4 años y medio de cárcel en España para el ciberdelincuente que creó Cobalt, un sofisticado virus informático con el que estafó 5 millones de euros a bancos de todo el mundo

Hacker con una bandera de Rusia.

Bill Oxford/Getty

  • Denis T. ha sido identificado como uno de los líderes de una banda de ciberdelincuentes que operó Cobalt, un virus con el que atacaban entidades bancarias en todo el mundo.
  • Lograron estafar casi 5 millones de euros: con el virus, lograban que los cajeros automáticos expulsaran billetes a unas horas determinadas, que recogían mulas.
  • El banco Santander y el Sabadell estuvieron en el foco de la banda, que no logró perpetrar sus ataques contra las entidades españolas.
  • Descubre más historias en Business Insider España.

El pasaporte falso decía que se llamaba Denis Katana. 

En realidad es Denis T., es ciudadano ruso y acaba de aceptar los 4 años y medio de cárcel a los que le condena la Audiencia Nacional, tras reconocer haber estafado casi 5 millones de euros mediante ataques informáticos a bancos de todo el mundo.

Lo hicieron gracias al desarrollo de Cobalt, un tipo de virus informático evolucionado de uno que se conoció como Carbanak y cuyo objetivo era fundamentalmente impactar sobre entidades financieras. El cómo, lo detalla la propia sentencia, de la que ha dado cuenta este viernes el Consejo General del Poder Judicial: 

"Los integrantes de la organización entraban en el sistema informático de los bancos a través de programas maliciosos preparados a tal efecto, que se introducían mediante el envío de correos electrónicos a trabajadores del banco haciéndose pasar por compañías legales con las que trabajaban", detalla el comunicado

Mediante estos ataques de phishing, fórmula con la que también se inoculan los prevalentes y peligrosos ataques de ransomware, lograban acceder a la red del banco. "Una vez que el empleado abría el correo, el programa infectaba el sistema informático de la entidad, lo que les permitía controlar las cuentas bancarias y los cajeros automáticos de forma remota", concluyen los jueces.

Un virus de Android está facilitando el robo de cuentas bancarias en España, Alemania, Italia y más países europeos, y tu móvil podría estar afectado

Esta intervención informática permitía al grupo desde el que operaba Denis T. ordenar de forma remota que los cajeros automáticos expulsaran dinero a una determinada hora. "Posteriormente, de forma coordinada, el dinero era recogido por personas encargadas de ello, conocidas como mulas".

Taiwán, Bielorrusia o Rumanía: dónde fueron sus ataques

La investigación y posterior desarticulación de la banda de Denis T. arrancó con una comunicación de las autoridades belgas, que identificaron la existencia de la banda que operaba en diversos países.

Mediante el procedimiento seguido, Denis T. y los suyos estuvieron a punto de hacerse con un botín de 2,6 millones de dólares en dos días atacando un banco taiwanés: el First Commercial Bank. 

"Los días 9 y 10 de julio de 2016 varias personas que se habían desplazado hasta Taiwan realizaron diversas extracciones en efectivo en cajeros de la entidad por importe superior a los 2.6 millones de dólares americanos. No obstante, las autoridades de Taiwán consiguieron detener a dos personas y recuperar casi la totalidad de lo obtenido", incide el comunicado de prensa.

También se vieron afectadas entidades financieras de Azerbaiyán. En el primer país, el Unibank Commercial Bank sufrió dos ataques, uno entre los días 16 y 18 de julio de 2016 y otro entre los días 1 y 11 de agosto del mismo año. Robaron así 732.141 euros.

Se disparan los ciberataques contra el sector financiero, la mayoría de los cuales buscan la destrucción por la destrucción

En Bielorrusia estafaron 496.375 euros del CJSC Alpha Bank, en Rumanía 800.000 del Raiffesisen Bank, y en Kazakajstan, 278.285 euros del Nurbbank y 25.800 del ATF Bank.

No tuvieron el mismo éxito en España: dos ataques al Santander y al Sabadell no tuvieron éxito.

No se ha logrado identificar a toda la banda

Denis T. ha sido condenado a 4 años y medio de cárcel y a una multa de seis millones de euros por blanqueo de capitales. En concreto, se le ha condenado por un delito continuado de estafa informática con atenuante de confesión (3 años), formar parte de grupo criminal (6 meses), falsedad de documento público (6 meses) y blanqueo de capitales (otros 6 meses y la multa).

Pero no era el único implicado. Su pareja, Yuliia H. ha aceptado una pena de 6 meses de cárcel y una multa de 300.000 euros por blanqueo de capitales. Denis y Yuliia actuaban desde España pero colaboraban con otras 3 personas "fuera del país" que se conocían como Ilia Rusakov, Alexey y Eugeny, "y cuya verdadera identidad no se ha podido determinar".

Buguroo, la startup española que combate el fraude bancario, se convierte en Revelock y lanza una nueva plataforma de productos y servicios

"Las cantidades obtenidas ilegalmente eran repartidas entre ellos, si bien una parte se utilizaba para pagar el trabajo de terceras personas, como los proveedores de material o servicios informáticos y las organizaciones que se encargaban materialmente de sacar el dinero de los cajeros controlados", concreta el comunicado. 

Cobalt habría sido desarrollado por el propio Denis, quien para blanquear convertía el dinero que obtenía de sus fechorías en criptomonedas, y después las volvía a canjear por dinero en efectivo. Con el dinero lavado, adquirió varias propiedades que puso a nombre de su pareja.

Seis coches de alta gama (2 Audi A5, 2 BMW X6 y un BMW X5), una moto de agua Yamaha, más de 40.000 euros en joyas. Los bienes adquiridos por Yuliia ascienden a más de 265.000 euros, según los jueces. Denis movió 3,4 millones de dólars y 567 bitcoins en distintas plataformas de intercambio de criptomonedas.

LEER TAMBIÉN: Un ingeniero de Facebook usó el acceso a los datos de los usuarios para localizar a una mujer que le había dejado tras pelearse en vacaciones, según un nuevo libro

LEER TAMBIÉN: Una web recopila cuánto se está pagando en rescates por ransomware: los cálculos preliminares parten de 28 millones de euros en lo que va de 2021

LEER TAMBIÉN: Everis optimizará la gestión y protección de los dominios '.es' por casi 170.000 euros: Red.es acaba de adjudicarle el contrato

VER AHORA: La guerra de la que nadie habla: qué está haciendo la Oficina de Patentes y Marcas para impulsar la soberanía industrial española frente a potencias como EEUU o China