Detienen en Lepe al líder de Fin7, uno de los grupos hackers más buscados por el FBI

• La Policía Nacional detiene en Lepe a uno de los hackers más buscados del mundo como presunto líder del grupo Fin7, en la mira del FBI.
• El detenido, un ucraniano de 30 años de edad, se 'colaba' en los sistemas informáticos de todo tipo de empresas haciendo phising.
• El grupo está acusado de haber atacado más de 100 empresas estadounidenses, incluidas Whole Foods (propiedad de Amazon) o Trump Hotels.
• Hace unos meses otro integrante del grupo fue detenido en España acusado de infiltrarse en los sistemas bancarios para hacer que los cajeros automáticos expulsaran dinero sin necesidad de introducir tarjeta de crédito alguna.

El líder de Fin7 uno de los grupos de hackers más buscados del momento ha sido detenido en España. El presunto cerebro de una red de robos informáticos de millones de tarjetas de crédito es un hombre de nacionalidad ucraniana de 30 años de edad, según ha informado la policía nacional.

El hacker ha sido detenido en Lepe, municipio de Huelva, donde el acusado se encontraba pasando unos días de vacaciones. La operación se ha llevado a cabo por la policía nacional en colaboración con agentes del FBI.

La investigación, que continúa abierta, era iniciada como consecuencia de una Comisión Rogatoria Internacional emitida por las autoridades de Estados Unidos y una Orden Internacional de Detención.

Bajo el nombre de Fin7, este grupo de hackers es conocido por haber llevado a cabo sofisticados ataques informáticos en los últimos años contra compañías de restauración, hostelería y juegos, principalmente en EE. UU. y Reino Unido. Entre las numerosas empresas atacadas se encuentra la cadena de hoteles perteneciente al presidente de los EE. UU. Donald Trump.

Para ello la organización conseguía vulnerar los sistemas informáticos de las compañías atacadas gracias al envío de correos phishing, —correos de suplantación de identidad— obteniendo con ello las numeraciones de las tarjetas usadas en los terminales puntos de venta (TPV).  A través de este procedimiento la organización habría atacado a más de 100 compañías consiguiendo el robo de datos de millones de tarjetas bancarias que posteriormente habrían sido vendidas en foros de carding.

Una organización de hackers muy sofisticada

Hablar de Fin7 parece referir a una película de ladrones sofisticados al más puro estilo americano. Los especialistas los describen como una organización profesional y bien articulada, capaz de adaptarse fácilmente y renovarse constantemente para no ser atrapados.

El grupo —que no ha sido vinculado a ningún país de origen, si bien suele ser considerado de habla rusa— parece llevar un riguroso estilo de trabajo. Ha desarrollado sus propias herramientas de malware, (software maligno)y cuentan con un equipo de investigación destinado a probar sus programas de pirateo y conocer si son detectados por los escáneres de seguridad antivirus. Si lo son, estos son rápidamente modificados para pasar desapercibidos. Como demostraba el pasado año la empresa de seguridad Morphisec Fin7 fue capaz de crear en tan solo un día un ataque de malware para una debilidad apenas descubierta en las aplicaciones de Microsoft.

Leer más: Así es cómo los hackers pueden acceder fácilmente a tu teléfono de la oficina y escucharte

"Tienen administradores, tienen lavadores de dinero, tienen desarrolladores de software y tienen probadores de software. Y no olvidemos que tienen los medios financieros para mantenerse ocultos. Ganan al menos 50 millones de dólares al mes. Dado que llevan en el negocio muchos años, probablemente tienen al menos mil millones de dólares a mano", declara Dmitry Chorine, cofundador y CTO de Gemini Advisory, firma de inteligencia de amenazas al medio Wired.

Entre las más de 100 compañías estadounidenses que han sido objetivo de estos hackersse encuentran Whole Foods, Saks Fifth Avenue, Lord & Taylor, Omni Hotels & Resorts o Trump Hotels. Todos estos ataques informáticos han generado hasta el momento pérdidas por decenas de millones de dólares.

Carbanak, el origen de todo

El nombre Fin7 suele estar asociado con el robo de números de tarjetas de crédito a minoristas, cadenas de restaurantes y hoteleras. Pero dada la naturaleza anónima de los ciberataques realmente cuesta mucho saber qué grupo está detrás de cada asalto a la red.

En ocasiones, también son conocidos como "JokerStash," en relación al mercado de la dark web donde el grupo vende los datos de las tarjetas de crédito robadas. Tan solo con el ataque a Saks, en 2017, Fin7 afirmaba haber obtenido un caché de cinco millones de números de tarjetas robadas, —que los piratas llamaron BIGBADABOOM— ofreciendo 125.000 de los registros para su venta inmediata.

A veces este grupo de hackers es también designado como Carbanak, mientras que en otras ocasiones este nombre queda designado exclusivamente para los ataques a entidades financieras, siendo considerado FIN7 una división de la organización.

El nombre Carbanak proviene de "Carberp", un troyano bancario cuyo código fuente ha sido filtrado, y Anunak, un troyano personalizado que ha evolucionado a lo largo de los años. Esta banda es considerada una de las organizaciones de ciberdelincuencia más profesionales del mundo con la capacidad suficiente para con contar equipos especializados en distintas áreas como infiltrado en redes, robo de tarjetas de crédito o venta de datos en foros criminales.

Fue también en España dondeel supuesto líder de Carbank era detenido el pasado mes de marzo. Entre sus acciones mas conocidas, destaca su capacidad para infiltrarse en los sistemas bancarios y hacer que los cajeros automáticos expulsaran dinero sin necesidad de introducir tarjeta de crédito.

Leer más: Así ayuda Microsoft a identificar a los hackers rusos

Sean un grupo solo o múltiples divisiones, todos ellos comenzaron con las primeras campañas de malware que se produjeron entre 2013 y 2015 contra las entidades bancarias. En aquellos años el grupo comenzó atacando a instituciones bancarias rusas y europeas, empleando para ello mulas para ejecutar dinero desde cajeros automáticos y transferencias directas a cuentas bancarias.

Con las primeras detenciones, la actividad de la banda pareció detenerse, hasta que en 2016 se da un regreso pero esta vez a través de grupos diversificados, cada uno con sus propios conjuntos de herramientas preferidos y troyanos, aunque con procedimientos y tácticas parecidas.

Es entonces cuando surge como tal Fin7. Destinado al ciberataque de restaurantes, hoteles y minoristas la banda consigue servirse de las vulnerabilidades del sistema a través de señuelos de correo electrónico y de ataques directos a la infraestructuras informáticas. Consiguiendo hasta el momento miles de datos de usuarios y millones de dólares. Y poniendo en evidencia la dificultad que conlleva aún asegurar por completo los sistemas de transacción con tarjetas de crédito.