de Bangladesh es el banco central del país, responsable de supervisar las valiosas reservas de divisas de un país donde millones de personas viven en la pobreza.
Y la impresora jugó un papel fundamental. Estaba ubicada en una habitación protegida con medidas de alta seguridad en el décimo piso de la oficina principal del ente en Dhaka, la capital. La máquina era utilizada para imprimir registros de las transferencias multimillonarias que entraban y salían del banco.
A las 08:45 del viernes 5 de febrero de 2016, el personal del organismo descubrió que no estaba funcionando.
«Asumimos que era un problema común, como cualquier otro día. Fallos así habían ocurrido antes», dijo más tarde a la policía el gerente de servicio, Zubair Bin Huda.
De hecho, ese fue el primer indicio de que el Banco de Bangladesh estaba en muchos problemas. Los piratas informáticos habían entrado en sus redes informáticas y en ese mismo momento estaban llevando a cabo el ciberataque más audaz jamás intentado.
Su objetivo: robar US$1.000 millones.
Para llevarse el dinero, la pandilla detrás del atraco utilizaría cuentas bancarias falsas, organizaciones benéficas, casinos y una amplia red de cómplices.
Esta imagen del distrito financiero de Dhaka fue tomada desde un piso superior de la sede del Banco de Bangladesh.
Pero ¿quiénes eran estos hackers y de dónde venían?
Según los investigadores, las huellas digitales apuntan en una sola dirección: al gobierno de Corea del Norte.
Que Corea del Norte sea el principal sospechoso en un caso de ciberdelito podría ser una sorpresa para algunos.
Es uno de los países más pobres del mundo y, en gran medida, está desconectado de la comunidad global: tecnológicamente, económicamente y casi de cualquier otra forma.
Y, sin embargo, según el FBI, el audaz pirateo del Banco de Bangladesh fue la culminación de años de preparación metódica por parte de un oscuro equipo de piratas informáticos e intermediarios en toda Asia, que operaba con el apoyo del régimen de Corea del Norte.
En la industria de la seguridad cibernética, los hackers norcoreanos son conocidos como el Grupo Lázaro, una referencia a una figura bíblica que volvió de entre los muertos; los expertos que han hecho frente a los virus informáticos creados por los norcoreanos descubrieron que eran igual de resilientes.
Poco se sabe sobre el grupo, aunque el FBI ha pintado un retrato detallado de un sospechoso: Park Jin-hyok, conocido también con los nombres de Pak Jin-hek y Park Kwang-jin.
Se le describe como un programador de computadoras que se graduó de una de las mejores universidades de su país y comenzó a trabajar para la empresa norcoreana Chosun Expo en la ciudad portuaria china de Dalian, creando juegos en línea y programas de apuestas para clientes de todo el mundo.
Estando en esa ciudad china, abrió una cuenta de correo electrónico, creó un CV y usó las redes sociales para armar una red de contactos.
Los rastros cibernéticos que dejó indican que estuvo en Dalian en 2002 y desde entonces de forma intermitente, hasta 2013 o 2014, cuando su actividad en internet parece provenir de la capital de Corea del Norte, Pyongyang, según la declaración jurada de un investigador del FBI.
La agencia ha publicado una foto extraída de un correo electrónico de 2011 enviado por un gerente de Chosun Expo presentando a Park a un cliente externo. Muestra a un coreano impecable de entre 20 y 30 años de edad, vestido con una camisa negra a rayas y un traje marrón chocolate.
Nada fuera de lo común, a primera vista, aparte de una expresión agotada en su rostro.
Pero el FBI señala que mientras trabajaba como programador de día, era hacker de noche.
En junio de 2018, las autoridades estadounidenses acusaron a Park de dos cargos: uno de conspiración para cometer fraude y abuso informático, y otro de conspiración para cometer fraude por correo o por comunicación electrónica entre septiembre de 2014 y agosto de 2017.
Se enfrenta a hasta 20 años en prisión si alguna vez es localizado (regresó de China a Corea del Norte cuatro años antes de que se presentaran los cargos).
Pero Park, si acaso ese es su nombre real, no se convirtió en un hacker del Estado de la noche a la mañana.
Es uno de los miles de jóvenes norcoreanos que han sido preparados desde la infancia para convertirse en ciber-guerreros: matemáticos talentosos de tan solo 12 años sacados de sus escuelas y enviados a la capital, donde reciben clases intensivas desde la mañana hasta la noche.
Cuando el personal del banco reinició la impresora, recibieron noticias muy preocupantes. De la máquina salieron mensajes urgentes del Banco de la Reserva Federal de Estados Unidos (conocida como Fed), donde Bangladesh tiene una cuenta en dólares estadounidenses.
La Fed había recibido instrucciones, aparentemente del Banco de Bangladesh, de vaciar toda la cuenta: un retiro de cerca de US$1.000 millones.
Los bangladesíes intentaron ponerse en contacto con la Fed para obtener una aclaración, pero no pudieron hacerlo gracias a la muy cuidadosa forma en la que los piratas informáticos habían sincronizado su operación.
El hackeo comenzó alrededor de las 20:00 hora de Bangladesh del jueves 4 de febrero. Pero en Nueva York era jueves por la mañana, lo que le dio a la Fed suficiente tiempo para (sin saberlo) cumplir los deseos de los hackers mientras en Bangladesh era de noche.
Al día siguiente, viernes, era el comienzo del fin de semana en Bangladesh, que se extiende de viernes a sábado. Así que la sede del banco en Daca comenzaba dos días libres.
Cuando los bangladesíes empezaron a descubrir el robo el sábado, ya era fin de semana en Nueva York.
«Ahí ves la elegancia del ataque», dice Rakesh Asthana, un experto en ciberseguridad que trabaja en Estados Unidos.
«La [elección de la] fecha del jueves por la noche tiene un propósito muy definido. El viernes Nueva York está funcionando y el Banco de Bangladesh, no. Para cuando el Banco de Bangladesh vuelve a funcionar, el Banco de la Reserva Federal ya no lo está. De modo que retrasó todo el descubrimiento en casi tres días».
Y los piratas informáticos tenían otro truco bajo la manga para ganar aún más tiempo. Una vez que habían transferido el dinero fuera de la Reserva Federal, tenían que enviarlo a alguna parte. Así que lo transfirieron a cuentas que habían abierto en Manila, la capital de Filipinas.
Y en 2016, el lunes 8 de febrero fue el primer día del Año Nuevo Lunar, un feriado nacional en toda Asia.
Aprovechando las diferencias horarias entre Bangladesh, Nueva York y Filipinas, los hackers habían diseñado un plan de cinco días para llevarse el dinero.
Habían tenido mucho tiempo para planificar todo esto, porque resulta que el Grupo Lázaro había estado al acecho dentro de los sistemas informáticos del Banco de Bangladesh durante un año.
En enero de 2015, enviaron un correo electrónico de apariencia inofensiva a varios empleados de la institución financiera. Provenía de un solicitante de empleo que se hacía llamar Rasel Ahlam. Su cortés consulta incluía una invitación para descargar su CV y carta de presentación de un sitio web.
En realidad, Rasel no existía, era simplemente un nombre encubierto utilizado por el Grupo Lázaro, según los investigadores del FBI. Al menos una persona dentro del banco cayó en la trampa, descargó los documentos y se infectó con los virus ocultos en su interior.
Una vez dentro de los sistemas del banco, el grupo Lázaro comenzó a saltar sigilosamente de computadora en computadora, abriéndose camino hacia las bóvedas digitales y los miles de millones de dólares que contenían.
Y luego se detuvieron
¿Por qué los piratas informáticos no robaron el dinero hasta un año después de que el correo electrónico inicial llegara al banco? ¿Por qué arriesgarse a ser descubiertos mientras se escondían dentro de los sistemas del banco todo ese tiempo?
Porque, al parecer, necesitaban tiempo para preparar sus rutas de escape con el dinero.
La calle Júpiter es una vía muy transitada en Manila. Junto a un hotel ecológico y un consultorio dental se encuentra una sucursal de RCBC, uno de los bancos más grandes del país. En mayo de 2015, unos meses después de que los piratas informáticos accedieran a los sistemas del Banco de Bangladesh, los cómplices de los piratas informáticos abrieron cuatro cuentas aquí.
En retrospectiva, hubo algunos signos sospechosos: las licencias de conducir utilizadas para abrir las cuentas eran falsas y todos los solicitantes afirmaron tener exactamente el mismo título de trabajo y salario, a pesar de trabajar en diferentes empresas.
Pero nadie pareció darse cuenta. Durante meses, las cuentas permanecieron inactivas con su depósito inicial de US$500 intacto mientras los hackers trabajaban en otros aspectos del plan.
El banco RCBC de Filipinas tiene su sede en la calle Júpiter de Manila.
Último obstáculo: la impresora
En febrero de 2016, tras piratear con éxito el Banco de Bangladesh y crear rutas para llevarse el dinero, el Grupo Lázaro estaba listo.
Pero todavía tenía un último obstáculo que superar: la impresora en el décimo piso. El Banco de Bangladesh había creado un sistema de respaldo en papel para registrar todas las transferencias realizadas desde sus cuentas. Este registro de transacciones corría el riesgo de exponer el trabajo de los piratas informáticos al instante. Así que piratearon el software que lo controlaba y lo dejaron fuera de servicio.
Una vez que se aseguraron de que sus acciones estarían cubiertas, a las 20:36 del jueves 4 de febrero de 2016, los hackers comenzaron a hacer sus transferencias: 35 en total, por un total de US$951 millones, casi todo el contenido de la cuenta del Banco de Bangladesh en la Fed de Nueva York.
Los ladrones estaban encaminados a hacerse con un gran botín, pero al igual que en una película de robos bancarios de Hollywood, un único y pequeño detalle los delataría.
El detalle que los delato
Cuando el Banco de Bangladesh descubrió el dinero faltante durante ese fin de semana, lucharon por averiguar qué había sucedido.
El gobernador del banco conocía a Rakesh Asthana y su empresa, World Informatix, y lo llamó para pedir ayuda. En este punto, dice Asthana, el gobernador todavía pensaba que podía recuperar el dinero robado. Como resultado, mantuvo el hackeo en secreto, no solo del público, sino incluso de su propio gobierno.
Mientras tanto, Asthana estaba descubriendo el alcance del hackeo. Descubrió que los ladrones habían obtenido acceso a una parte clave de los sistemas del ente, llamada Swift. Ese es el sistema utilizado por miles de bancos en todo el mundo para coordinar transferencias de grandes sumas entre ellos.
Los piratas informáticos no explotaron una vulnerabilidad de Swift -no necesitaban hacerlo-, por lo que en lo que respecta a ese software, los hackers parecían auténticos empleados bancarios.
Pronto quedó claro para los funcionarios del Banco de Bangladesh que las transacciones no podían simplemente revertirse.
Ya había llegado algo de dinero a Filipinas, donde las autoridades les dijeron que necesitarían una orden judicial para iniciar el proceso de reclamo. Las órdenes judiciales son documentos públicos, por lo que cuando el ente financiero finalmente presentó su caso a fines de febrero, la historia se hizo pública y explotó en todo el mundo.
Las consecuencias para el gobernador del banco fueron casi instantáneas. «Se le pidió que renunciara. Nunca lo volví a ver», dice Asthana.
La congresista estadounidense Carolyn Maloney recuerda claramente dónde estaba cuando se enteró por primera vez del hackeo al Banco de Bangladesh: «Salía del Congreso e iba al aeropuerto y leía sobre el atraco y fue fascinante, impactante, un incidente aterrador, probablemente uno de los más aterradores que he visto en los mercados financieros».
Como miembro del Comité de Servicios Financieros del Congreso, Maloney vio el panorama más amplio: con Swift respaldando tantos miles de millones de dólares del comercio mundial, un hackeo como este podría dilapidar la confianza en el sistema.
Estaba particularmente preocupada por la participación del Banco de la Reserva Federal. «Era la Fed de Nueva York, que suele ser muy cuidadosa. ¿Cómo diablos sucedieron estas transferencias?», se preguntaba.
Maloney se puso en contacto con la Fed y el personal le explicó que la mayoría de las transferencias se habían evitado gracias a un pequeño detalle fortuito.
La sucursal del banco RCBC en Manila a la que los piratas informáticos intentaron transferir US$951 millones estaba en la calle Júpiter. Hay cientos de bancos en Manila que los hackers podrían haber utilizado, pero eligieron este y la decisión les costó cientos de millones de dólares.
«Las transacciones… se retrasaron en la Fed porque la dirección utilizada en uno de los pedidos incluía la palabra ‘Júpiter’, que también es el nombre de un buque de transporte iraní autorizado», dice Carolyn Maloney.
La sola mención de la palabra «Júpiter» fue suficiente para hacer sonar las alarmas en los sistemas informáticos automatizados de la Fed. Se revisaron los pagos y la mayoría se detuvo. Pero no todos. Cinco transacciones, por un valor de US$101 millones superaron este obstáculo.
De ese monto, US$20 millones fueron transferidos a una organización benéfica de Sri Lanka llamada Fundación Shalika, que los cómplices de los hackers habían fijado como una vía a través de la cual movilizar el dinero robado (su fundadora, Shalika Perera, dice que ella creía que el dinero era una donación legítima).
Pero, de nuevo, un pequeño detalle descarriló los planes de los piratas informáticos. Al hacer la transferencia cometieron un error al deletrear el nombre de la institución. Entonces, un empleado bancario con ojos de águila vio el error de ortografía y la transacción se revirtió.
Los restantes US$81 millones sí lograron ser transferidos. No es el monto al que apuntaban los piratas informáticos, pero el dinero perdido fue un duro golpe para Bangladesh, un país donde una de cada cinco personas vive por debajo del umbral de la pobreza.
Para el momento en el que el Banco de Bangladesh comenzó sus esfuerzos para recuperar el dinero, los hackers ya habían tomado medidas para asegurarse de que permaneciera fuera de su alcance.
El viernes 5 de febrero, las cuatro cuentas establecidas el año anterior en la sucursal de RCBC en la calle Júpiter cobraron vida de repente.
El dinero se transfirió entre cuentas, fue enviado a una empresa de cambio de divisas, fue convertido en moneda local y se volvió a depositar en el banco. Parte de ese dinero se retiró en efectivo. Para los expertos en blanqueo de capitales, este comportamiento tiene mucho sentido.
«Tienes que hacer que todo ese dinero derivado del delito se vea limpio y parezca que proviene de fuentes legítimas para proteger todo lo que hagas con él después. Quieres que el rastro del dinero sea lo más turbio y oscuro posible», dice Moyara Ruehsen, directora del Programa de Gestión de Delitos Financieros en el Instituto de Estudios Internacionales Middlebury, en Monterrey (California).
Aun así, los investigadores aún podían rastrear la ruta del dinero. Para hacerlo completamente imposible de hallar tuvo que salir del sistema bancario.
El Solaire se encuentra en el paseo marítimo de Manila: como reluciente palacio blanco de hedonismo, es sede de un hotel, un enorme teatro, tiendas de alta gama y su atracción más famosa es un extenso casino.
Manila se ha convertido en un gran atractivo para los jugadores de China continental, donde el pasatiempo es ilegal, y el Solaire es «uno de los casinos más elegantes de Asia», según Mohammed Cohen, director editorial de Inside Asian Gaming Magazine.
«Tiene un diseño realmente hermoso. Tiene aproximadamente 400 mesas de juego y aproximadamente 2.000 máquinas tragamonedas», describe.
Fue aquí, en la deslumbrante escena de los casinos de Manila, donde los ladrones del Banco de Bangladesh montaron la siguiente etapa de su operación de lavado de dinero.
De los US$81 millones que pasaron por el banco RCBC, US$50 millones se depositaron en cuentas en el Solaire y en otro casino, el Midas.
¿Qué pasó con los otros US$31 millones? Según un comité del Senado de Filipinas creado para investigar, fueron entregados a un hombre chino llamado Xu Weikang, quien se cree que salió de la ciudad en un jet privado y nunca se supo de él desde entonces.
La idea de utilizar casinos era romper la cadena de trazabilidad. Una vez que el dinero robado se ha convertido en fichas de casino, se ha jugado en las mesas y se ha vuelto a convertir en efectivo, es casi imposible para los investigadores rastrearlo.
Pero, ¿qué pasa con los riesgos? ¿No corren peligro los ladrones de perder el botín en las mesas del casino? Para nada.
En primer lugar, en lugar de jugar en las áreas públicas del casino, los ladrones reservaron salas privadas y las llenaron de cómplices que jugarían en las mesas; esto les dio control sobre cómo se jugaba el dinero.
En segundo lugar, utilizaron el dinero robado para jugar al baccarat, un juego tremendamente popular en Asia, pero también muy simple.
Solo hay tres resultados en los que apostar, y un jugador relativamente experimentado puede recuperar el 90% o más de su participación (un resultado excelente para los blanqueadores de dinero, que a menudo obtienen un rendimiento mucho menor).
Los delincuentes ahora podían lavar los fondos robados y esperar un buen rendimiento, pero hacerlo requeriría una gestión cuidadosa de los jugadores y sus apuestas, y eso llevó tiempo. Durante semanas, los jugadores se sentaron en los casinos de Manila para lavar el dinero.
Mientras tanto, el Banco de Bangladesh avanzaba en sus investigaciones. Sus funcionarios habían visitado Manila e identificado el rastro del dinero. Pero cuando se trataba de los casinos, no conseguían progresos. En ese momento, las casas de juego de Filipinas no estaban cubiertas por las regulaciones sobre lavado de dinero.
En lo que respecta a los casinos, el efectivo había sido depositado por jugadores legítimos, que tenían todo el derecho a derrocharlo en las mesas (el casino Solaire dice que no tenía idea de que estaba lidiando con fondos robados y está cooperando con las autoridades. Midas no respondió a la solicitud de la BBC).
Los funcionarios del banco lograron recuperar US$16 millones del dinero robado de uno de los hombres que organizó las excursiones de juego en el casino Midas, llamado Kim Wong. Fue acusado, pero luego se retiraron los cargos.
Sin embargo, el resto del dinero (US$34 millones) se estaba escapando. Su próxima parada, según los investigadores, lo acercaría un paso más a Corea del Norte.
Macao es un enclave de China, similar a Hong Kong. Al igual que Filipinas, es un punto de acceso para los juegos de azar y la sede de algunos de los casinos más prestigiosos del mundo. También tiene vínculos establecidos desde hace mucho tiempo con Corea del Norte.
Fue aquí donde los funcionarios norcoreanos fueron sorprendidos a principios de la década de los 2000 lavando billetes falsos de US$100 de muy alta calidad, los llamados «super-dólares», que las autoridades estadounidenses afirman que se imprimieron en Corea del Norte.
El banco local a través del cual lavaron esos billetes finalmente fue incluido en una lista de sanciones de Estados Unidos, debido a sus conexiones con el régimen de Pyongyang.
En 2006, las autoridades japonesas solamente fueron capaces de detectar los «super-dólares» aumentando su tamaño 400 veces.
También fue en Macao donde se entrenó a una espía norcoreana antes de que bombardeara un vuelo de Korean Air en 1987, matando a 115 personas.
Y fue en Macao donde el hermano de Kim Jong-un, Kim Jong-nam, vivió en el exilio antes de ser fatalmente envenenado en Malasia en un ataque que muchos creen que fue autorizado personalmente por el líder norcoreano.
A medida que el dinero robado del Banco de Bangladesh fue lavado a través de Filipinas, comenzaron a surgir numerosos vínculos con Macao. Varios de los hombres que organizaron las excursiones de juego en el Solaire fueron rastreados hasta Macao.
Dos de las empresas que habían reservado las salas de juego privadas también tenían su sede en Macao. Los investigadores creen que la mayor parte del dinero robado terminó en este pequeño territorio chino, antes de ser enviado de regreso a Corea del Norte.
Por la noche, en las fotos tomadas desde el espacio exterior por la NASA, Corea del Norte parece ser un agujero negro debido a la falta de electricidad en la mayor parte del país, en marcado contraste con Corea del Sur, que luce iluminada a cualquier hora del día y de la noche.
Corea del Norte se encuentra entre las 12 naciones más pobres del mundo, con un PIB estimado de solo US$1.700 por persona, menos que Sierra Leona y Afganistán, según la CIA.
Y, sin embargo, parece que Corea del Norte ha formado a algunos de los hackers más descarados y sofisticados del mundo.
Comprender cómo y por qué Corea del Norte ha logrado crear unidades de guerra cibernética de élite requiere mirar a la familia que ha gobernado ese país desde sus inicios como nación moderna en 1948: la familia Kim.
El fundador Kim Il-sung construyó la nación oficialmente conocida como República Popular Democrática de Corea sobre un sistema político que es formalmente socialista, pero que opera más como una monarquía.
Su hijo, Kim Jong-il, confió en el Ejército como su base de poder, provocando a Estados Unidos con pruebas de misiles balísticos y dispositivos nucleares. Para financiar el programa, el régimen recurrió a métodos ilícitos, incluidos los altamente sofisticados «super-dólares» falsificados, según las autoridades estadounidenses.
Kim Jong-il también decidió desde el principio incorporar la tecnología cibernética en la estrategia del país, estableciendo en 1990 el Centro de Computación de Corea, que sigue siendo el corazón de las operaciones de tecnología de la información en ese país.
Los estudiantes utilizan la intranet de Corea del Norte en la Gran Casa de Estudios del Pueblo en Pyongyang.
Cuando, en 2010, Kim Jong-un, el tercer hijo de Kim Jong-il, comenzó a ser perfilado como su heredero, el régimen desplegó una campaña para retratar al futuro líder, de apenas veintitantos años y desconocido para su pueblo, como un campeón de la ciencia y la tecnología.
Fue una campaña diseñada para asegurar la lealtad de su generación e inspirarlos a convertirse en sus guerreros, utilizando estas nuevas herramientas.
El joven Kim, que asumió el poder a finales de 2011 tras la muerte de su padre, llamó a las armas nucleares una «espada preciada», pero él también necesitaba una forma de financiarlas.
Se trataba de una tarea complicada por las sanciones cada vez más estrictas del Consejo de Seguridad de la ONU, impuestas después de que el país realizara las primeras pruebas de un dispositivo nuclear y de un misil balístico de largo alcance en 2006.
Entonces, la piratería cibernética fue vista como una solución, según las autoridades estadounidenses.
Sin embargo, la adopción de la ciencia y la tecnología no se extendió en el país hasta el punto de permitir que los norcoreanos se conectaran libremente al internet global, lo que permitiría que muchos supieran cómo se ve el mundo fuera de sus fronteras y leer relatos que contradicen la mitología oficial.
Por ello, para entrenar a sus ciber-guerreros, el régimen envía a los programadores informáticos más talentosos al extranjero, principalmente a China.
Allí aprenden cómo el resto del mundo usa las computadoras e internet: para comprar, apostar, conectarse en la red y entretenerse. Es ahí donde se transforman de genios matemáticos a hackers, según los expertos.
Se cree que decenas de estos jóvenes viven y trabajan en puestos de avanzada de su país en China.
«Son muy buenos para enmascarar sus huellas, pero a veces, como cualquier otro criminal, dejan rastros, evidencia, y podemos identificar sus direcciones IP y seguirlas hasta determinar su ubicación», dice Kyung-jin Kim, un exjefe del FBI en la península coreana, que ahora trabaja como investigador del sector privado en Seúl.
Esos rastros llevaron a los investigadores a un hotel modesto en Shenyang, en el noreste de China, custodiado por un par de tigres de piedra, un motivo tradicional coreano. El hotel se llamaba Chilbosan, en honor a una famosa cadena montañosa de Corea del Norte.
Las fotos publicadas en sitios de reseñas de hoteles como Agoda revelan toques coreanos encantadores: colchas de colores, cocina norcoreana y camareras que cantan y bailan para sus clientes.
Kyung-jin Kim sostiene que era «bien conocido en la comunidad de inteligencia» que los presuntos hackers norcoreanos operaban desde Chilbosan cuando irrumpieron por primera vez en el escenario mundial en 2014.
Mientras tanto, en la ciudad china de Dalian -donde se cree que Park Jin-hyok vivió durante una década-, una comunidad de programadores de computadoras vivía y trabajaba en una operación similar dirigida por Corea del Norte, según afirma el desertor Hyun-seung Lee.
Lee nació y se crió en Pyongyang, pero vivió durante años en Dalian, donde su padre era un hombre de negocios bien conectado que trabajaba para el gobierno de Corea del Norte, hasta que la familia desertó en 2014.
Asegura que, cuando vivió allí, la bulliciosa ciudad portuaria al otro lado del Mar Amarillo desde Corea del Norte albergaba a unos 500 norcoreanos.
Entre ellos, más de 60 eran programadores, hombres jóvenes que dice haber conocido cuando los norcoreanos se reunieron para las fiestas nacionales, como el cumpleaños de Kim Il-sung.
Uno de ellos lo invitó a su residencia. Allí había «unas 20 personas viviendo juntas y en un solo espacio. Entonces, de cuatro a seis personas compartían habitación y luego la sala de estar la convirtieron en una oficina, donde estaban todas las computadoras», cuenta Lee.
Le mostraron lo que estaban produciendo: juegos para teléfonos móviles que comercializaban en Corea del Sur y Japón a través de vendedores. Generaban un millón de dólares al año.
Aunque los funcionarios de seguridad de Corea del Norte los vigilaban de cerca, la vida de estos jóvenes aún era de relativa libertad.
«Todavía tenían restricciones, pero en comparación con Corea del Norte, tienen mucha libertad para poder acceder a internet y luego pueden ver algunas películas», señala Lee.
Después de pasar unos ocho años en Dalian, Park Jin-hyok parece haber estado ansioso por regresar a Pyongyang. En un correo electrónico de 2011 interceptado por el FBI, menciona que quiere casarse con su prometida. Pero pasarían unos años más antes de que se le permitiera volver.
El FBI dice que sus superiores tenían otra misión para él: un ciberataque a una de las compañías de entretenimiento más grandes del mundo, Sony Pictures Entertainment, cuya sede está en Los Ángeles (California).
En 2013, Sony Pictures anunció la realización de una nueva película protagonizada por Seth Rogen y James Franco que estaría ambientada en Corea del Norte, llamada The Interview.
El filme se basa en un presentador de un programa de entrevistas, interpretado por Franco, y su productor, interpretado por Rogen, que viajan a Corea del Norte para entrevistar a Kim Jong-un, pero son persuadidos por la CIA para asesinarlo.
Corea del Norte amenazó con tomar represalias contra Estados Unidos si Sony Pictures Entertainment lanzaba la película y, en noviembre de 2014, un grupo de hackers que se hacen llamar Guardianes de la Paz envió un correo electrónico a los jefes de esa compañía amenazando con causar un «gran daño».
Tres días después, una imagen de película de terror de un esqueleto de color rojo sangre con colmillos y ojos deslumbrantes apareció en las pantallas de las computadoras de los empleados. Los piratas informáticos habían cumplido sus amenazas.
Los salarios de los ejecutivos, los correos electrónicos internos confidenciales y los detalles de películas aún inéditas se filtraron en línea y las actividades de la compañía se paralizaron cuando sus computadoras fueron desactivadas por los virus de los piratas informáticos.
El personal no podía deslizar pases para ingresar a sus oficinas o usar impresoras. Durante seis semanas completas, una cafetería en los estudios de MGM, la sede de Sony Pictures Entertainment, no pudo aceptar tarjetas de crédito.
Sony inicialmente había seguido adelante con los planes de lanzar The Interview, pero estos fueron cancelados apresuradamente cuando los piratas informáticos amenazaron con violencia física.
Las principales cadenas de cines dijeron que no mostrarían la película, por lo que se lanzó solo en formato digital y en algunos cines independientes.
Pero resulta que el ataque de Sony pudo haber sido una prueba para un hackeo aún más ambicioso: el atraco bancario de 2016 en Bangladesh.
Bangladesh todavía está tratando de recuperar el resto del dinero robado, alrededor de US$65 millones. Su banco central está tomando acciones legales contra decenas de personas e instituciones, incluido el banco RCBC, que niega haber violado las reglas.
A pesar de lo hábil que fue el hackeo del Banco de Bangladesh, ¿cuán satisfecho habría estado el régimen de Pyongyang con el resultado final? Después de todo, la trama comenzó como un atraco de US$1.000 millones y el botín final habría sido solo de decenas de millones.
Se habían perdido cientos de millones de dólares mientras los ladrones navegaban por el sistema bancario mundial y decenas de millones más mientras pagaban a los intermediarios.
En el futuro, según las autoridades estadounidenses, Corea del Norte encontraría una forma de evitar esta pérdida.
En mayo de 2017, el virus informático WannaCry se extendió como la pólvora, codificando los archivos de las víctimas y cobrando un rescate de varios cientos de dólares para recuperar sus datos, pagado con la moneda virtual bitcoin.
En Reino Unido, el Servicio Nacional de Salud se vio especialmente golpeado, los departamentos de urgencias y accidentes se vieron afectados y las citas urgentes para tratamientos de cáncer tuvieron que ser reprogramadas.
Mientras los investigadores de la Agencia Nacional contra el Crimen de Reino Unido profundizaban en el código, trabajando con el FBI, encontraron sorprendentes similitudes con los virus utilizados para piratear el Banco de Bangladesh y Sony Pictures Entertainment.
Al final, el FBI agregó este ataque a los cargos contra Park Jin-hyok.
Si las acusaciones de esa agencia estadounidense son correctas, muestran que el ejército cibernético de Corea del Norte ahora ha adoptado la criptomoneda, un salto vital porque esta nueva forma de dinero de alta tecnología elude en gran medida el sistema bancario tradicional y, por lo tanto, podría evitar costosos gastos, como los pagos a los intermediarios.
WannaCry fue solo el comienzo. En los años siguientes, las empresas de seguridad tecnológica han atribuido muchos más ataques con criptomonedas a Corea del Norte.
Afirman que los hackers de ese país han apuntado hacia transacciones en las que criptomonedas como el bitcoin se intercambian por monedas tradicionales. En conjunto, algunas estimaciones sitúan los robos de estas operaciones en más de US$2.000 millones.
Y las acusaciones siguen llegando
En febrero, el Departamento de Justicia de Estados Unidos acusó a otros dos norcoreanos de ser miembros del Grupo Lázaro y estar vinculados a una red de lavado de dinero que se extiende desde Canadá hasta Nigeria.
Piratería informática, lavado de dinero global, robos de criptomonedas… Si las acusaciones contra Corea del Norte son ciertas, entonces parece que muchas personas han subestimado la habilidad técnica del país y el peligro que representa.
Pero esto también dibuja una imagen inquietante de la dinámica del poder en nuestro mundo cada vez más conectado y de nuestra vulnerabilidad a lo que los expertos en seguridad llaman «amenaza asimétrica»: la capacidad de un adversario más pequeño para ejercer el poder de forma novedosa, que lo convierten en una amenaza mucho mayor de lo que su tamaño indicaría.
Los investigadores han descubierto cómo una nación diminuta y desesperadamente pobre puede acceder silenciosamente a las bandejas de entrada de correo electrónico y las cuentas bancarias de los ricos y poderosos a miles de kilómetros de distancia.
Pueden explotar ese acceso para causar estragos en la vida económica y profesional de sus víctimas y arrastrar su reputación por el lodo.
Esta es la nueva línea de frente en un campo de batalla global: un nexo turbio entre el crimen, el espionaje y el poder del Estado-nación. Y está creciendo rápidamente.
Comentario (0)