La última 'bravuconada' de grupos de ciberdelincuentes prorrusos: amenazan con tumbar la banca europea

A finales de esta semana varios colectivos de criminales informáticos con presuntos lazos con las instituciones rusas lanzaron una amenaza muy explícita. Se propusieron tumbar el sistema financiero occidental.

Las primeras señales de alarma llegaron a través de un medio ruso que opera a través de un canal de Telegram con cerca de 4 millones de seguidores, Topor Live. En un mensaje compartido el pasado jueves, dicho medio aseguraba que grupos de ciberdelincuentes prorrusos como Killnet, Revil y Anonymous Sudán se habían unido para lanzar un ataque masivo.

Su propósito, según trascendía de esa información, era paralizar la banca estadounidense y europea, así como el sistema de transferencias internacionales SWIFT. De la amenaza ya se han hecho eco portales y foros especializados también en España, como es el caso de elhacker.NET.

El anuncio se conocía apenas unas horas después de que trascendiera el hartazgo de altos cargos del Banco Central Europeo con las entidades que seguirían operando en suelo ruso. "Creo que es importante que los bancos sigan centrados en reducir aún más sus exposiciones e, idealmente, en salir del mercado tan pronto como sea posible", avisó Andrea Enria, supervisor jefe del BCE.

Los propios grupos han lanzado incluso un breve vídeo en el que, mediante voces sintéticas y máscaras —de Anonymous e incluso de grupos musicales— aseguran que el ataque que pergeñan no es un simple ataque de denegación de servicios, un DDoS —repetición masiva de peticiones a un servidor con el propósito de colapsarlo— sino que sería algo mucho más masivo y sofisticado.

Jose Lancharro es el director de BlackArrow, el departamento de ciberamenazas de la compañía gallega Tarlogic —que trabaja también en la protección de grandes entidades financieras—. Conocida esta amenaza, Lancharro explica a Business Insider España que es difícilmente creíble que estos avisos de Killnet, Revil y Anonymous Sudan "puedan tener un impacto real".

"Interactuar con SWIFTNet no es posible sin la infraestructura necesaria y requeriría el previo compromiso de un banco y posterior obtención del correcto posicionamiento y permisos para ello", avisó Lancharro en un comunicado remitido a Business Insider España. Sin embargo, sí explicaba que un atacante podría interactuar de forma ilegítima con la red SWIFT.

"De hecho suele ser un objetivo relativamente habitual de nuestro Red Team, y por eso sabemos que por el esfuerzo y las habilidades necesarias lo vemos fuera del alcance de grupos como Killnet, Revil (o lo que pueda quedar de Revil, puesto que están todos en la cárcel) o Anonymous Sudan", continuó.

El experto detalla que Killnet es un colectivo que se dedica fundamentalmente a la realización de DDoS. "Este tipo de ataque no requiere apenas conocimientos para llevarse a cabo con dudoso éxito sobre el sistema financiero". Revil "fue desmantelado y sus miembros encerrados, por lo que su capacidad ofensiva está anulada". Y Anonymous Sudan está también especializados en DDoS.

Tanto Killnet como Anonymous Sudan comparten motivaciones hacktivistas mientras que Revil en el pasado siempre ha tenido motivaciones económicas. Tarlogic conoce bien los colectivos de cibermercenarios prorrusos: hace meses presentaron en la RootedCON de Madrid su investigación detrás de grupos como Fancy Bear o Polar Bear y sus enlaces a instituciones del Kremlin.

"En mi opinión, es más una campaña de propaganda que una amenaza real. De hecho, durante el día [por el viernes 16 de junio] no hemos percibido ningún impacto en el sistema internacional de pagos ni tampoco nuestro equipo de Threat Hunting ha visto nada especialmente sospechoso en las entidades bancarias con las que trabajamos", afirmaba Lancharro.

"Sería más razonable pensar que pudiesen afectar de forma muy temporal y parcial a algún banco menor, nada más". Con todo, Lancharro también confirmó que "con independencia de que sea un ataque poco creíble", "es posible que no todas las entidades financieras piensen igual" y por esa razón "estamos especialmente vigilantes ante cualquier nuevo dato".

La web y app de BBVA caen durante horas

La amenaza de los colectivos de ciberdelincuentes destacaba que en 48 horas se podrían ver sus efectos, con lo que el lapso del incidente podría prorrogarse entre el viernes 16 y el sábado 17 de junio.

Precisamente este sábado 17 de junio el acceso de los clientes a la web y a la aplicación de BBVA ha caído durante horas. Business Insider España ha consultado con la entidad financiera si se debe a un fallo en sus sistemas o si han detectado algún tipo de incidente. 

Por el momento, Abc avanza que el banco descarta cualquier tipo de ataque informático: ha sido un problema tras un despliegue —una actualización en sus sistemas—. La caída es, además, global, y se han reportado problemas para acceder a la banca en línea en otros países distintos a España.

La propia entidad ha corroborado a través de sus redes sociales que se están teniendo "problemas de acceso en la web y app" y que sus equipos técnicos "están trabajando en ello para restaurar el servicio lo antes posible". También ha aclarado que su red de cajeros continúa operativa, con lo que el incidente no tendría que ver con la amenaza conocida en las últimas horas.

Los ciberdelincuentes avisaron que lanzarían un ataque masivo contra la red SWIFT, por lo que las consecuencias podrían ser mucho mayores que el no poder acceder a la plataforma digital del banco. En cualquier caso, una vez BBVA confirmó la incidencia, muchos clientes han denunciado la situación también en las redes. Una usuaria, por ejemplo, lamentaba que no podía pagar en un restaurante.