Todo este año hemos tenido repetidas noticias sobre hackeos a gran escala a importantes entidades bancarias de todo el mundo, que han logrado extraer sumas millonarias de sus cuentas sin que apenas el personal lo haya notado hasta que no era demasiado tarde. Quizás el caso más famoso surgió en Bangladesh, donde los hackers lograron hacerse con una suma de 81 millones de dólares que todavía sigue perdida.
Y esto no se ha detenido, pues ahora le ha tocado ser víctima al Banco Central de Rusia, de cuyas cuentas cliente han sido extraídos 2 billones de rublos, equivalentes a 31.3 millones de dólares. Aunque según su oficial, Artyom Sychyov, el robo pudo ser mucho peor, pues los hackers intentaron transferir en total 5 billones de rublos, de modo que el equipo de seguridad del banco logró recuperar parte del dinero tras notar que las credenciales de los clientes habían sido falsificadas.
Ekaterina Glebova, oficial del departamento de prensa del banco, declaró el viernes que los encargados de seguridad ya lograron recolectar información sobre los ataques y se pusieron en contacto con las autoridades, por lo que las investigaciones ya están en marcha. Asimismo, desde esta institución han advertido sobre posibles ataques de este tipo a todos los bancos del país. El Servicio de Seguridad Federal de Rusia se ha mostrado de acuerdo con esto, y afirma que deben estar preparados para más ataques del mismo estilo.
Algo bastante prudente, ya que, de hecho, los hackers rusos son conocidos por el llamado mayor hackeo bancario de la historia, en el que se vieron afectados más de 100 bancos en 30 países y fue sustraída una suma que asciende a los cientos de millones de dólares.
¿Cómo lo hicieron?
Siempre surge esta cuestión cuando suceden estos eventos, y aunque los detalles nunca están del todo claros, pues en hackeos a gran escala usualmente los hackers utilizan malwares de diseño propio, la respuesta es más alarmante: la red interbancaria SWIFT (del inglés: Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales), que sólo para el 2005 tenía enlazadas a 7700 entidades financieras en 204 países, a pesar de todos sus esfuerzos de ciberseguridad, en realidad es vulnerable a este tipo de ataques.
Este no se trata del primero, ni tampoco será el último. En múltiples ocasiones los hackers han demostrado que las barreras de la SWIFT pueden franquearse, así que ellos pueden robar el dinero aún a kilómetros de distancia. En 2015, por ejemplo, se hizo muy famoso el hacker argelino Hamza Bendelladj, que, junto al ruso Alexander Panin, creó un troyano llamado SpyEye con el que podía apoderarse por completo de un ordenador, incluyendo las contraseñas de las cuentas bancarias. De esta forma, logró robar 145 millones de dólares y, por si fuera poco, puso en venta el SpyEye para que otros hackers pudieran hacer lo mismo.
Por otro lado, los métodos más usuales para el robo bancario cibernético a pequeña y gran escala son el phishing, los keyloggers y el más puro y simple spam. El primero consiste simplemente en clonar la página del banco para poder conseguir las credenciales de los clientes o inclusive de los empleados; con las keylogger se detectan las teclas pulsadas en un ordenador para averiguar las contraseñas, y en el spam siempre suelen haber falsos e-mails del banco solicitando los datos del cliente por algún motivo.
La Blockchain puede solucionarlo
La cadena de bloques es un registro público y distribuido de las transacciones que realizan los usuarios que utilizan la red a la que pertenece. En esta cadena se apuntan automáticamente en grupos de información consecutivos, enlazados y codificados (llamados bloques) cada movimiento o transacción que se realice sobre ella. Es mantenida segura e inalterable por los usuarios encargados voluntariamente de mantener la red (nodos y mineros), los cuales trabajan en equipo para guardar cada uno una copia idéntica de cada bloque y verificar que cada transacción sea única. En el caso de Bitcoin, estos nodos superan los 5000 activos alrededor del mundo.
Así que hackear la blockchain, en teoría, es posible, pero al mismo tiempo es tan absurdo como no rentable. Por un lado, el hacker o grupo de hackers debería conseguir cientos o miles de ordenadores que superen el nivel de potencia actual de la red para descifrar los códigos criptográficos que resguardan cada bloque, hasta el inicio (el bloque génesis), y así poder cambiar toda su entrelazada historia. Por otro, deberá idear algún modo de convencer, o falsificar (ataque Sybil) a al menos el 51% de los nodos que conforman la red para aceptar el cambio realizado. De nuevo, sólo como ejemplo, en Bitcoin estos nodos los conforman los mineros en todo el mundo, que han invertido en realidad demasiado tiempo y dinero ayudando a mantener la red como para aceptar cualquier cambio. De hecho, prueba de que no es nada fácil convencerlos de llegar a un acuerdo, es la polémica del tamaño de los bloques de Bitcoin.
Inclusive aunque esto se lograra, el hacker no sería capaz de robar los fondos de otras cuentas. En el caso de Bitcoin, sólo podría censurar las transacciones de otros y aceptar las creadas por el mismo, además de intentar realizar doble gastos con transacciones de sin validar, hasta que perdiera el control de la mayoría de los nodos, donde todo volvería a la normalidad.
Además de su velocidad para liquidar los intercambios, es por esto por lo que los bancos más importantes del mundo se encuentran realizando sus propias pruebas con la blockchain. Si una estructura de pagos interbancarios e internacionales, como la SWIFT, estuviera basada en la tecnología de contabilidad distribuida, ninguna transacción fraudulenta podría realizarse, pues es prácticamente imposible descifrar cada bloque y convencer a la mayoría de los nodos de que es válida.
La blockchain soluciona el problema de la seguridad y transparencia en las redes distribuidas y seguramente veremos muchas aplicaciones de ésta en un futuro no muy lejano. Sin embargo, es cierto que las claves privadas aún pueden robarse mediante el acceso a los computadores personales o por pura ingeniería social, categoría a la que pertenece el spam: el más puro y simple engaño. Por ello siempre es necesario estar atentos a nuestros datos personales, como las contraseñas. Sin embargo, es evidente que no podemos controlar la seguridad de las plataformas bancarias: en este caso, nuestros fondos podrían estar más seguros con la blockchain.
Por los momentos, pese a todas sus reticencias, Rusia va transitando este camino. Uno de sus bancos más grandes se ha mostrado muy a favor de esta tecnología, mientras que el mismo banco central ya ha realizado sus propias pruebas.