Los hackers están robando millones en Brasil y amenazan el gasto público del gobierno de Lula da Silva

(Desde San Pablo) Si la policía federal no lo hubiera frustrado, el último ataque hacker del pasado viernes podría haber sido realmente fatal para Brasil. De hecho, el plan estaba dirigido a uno de los principales bancos públicos del gigante latinoamericano, junto con el Banco do Brasil, es decir, la Caixa Econômica Federal. Los objetivos eran dobles.

Por un lado, desviar los fondos de la denominada cuenta PI o de pago instantáneo, una cuenta especial abierta por las instituciones financieras en el Banco Central (BC) para garantizar transacciones de pago instantáneas seguras entre diferentes bancos. Por otro lado, sustraer los fondos de los programas del Gobierno federal y los gastos y créditos del presupuesto público. Si el ataque hubiera tenido éxito, habría minado la solidez de las instituciones afectadas e incluso la capacidad del Estado para financiar parte del gasto público.

El viernes, la Policía Federal detuvo a ocho personas que, a pesar de todo, niegan todas las acusaciones. Según las investigaciones, se trataría, sin embargo, del mismo grupo que el pasado 30 de junio llevó a cabo el mayor golpe informático de la historia del país, con 800 millones de reales (150 millones de dólares) sustraídos a ocho bancos. En ese caso, la banda logró su objetivo sobornando a un empleado de C&M, un proveedor de servicios tecnológicos que conecta a bancos y empresas fintech al sistema Pix, el sistema de transferencias bancarias rápidas implementado por el Banco Central. La principal pérdida la sufrió el Banco BMP, con un daño de 479 millones de reales (90 millones de dólares).

El fallido ataque del viernes fue el último capítulo de una escalada que en las últimas dos semanas ha puesto en alerta al sistema financiero brasileño. El pasado 29 de agosto fue atacada Sinqia, una empresa tecnológica que interconecta instituciones financieras. Se robaron 710 millones de reales (133 millones de dólares), de los cuales 583 millones de reales (109 millones de dólares) fueron bloqueados por el Banco Central. La principal víctima del ataque fue el banco HSBC. Fuentes de la investigación dijeron a Infobae que no descartan la hipótesis de que el ataque haya sido coordinado por el crimen organizado como venganza por las tres operaciones policiales —entre ellas la denominada Carbono Oculto— llevadas a cabo el día anterior contra la trama financiera del Primer Comando de la Capital (PCC), que utilizaba fintech para blanquear sus ganancias ilícitas.

El 2 de septiembre le tocó el turno a la fintech Monbank, que denunció un robo cibernético de 4,9 millones de reales (unos 917 mil dólares). La entidad precisó que el incidente no afectó directamente a los titulares de cuentas corrientes, sino a la cuenta de reserva del banco, utilizada para operaciones financieras. Gracias a los procedimientos de seguridad activados de inmediato, se recuperó la mayor parte de los recursos sustraídos, unos 4,7 millones de reales (unos 879 mil dólares). Cuatro días después, el 6 de septiembre, el Banco Central emitió una nueva alerta de seguridad tras detectar un ataque informático contra la empresa de pagos E2 Pay, que no está autorizada por la autoridad monetaria para operar en el sistema financiero nacional.

Según el comunicado oficial, el incidente supuso la retirada fraudulenta de sumas de dinero. "Por lo tanto, recomendamos las siguientes medidas inmediatas: reforzar la supervisión continua de todas las transacciones financieras, incluidas las internas (las denominadas transferencias contables, es decir, las transferencias de fondos entre cuentas de la misma institución)", se lee en el comunicado del Banco Central, que justo el día anterior había emitido nuevas normas para aumentar la seguridad, que los hackers tuvieron en cuenta para eludir los controles. De hecho, en este ataque se registraron varias transferencias a cuentas ficticias de otras instituciones financieras, por un máximo de 10.000 reales (1.870 dólares), tal y como prevé la nueva normativa.

Finalmente, el episodio ocurrido el viernes encendió una gran alarma después de que el Departamento de Represión de Delitos Informáticos (Deleciber) de la Policía Federal recibiera una denuncia precisamente de la Caixa Econômica Federal. El grupo criminal estaba a punto de obtener de un responsable de una sucursal, en el centro de San Pablo, un ordenador con acceso externo a la VPN del banco. Gracias a la complicidad de al menos un empleado, los delincuentes habrían tenido las claves de acceso para vaciar los fondos estratégicos del Banco Central si un funcionario no hubiera sospechado algo y alertado a la policía. La operación fue rocambolesca. Mientras uno de los hackers fue detenido in fraganti cuando intentaba retirar el portátil, los demás miembros del grupo criminal se preparaban en una casa del este de la ciudad para lanzar el ataque con otro ordenador cuando la policía irrumpió en el lugar. En la casa fueron detenidas seis personas que utilizaban seudónimos como SETHH 7, RBS y BA. Las escuchas telefónicas revelaron una planificación meticulosa, como el alquiler de una casa en San Pablo, la llegada de "doleiros" encargados de blanquear el dinero, la transformación inmediata de las sumas robadas en criptomonedas enviadas a carteras extranjeras tras pasar por miles de cuentas ficticias. En las conversaciones también se dijo que uno de los miembros del grupo era responsable del ataque al sistema Sinqia del pasado 29 de agosto, mientras que otros mensajes sugerían contactos con empleados corruptos de bancos, dispuestos a facilitar los golpes.

Para la Policía Federal, se trata de una organización criminal sofisticada y transnacional, capaz de explotar las fallas estructurales del sistema de transparencia bancaria rápida Pix y de orquestar el robo de cifras astronómicas, blanqueadas con técnicas avanzadas de lavado digital. Una amenaza no solo para los bancos, sino para todo el sistema financiero brasileño. Por lo tanto, aunque no se trataba de grupos de hackers extranjeros, por ejemplo rusos o norcoreanos, como se pensó en un primer momento, la red en la que confluían las operaciones de blanqueo era, en cualquier caso, transnacional.

El PCC se ha especializado desde hace tiempo en el blanqueo a través de las criptomonedas. "Hoy en día, el PCC es una de las organizaciones mejor equipadas para las criptomonedas o incluso para su minería", explica a Infobae Antonio Nicaso, experto en mafia y crimen transnacional y profesor de la Queen’s University, en Canadá.

Nicaso recuerda a Infobae cómo la evolución del PCC ha sido rápida en este sector. Durante una interceptación en la operación Pollino de 2018, que reveló una red internacional de narcotráfico gestionada por la mafia calabresa ‘ndrangheta, "se canceló una operación de pago de la ‘ndrangheta al PCC por un alijo de droga porque el PCC no aceptaba pagos en bitcoins al no saber gestionar las transacciones en criptomonedas". Desde entonces, el panorama ha cambiado profundamente. "Hoy en día, el crimen transnacional utiliza las criptomonedas como la inteligencia artificial, lo que convierte al narcotráfico en una dimensión global", dice Nicaso a Infobae.

El PCC ha crecido tanto en el sector cibernético que, además de utilizar empresas con sede en Londres que operan con criptomonedas, está cada vez más presente en el sector de la minería ilegal de monedas virtuales. Basta pensar que el vecino Paraguay, donde el grupo criminal brasileño se ha infiltrado de manera significativa desde hace años, se ha convertido en la meca del sector. En mayo de 2024, justo en la frontera con Brasil, se llevó a cabo la mayor incautación de bitcoins con el descubrimiento de 2.700 ordenadores destinados a su extracción. Pocos meses después, en agosto de 2024, la Administración Nacional de Energía de Paraguay incautó 693 ordenadores utilizados ilegalmente por diferentes empresas mineras. En Brasil, la ley no prohíbe la extracción de bitcoins siempre que se cuente con una autorización para operar y no se robe energía, un fenómeno cada vez más frecuente.

La semana pasada, en Río de Janeiro, se detuvo in fraganti a un hombre que se conectaba clandestinamente a la red eléctrica para alimentar su estructura ilegal de minería de bitcoins. En los últimos meses se han repetido episodios similares con cada vez más frecuencia, aunque Brasil es menos ventajoso que Paraguay en cuanto a los costes de la electricidad y al clima cálido, que hace que los ordenadores se sobrecalienten.

La semana pasada, el director de Regulación del Banco Central, Gilneu Vivan, declaró que antes de que finalice el año se publicarán las nuevas normas sobre el sector de las criptoactivos, previstas en el marco legal aprobado por el Congreso en 2022, pero aún no implementadas. El Banco Central ya ha expresado en varias ocasiones su preocupación por el aumento del uso de las stablecoins en Brasil, un tipo particular de criptomoneda diseñada para mantener un valor estable, a menudo vinculada a transacciones financieras ilícitas. Para contrarrestar esta preocupante ola de ciberataques, el Banco Central (BC) ha también anunciado nuevas medidas. Estas prevén que las instituciones de pago no autorizadas por el BC, pero conectadas a la Red del Sistema Financiero Nacional a través de proveedores de servicios informáticos, estén sujetas a un límite máximo de 15.000 reales (unos 2.805 dólares) por cada transferencia bancaria digital.

Según el presidente del BC, Gabriel Galípolo, este límite se ha establecido porque el 99% de las operaciones realizadas a través de Pix o TED (las transferencias bancarias tradicionales brasileñas) ya se encuentran por debajo de ese umbral. La idea es dificultar la acción de los delincuentes informáticos. Al obligarlos a realizar un elevado número de microoperaciones en lugar de una sola transferencia de gran cuantía, se reducen las posibilidades de éxito de los fraudes y aumenta la probabilidad de que sean interceptados por los sistemas de seguridad. Galípolo también ha anunciado que ninguna institución de pago podrá operar sin la autorización previa del BC, y que la fecha límite para solicitar la licencia se ha adelantado a mayo de 2026, en lugar de diciembre de 2029.

(InfobaE)