Corea del Norte es uno de los países más herméticos del mundo, donde muchos detalles no se conocen con certeza. Hay muchas dudas de cómo consiguen financiarse, ya que tienen cerrados los mercados internacionales, y el turismo, aunque creciente, está muy limitado y controlado como para ser una fuente de grandes ingresos. Ahora, han descubierto que el robo en bancos es una gran fuente de financiación del país.
Ya se intuía en el pasado que en el país habían conseguido crear billetes de 100 dólares falsos que eran tan reales que los sistemas de detección no podían saber si eran falsos o reales. Con eso el país no sólo generaba el dinero que necesitaba, sino que desestabilizaba a Estados Unidos. Según investigaciones, conseguían al menos 15 millones de dólares anuales con este sistema, siendo distribuidos por un hombre irlandés y blanqueados en un banco de Macao. Además, también se sabe que han traficado con drogas, además de vender pastillas falsas, como de Viagra.
En total, todas las actividades ilícitas del país se estima que les han reportado 500 millones de dólares anuales en sus picos máximos. El sistema de falsificaciones fue frenado a hace algo más de una década, deteniendo a miembros en más de 130 países y descubriendo millones de dólares en billetes falsos. A eso hay que sumar que en 2013 rediseñaron los billetes para acabar con las falsificaciones.
Sin embargo, Corea del Norte había encontrado otra vía para conseguir dinero: los hackeos. La mayoría de hackers del país aprenden en China, ya que pueden negar cualquier relación con el país, además de tener mejor acceso a Internet y seguir protegidos de las autoridades de Estados Unidos.
El objetivo de estos hackers son instituciones financieras de todo el mundo, habiendo sacado decenas de millones de dólares, además de realizar diversos ataques de ransomware. Según naciones unidades, estiman que han conseguido robar 2.000 millones de dólares entre todos sus ataques, una cifra importante si tenemos en cuenta que el PIB anual del país es de 28.000 millones. Así, es muchísimo más rentable que falsificar billetes, y también genera inestabilidad financiera, ya que pueden llegar a eliminar transacciones. Estados Unidos prometió en 2014 no alterar ningún tipo de pagos del sistema bancario.
El hackeo de Corea del Norte se aprovecha del sistema SWIFT de pagos internacionales, usado por más de 11.000 bancos en más de 200 países y gestionando decenas de millones de transacciones al día valoradas en billones de euros.
Cómo Corea del Norte robó 80 millones al banco de Bangladesh
Un ejemplo fue lo que le ocurrió a Bangladesh. El país estaba moviendo algunos de los fondos que tienen almacenados en la Reserva Federal de Nueva York, y solicitó mover fondos a otras cuentas en Sri Lanka y en Filipinas. Las transacciones iban imprimiéndose en una impresora HP LaserJet 400 en una habitación cerrada. Cuando llegaron una mañana, descubrieron que la impresora no había imprimido nada, y encontraron un error en el ordenador que gestionaba las transferencias, y no podían ver las transacciones que estaban teniendo lugar en su propio banco.
Esto fue el resultado de un ataque de Corea del Norte, atacando a las cuentas del banco que podían crear, aprobar y enviar nuevas transacciones. Corea del Norte llevaba meses teniendo acceso, y los culpables eran un mal sistema de seguridad que le puso el acceso en bandeja a los hackers.
Además de poder iniciar transacciones, escribieron un malware que se saltaba las comprobaciones antifraude del software de SWIFT, y manipularon los registros de las transacciones, haciendo más difícil ver a dónde iba el dinero.
El dinero fue enviado a cuentas privadas, y desde Nueva York se dieron cuenta de que había algo raro porque no era normal que el dinero se estuviera enviando a cuentas privadas y no a otros bancos como hacía normalmente el banco. Desde Nueva York, por suerte pararon gran parte de las transacciones, valoradas en 850 millones de dólares, algunas de las cuales habían sido enviadas a “fundaciones” falsas.
Por desgracia, no pudieron parar las cuatro primeras, valoradas en 81 millones de dólares, al banco Rizal de Filipinas, y donde alguien ya había sacado el dinero de esas cuentas del considerado como uno de los mayores robos bancarios de la historia. Investigaciones posteriores asociaron el ataque a Corea del Norte por código que había en el malware, el cual había sido usado previamente por el país en otros ataques, como el que hicieron contra Sony en 2014.
2016: ataque a un banco del sudeste asiático
Posteriormente también se introdujeron en servidores de un banco del sudeste asiático (su nombre no trascendió), donde produjeron cortes en el servicio e introdujeron un keylogger con el que querían robar credenciales de acceso. Por desgracia para Corea del Norte, en agosto de 2016, siete meses después de haber entrado, el banco encontró la brecha de seguridad. Contrataron a Kaspersky para que investigasen, y los hackers cerraron rápidamente la operación borrando todos los archivos y cualquier pista que pudiera inculparles. Sin embargo, se dejaron mucho en el camino, y comprobaron que gran parte del código coincidía con el de Bangladesh.
2017: ataque a usuarios de Polonia
En 2017, consiguieron infiltrarse en la red del regulador financiero de Polonia, donde introdujeron código malicioso que se descargaba en los ordenadores de los visitantes, que en muchas ocasiones eran a su vez bancos. El malware estaba preconfigurado para actuar frente a cientos de instituciones de todo el mundo, incluyendo el Banco Mundial y bancos de países como Brasil, Chile o México.
Otros ataques llevados a cabo también están relacionados con las criptomonedas, atacando a usuarios y a portales de intercambio. El portal Youbit, de Corea del Sur, perdió el 17% de sus activos por culpa de un ataque de Corea del Norte, aunque no confirmaron la cantidad exacta que fue robada.
2018: ataques aún más sofisticados
Aunque dominan con éxito el hackeo de SWIFT, al final del proceso en muchos ataques no conseguían obtener los fondos robados porque el banco lo bloqueaba. Por ello, en 2018 planearon un nuevo ataque en el que el dinero era extraído de los cajeros en lugar de que fuera el personal del banco el que diera el dinero.
Para ello, primero se infiltraron en los sistemas de un banco, y prepararon a personas para extraer el dinero en multitud de cajeros eliminando los límites de retirada. Estados Unidos se dio cuenta de que había algo raro, y enviaron una alerta a todos los bancos privados el 10 de agosto de 2018 que un ataque de este tipo iba a llevarse a cabo, pero no sabían en qué entidad.
A pesar de la alerta, al día siguiente, el 11 de agosto, llevaron el ataque en apenas dos horas al banco Cosmos, donde mulas en 28 países usaron tarjetas clonadas para sacar cantidades que iban desde los 100 a los 2.500 dólares. Consiguieron obtener 11 millones de dólares gracias a que habían conseguido engañar a los sistemas de verificación del banco, el cual hacía las comprobaciones contra un servidor en propiedad de los norcoreanos.
Ahí no paró la cosa, ya que dos meses después aprovecharon que todavía tenían acceso en Cosmos para enviar 2 millones de dólares a una empresa pantalla en Hong Kong.
De cara al futuro, por desgracia, este tipo de ataque seguirán teniendo lugar, ya que es un negocio que les está siendo muy lucrativo, ya que aunque no son los mejores hackers del mundo (comparados sobre todo con la NSA), son bastante agresivos y ambiciosos.