Hace treinta años, un joven ruso demostró que no hacía falta ni un arma ni una máscara para robar un banco. Solo un ordenador y una conexión telefónica.
El primer hacker en robar un banco online sin malware o inteligencia artificial
Generada con IA
Por: Carolina González Valenzuela
En 1994, los bancos empezaban a dar sus primeros pasos en el mundo digital. La idea de hacer transferencias desde el ordenador era algo que comenzaba a calar entre las personas, y Citibank, uno de los grandes bancos de Estados Unidos, presumía de estar a la vanguardia en este aspecto.
Sin embargo, la confianza en este método duró poco: desde un apartamento en San Petersburgo, un hacker ruso de 23 años consiguió colarse en su sistema y mover millones de dólares sin hacer apenas ruido y sin usar grandes tenías para su ciberataque.
Vladimir Levin no era un gran genio en este aspecto, pero tenía algo que entonces escaseaba y es la curiosidad y el tiempo para investigar a fondo los primeros sistemas conectados. Desde su ordenador, se conectó a una línea telefónica y consiguió acceder al sistema interno de Citibank. Lo hizo sin virus, sin malware y sin inteligencia artificial. Solo con paciencia.
Muchos expertos ni siquiera consideran que Levin usara Internet. Lo que él hackeó fue una red privada de telefonía llamada X.25, que conectaba directamente con los sistemas del banco.
Aprovechándose de esta novedad y, por lo tanto, la gran cantidad de fallos que iba a tener, usó contraseñas obtenidas de clientes del banco, y empezó a mover dinero de un lado a otro del mundo. En cuestión de semanas, transfirió más de tres millones de dólares a cuentas que controlaban él y sus socios en Estados Unidos, Finlandia, Alemania, Holanda e Israel.
Levin no necesitó romper sistemas muy avanzados ni diseñar ataques de gran calado
Aprovechó un fallo básico para llevar a cabo todo esto. Citibank permitía a sus clientes hacer transferencias por teléfono sin ningún tipo de cifrado. Bastaba con tener las claves correctas. Así que, con los datos en la mano, Levin se hizo pasar por los clientes y ordenó las transferencias. Así de simple.
Durante semanas, el banco no se dio cuenta. Hasta que empezaron a aparecer movimientos sospechosos en sus sistemas. El FBI entró en escena y, tras seguir la pista del dinero, descubrió que las transferencias acababan siempre en cuentas ligadas a un grupo de colaboradores de Levin repartidos por varios países. Cuando trataron de retirar los fondos, los agentes los detuvieron.
La operación internacional para recuperar los fondos fue una pesadilla con Rusia, Estados Unidos, Reino Unido, Finlandia e Israel, teniendo que coordinarse y dándose cuenta de lo realmente difícil que era perseguir este tipo delitos que escapan cualquier frontera.
Levin, sin embargo, tardó en caer. Fue arrestado en Londres en 1995, después de una larga investigación internacional. Intentó evitar su extradición a Estados Unidos durante más de dos años, pero en 1997 acabó en Nueva York frente a un juez. Se declaró culpable de conspirar para defraudar al banco y fue condenado a tres años de cárcel.
Aunque Citibank logró recuperar casi todo el dinero, el daño ya estaba hecho. Por primera vez, una entidad reconocía públicamente que había sido víctima de un robo digital. Fue un escándalo mundial y, como ya te puedes esperar, los bancos entendieron que no bastaba con ofrecer servicios online y también tocaba protegerlos.
Gracias a todo esto, los bancos comenzaron a tomarse la cosa muy en serio con métodos de seguridad que hoy ya son un clásico como autenticación de dos factores, contraseñas seguras, cifrado de datos y vigilancia si hay movimientos sospechosos.
El FBI, por su parte, creó divisiones especializadas en delitos informáticos, así que parece que a este curioso informático que tampoco buscaba hacer daño porque sí y se encontró con una mina de oro hay que agradecerle muchas cosas.