La gran ciberestafa

Para un ladrón, el éxito más sustentable puede obtenerse al aprovechar una vulnerabilidad que nadie vigila, para robar cosas de tal manera que nadie se percate siquiera de su ausencia. 

Pero en la última década, un grupo de hackers llevó esta idea a niveles sin precedentes.

Una investigación federal en Estados Unidos acusó a un grupo de cinco hackers de penetrar en las redes informáticas de más de 12 compañías y de robar por lo menos 160 millones de números de tarjetas de crédito, en una operación de crimen cibernético que resultó en pérdidas de cientos de millones de dólares.

La agencia infomativa Associated Press reporta que los presuntos hackers fueron acusados por las fiscalías federales de Nueva York y Nueva Jersey, según publicaron las autoridades en comunicados separados. 

Paul Fishman, fiscal federal de Nueva Jersey, dijo que se trata del mayor caso de robo de datos que se haya procesado en Estados Unidos.

El grupo de acusados incluye a los ciudadanos rusos Vladimir Drinkman, Aleksandr Kalinin, Roman Kotov y Dmitriy Smilianets, y al ucraniano Mikhail Rytikov. Smilianets y Drinkman fueron arrestados en Países Bajos el año pasado, y Smilianets ya fue extraditado a los Estados Unidos. Los otros tres acusados permanecen prófugos.

La operación de infiltración, que las autoridades dicen fue realizada desde el 2005 hasta el año pasado, incluye entre sus víctimas a Citibank, JCPenney, PNC Bank, la bolsa de valores NASDAQ, 7-Eleven, la aerolínea JetBlue, la cadena de supermercados Carrefour, y las compañías procesadoras de tarjetas de crédito y débito Princeton Heartland Payment Systems y Commidea.

Como resultado del robo de datos, las víctimas (instituciones financieras, corporaciones, consumidores individuales) perdieron colectivamente cientos de millones de dólares. 

Tan solo tres de las víctimas corporativas registraron pérdidas de 300 millones de dólares. Fishman calificó de “incontable” el daño causado a las víctimas individuales de robo de identidad y falsos cargos crediticios.

Modus operandi

Las autoridades apuntan que los cinco sospechosos aprovecharon las vulnerabilidades de los sistemas de pago y bases de datos de sus blancos, utilizando un método de infiltración conocido como inyección SQL, y después utilizando software malicioso y programas de recolección de datos para robar grandes cantidades de datos financieros personales.

Después de identificar, recolectar y obtener los datos, los hackers vendían la información en la red, a diez dólares por cada tarjeta estadounidense, y 50 dólares por cada tarjeta europea.