El delito cibernético con fines de lucro es una economía global que causa la mayor parte de nuestras desgracias de ciberseguridad y fraude y es un problema al que todos los profesionales del sector de antilavado de dinero (ALD) y del sector financiero deben prestar mucha atención. Es adaptable, ingenioso y lucrativo, al mismo tiempo que nos impone grandes costos. Victimiza las instituciones financieras y sus clientes y utiliza nuestro sistema financiero como conducto para transmitir las ganancias y los pagos ilícitos. La ciberdelincuencia con fines lucrativos también proporciona una base para muchos otros tipos de ciberdelito, incluyendo el hackeo y los ataques de estado-naciones.
El ciberdelito explota a empresas e individuos de todo el mundo y se perpetra en todo el mundo, victimizando y utilizando las instituciones financieras en todas partes. Por lo tanto, es importante que la comunidad global trabaje en conjunto para combatir el ciberdelito. Los EE.UU. es un país que es objetivo lucrativo y conducto debido a su riqueza y sólido sector financiero.
El delito ha existido desde los albores de la civilización, pero el delito cibernético presenta un cambio definitorio. Anteriormente, los delincuentes necesitaban proximidad física con la víctima. Ahora, los delincuentes pueden victimizar las instituciones y a los individuos desde lejos y cruzando las fronteras internacionales. Este cambio significa un grupo global de atacantes, disminución de probabilidades de aprensión, aumento de la rentabilidad y la confianza en la industria financiera para perpetrar estos delitos desde lejos. Tradicionalmente, las agencias de control legal juegan un papel importante en mantener el crimen suprimido a un nivel manejable, pero con el delito cibernético todavía no ha ganado tal tracción. Todo esto demuestra el importante papel que el sector financiero puede desempeñar en la reducción del ciberdelito.
La inmensa rentabilidad del ciberdelito demuestra el alto costo de la victimización y la cantidad masiva de robo, pero también presenta una oportunidad. La policía y la comunidad de ALD pueden "seguir el rastro del dinero" entre los facilitadores y los perpetradores finales. Además, los ciberdelincuentes cometen estos fraudes porque ganan dinero con ellos. Por lo tanto, encontrar una manera de reducir el flujo de las ganancias lo haría menos lucrativo y reduciría la magnitud de la economía delictiva.
Cuando los ciberdelincuentes extranjeros cometen delitos cibernéticos y fraudes que victimizan a los EE.UU., los fondos que representan ganancias ilícitas se transmiten a través y fuera del sistema financiero estadounidense y en manos del ciberdelincuente. Con el fin de detectar y detener este flujo, uno debe entender el ciberdelito y la economía de robo de identidad (es decir, cómo los participantes ganan dinero y cómo se pagan entre sí).
La Ciberdelincuencia y la Economía del Robo de Identidad
Una de las primeras investigaciones delictivas para explorar la naturaleza completa de esta economía global del delito cibernético fue People vs. Western Express International, Inc. et al., caso contra un corrupto cambiador de moneda digital y algunos clientes que eran ciberdelincuentes y ladrones de identidad.1 Apuntalando el caso fueron valiosas lecciones que son válidas hoy y nos enseñan sobre:
- La relación entre los ciberdelincuentes internacionales y los ladrones de identidad nacionales
- El mercado de datos robados, y los delitos para los que se utilizan
- Métodos de transferencia de valor para apoyar el tráfico de datos robados
- Técnicas de lavado de dinero del ciberdelito
- Métodos que usan los ciberdelincuentes y ladrones de identidad para lograr el anonimato
- Métodos para perforar el velo del anonimato
Los ladrones de identidad y los ciberdelincuentes exitosos son buenos en lo que hacen, obtienen ganancias considerables, mantienen el anonimato y evaden las agencias de control legal. Sin embargo, este éxito financiero proporciona pruebas tanto de la delincuencia como de la identidad.
La clave para reducir el ciberdelito y la economía del robo de identidad es su comprensión. La economía gira en torno al robo de datos, su reventa y uso para cometer robo de identidad. Dentro del mercado hay muchos actores diferentes, cada uno con diferentes roles, todos tratando de ganar dinero. Muchos participantes exitosos residen internacionalmente, lo que significa que necesitan confiar en el sistema financiero estadounidense y en los participantes estadounidenses para monetizar el delito cibernético.
Cómo se Monetizan los Delitos Cibernéticos Internacionalmente
Hackeo de Cuentas de Correo Electrónico
La piratería de cuentas de correo electrónico es un fraude cibernético lucrativo contra el que debemos protegernos. Los delincuentes pueden intentar monetizar una cuenta de correo electrónico comprometida por medio de un esquema simple donde el hacker envía un correo electrónico de onda explosiva a todos los contactos de la víctima:
"Socorro, estoy varado en [insertar ciudad extranjera], por favor transfiéreme dinero lo antes posible. No trates de llamarme porque perdí mi teléfono”.
Una mayor amenaza es el uso delictivo de una cuenta de correo electrónico hackeada para desviar inteligentemente los cables de los bancos y robar los fondos, lo que representa una evolución de las habilidades de ingeniería social que ha birlado cientos de millones de dólares. Tales fraudes se denominan "fraude de transacción de correo electrónico de negocios", "fraude de CEO" o "fraude de CFO", y todos los empleados del sector financiero deben tener consciencia de ello. Supongamos que la Compañía A recibe regularmente facturas de la Compañía B y luego paga por medio de transferencia bancaria. Un criminal hackea la cuenta de correo electrónico de un empleado de la Empresa B, se hace pasar por el empleado y envía un correo electrónico a la Empresa A, proporcionando "nuevas" instrucciones de transferencia bancaria. El empleado de la Compañía A es engañado y la Compañía A transfiere fondos a la "nueva" cuenta bancaria, la cual es controlada por el defraudador que inmediatamente envía los fondos fuera del país. El fraude puede ser bastante sofisticado y creíble, viene en variaciones que no requieren la piratería de cuentas de correo electrónico, y la estafa puede engañar a las víctimas para retrasar la detección durante días o semanas. Este fraude afecta directamente al sistema financiero convencional, ya que utiliza las cuentas bancarias tradicionales y los cables bancarios para robar, lavar y enviar fondos fuera del país.
El Fraude de Tarjeta de Pago
El fraude de tarjeta de pago requiere muchos participantes, y cada uno necesita que se le pague por su participación en hacer posible el fraude. Este fraude se basa en tres pasos básicos que se describen en la Ilustración 1:
- El robo de los datos de la tarjeta de crédito, como el incumplimiento de los datos de un minorista
- La venta de estos datos robados a los ladrones de identidad
- El uso de estos datos robados para cometer fraude
Aquí, el hacker se encuentra en el extranjero, y roba datos relacionados con millones de cuentas de tarjetas de crédito de un minorista en los EE.UU. El robo de estos datos no le proporciona dinero al delincuente, por lo que debe venderlos a otros para obtener ganancias. Dado que estos datos fueron robados de los EE.UU., el mejor mercado para estos datos son los ladrones de identidad en el país, ya que tratar de utilizar estas tarjetas de pago en el extranjero probablemente provocaría alertas de fraude.
Los ladrones de identidad pagan por estos datos robados de una manera que mantiene el anonimato, y cada pago puede ser pequeño, unos pocos cientos o miles de dólares. El pago se puede enviar por medio de un servicio de transferencia de dinero mientras se utiliza el remitente ficticio y los nombres de los destinatarios o se podría enviar a través de moneda digital, como Bitcoin, WebMoney y Perfect Money. Por medio de estos pagos, un solo proveedor de datos de tarjetas de crédito robadas podría ganar millones de dólares al año.
Muchos otros tipos de fraude informático que existen en última instancia requieren el pago o la transferencia de fondos de los EE.UU. a ciberdelincuentes internacionales basados en el país.
Transfiriendo el Dinero
Al enviar y recibir pagos, los delincuentes—como los empresarios legítimos—tratan de equilibrar el costo financiero, la conveniencia, la velocidad y la fiabilidad. Los delincuentes tienen la necesidad adicional de mantener el anonimato y el secreto. Los profesionales de ALD deben considerar cuatro conductos básicos que los ciberdelincuentes usan para transferir sus fondos:
- Transferencias bancarias a través del sistema financiero convencional
- Servicios de transferencia de dinero
- Moneda digital
- Mulas de dinero y corporaciones fantasmas
Los delincuentes han estado utilizando mal el sistema financiero y los métodos de pago desde sus respectivas creaciones. No debería sorprendernos que los ciberdelincuentes continúen con esta tendencia y abusan todo lo que está disponible para ellos.
Transferencias Bancarias
Las transferencias bancarias, a través del sistema financiero convencional, siguen siendo una parte esencial de la transferencia global de fondos y son esenciales para la economía del delito cibernético. Las instituciones financieras se enfrentan a una triple amenaza: 1) son atacadas repetidamente y se arriesgan a convertirse en víctimas de fraude o violación de datos, 2) necesitan evitar que sus clientes se conviertan en víctimas de fraude y 3) necesitan evitar que se utilicen como un conducto involuntario para fondos o actividades delictivas.
Las transferencias bancarias pueden iniciarse o mal dirigirse sobre la base del fraude, incluido por medio del escenario de compromiso de cuenta de correo electrónico mencionado anteriormente. Los bancos tienen procedimientos para detectar si el cliente ha sido hackeado, pero a veces los procedimientos para detectar otros fraudes faltan. Si el titular de la cuenta se basa en un tercero que es hackeado, o si el titular de la cuenta es engañado de otra manera o utilizado como herramienta para el fraude relacionado con el delito cibernético, los bancos pueden no detectarlo. Además, algunos clientes bancarios pueden utilizar una variedad de técnicas para ocultar la verdadera propiedad, fuente y destino de los fondos, incluso a través de cuentas de mulas de dinero y corporaciones fantasmas. Los cables bancarios también juegan un papel importante con la moneda digital.
Servicios de Transferencia de Dinero
Los servicios de transferencia de dinero, como Western Union, son una herramienta importante para los ladrones de identidad y los ciberdelincuentes, ya que les permite pagar por datos robados, servicios de ciberdelincuencia y comprar moneda digital. Para mantener el anonimato, se usan nombres falsos al enviar y recibir los pagos. Los ciberdelincuentes exitosos que ganan millones de dólares al año pueden emplear los servicios de otros delincuentes para recibir y procesar estos pagos de transferencia de dinero. Ocasionalmente, un nombre de destinatario se bloquea debido a asociaciones con conducta delictiva, en cuyo caso los delincuentes pueden pasar a otro destinatario.
Moneda Digital
La moneda digital ha existido durante dos décadas, y los ciberdelincuentes y los ladrones de identidad la abrazaron desde el principio. La industria de la moneda digital regulada tiene sólo unos años. Aunque algunos defensores de la moneda digital pueden ser sensibles sobre su vinculación con el delito cibernético, hay sinergias que deben ser reconocidas y comprendidas. Ellos son ignorados por el peligro de la industria, ya que la comprensión hace posible mantener limpio el sistema de moneda digital, y así asegurar que sea sostenible como una industria regulada.
La conexión de la moneda digital con el crimen no la hace única como método de pago. Considere cómo la moneda en efectivo se ha entrelazado con la delincuencia tradicional de la calle, como con el narcotráfico. Cuando se venden drogas ilegales, las transacciones delictivas son en persona, y las drogas se cambian por dinero en efectivo. Los narcotraficantes exitosos necesitan integrar montañas de dinero en efectivo al sistema financiero, y así desarrollaron esquemas de lavado de dinero sofisticados para hacerlo posible. Por el contrario, las transacciones delictivas relacionadas con el ciberdelito y el tráfico de datos se completan en línea y el dinero en efectivo es insuficiente. El pago debe hacerse en línea, de forma instantánea y anónima, para que los datos robados sean entregados al comprador. La moneda digital puede hacer eso; por lo tanto, simplemente hace para la economía del delito cibernético lo que el efectivo hace para la economía de drogas ilegales. En comparación con el efectivo, hay beneficios e inconvenientes para los profesionales de ALD y de control legal.
La moneda digital está afiliada a los servicios bancarios convencionales y transferencias bancarias. Cada cambiador de moneda digital necesita una cuenta bancaria convencional, y las transferencias bancarias internacionales son necesarias para transmitir los fondos con el fin de igualar el desequilibrio comercial inherente que se produce cuando la economía del delito cibernético utiliza la moneda digital.
Este desequilibrio digital del comercio de divisas ocurre porque hay ladrones de identidad dentro de los EE.UU. que compran continuamente la moneda digital, que se utiliza entonces para pagarles a los ciberdelincuentes internacionales por los datos robados. Esto crea un flujo continuo de pagos en moneda digital de los EE.UU. al país de destino, y esta moneda digital necesita ser "repatriada" nuevamente a los EE.UU. para que pueda reutilizarse.
Considere la Ilustración 2 y los pasos básicos representados:
- El ladrón de identidad obtiene moneda digital
- El ladrón de identidad paga al cibercriminal por los datos robados
- El ciberdelincuente intercambia moneda digital por moneda fiduciaria
- Repite—el ladrón de identidad necesita más moneda digital para comprar más datos robados
Los pagos individuales en moneda digital pueden ser cientos o miles de dólares. En conjunto, esto representa un flujo anual de millones de dólares.
También, considere el ransomware, un fraude incontrolado y lucrativo que también confía en la modernidad digital, obteniéndoles a los delincuentes informáticos internacionales millones de dólares por año. El ransomware es un malware que infecta la computadora de un usuario y luego encripta los datos del usuario y lo mantiene como rehén, a menos que y hasta que el pago sea hecho por moneda digital de la víctima al defraudador. Miles de víctimas de ransomware compran moneda digital, que luego pagan a los ciberdelincuentes internacionales.
Todos estos pagos en moneda digital a los ciberdelincuentes internacionales crean un desequilibrio digital del comercio de divisas, que se cura mediante la repatriación de esta moneda digital de vuelta a los EE.UU. Este retorno de la moneda digital puede lograrse a través de transacciones globales de moneda digital, con transferencias bancarias recíprocas de EE.UU. a cuentas internacionales con el fin de pagar por esta moneda digital.
Mulas de Dinero y Corporaciones Fantasmas
Los ciberdelincuentes ubicados internacionalmente dependen de instituciones dentro de los EE.UU. para recibir y procesar los pagos. Donde los fondos son robados a las víctimas en los EE.UU., y en última instancia destinados a los ciberdelincuentes en el extranjero, una mula de dinero proporciona una estación conveniente a través de la cual entregar los fondos. Una mula de dinero es esencialmente una persona inteligente o involuntaria que recibe y luego transmite fondos adquiridos ilegalmente.
Considere la estafa de transacción de cuenta de correo electrónico antes mencionada, donde la Compañía A piensa que transfiere fondos a la nueva cuenta bancaria de la Compañía B, pero en realidad está transfiriéndolo a una cuenta de una mula de dinero, bajo el control del estafador. La Compañía A se engaña por este fraude porque la cuenta de la mula de dinero está dentro de los EE.UU. Si la Compañía A hubiera sido informada de que debía transferir los fondos internacionalmente, sabría que era un fraude porque la Compañía B no usaría una cuenta bancaria extranjera. Por lo tanto, la cuenta de la mula de dinero interna se requiere para recibir los fondos, que pueden ser transferidos internacionalmente. Cuando se detecta el fraude, los fondos están fuera de los EE.UU. y no pueden recuperarse. Hay muchas formas a través de las cuales las mulas de dinero son reclutadas. Algunas crudas y algunas bastante sofisticadas y respaldadas con identidades corporativas legítimas, sitios web y documentos.
Aunque las mulas de dinero a menudo son "desechables" (usadas para una sola incidencia de fraude y luego rechazadas por el ciberdelincuente), hay más estaciones permanentes para los fondos. Las corporaciones fantasmas (o corporaciones ficticias) y sus cuentas bancarias requieren más configuración y administración, y por lo tanto son menos desechables. El propósito subyacente sigue siendo el mismo: disfrazar el verdadero propósito de la cuenta y los verdaderos dueños. Una vez detectado el fraude o el lavado de dinero, es difícil para los reguladores y las agencias de control legal identificar a los beneficiarios finales del fraude.
La Contención del Flujo
Para evitar el flujo de fondos cibernéticos es necesario enfatizar las siguientes áreas:
- Ciberseguridad personal y conocimiento del fraude
- Mayor revisión y escrutinio por parte del sistema financiero
- Aumento del control de los pagos
Ciberseguridad Personal y Conocimiento del Fraude
La ciberseguridad y el antifraude no es sólo para los expertos, sino una responsabilidad individual, como ponerse el cinturón de seguridad o cerrar la puerta por la noche. Cada persona confiada es una avenida a través de la cual los delincuentes pueden comprometer sistemas informáticos o financieros. Esto comienza con cada persona en casa, que protege al individuo y la familia, y luego se extiende a la organización. Cada persona puede pasar de ser una víctima de ataque potencial a un sensor de detección.
Usted debe endurecerse empleando los pasos básicos de seguridad cibernética:
- Habilite la autenticación de dos factores (inicio de sesión en dos pasos) en cuentas financieras, de correo electrónico y otras cuentas importantes en línea
- Asegúrese de que sus dispositivos informáticos se mantienen libres de malware y están actualizados
- Realice una copia de seguridad de sus datos regularmente y guárdela sin conexión
- No abra adjuntos sospechosos ni haga clic en enlaces sospechosos
- Tenga conversaciones verbales para confirmar cualquier instrucción de pago
- Use el sentido común
Mayor Revisión y Control por Parte del Sistema Financiero
El sistema financiero se enfrenta a las tres amenazas mencionadas anteriormente, y está bien adaptado para combatir la transferencia de fondos cibernéticos debido a su experiencia, sistemas y acceso a importantes conjuntos de datos. El sistema financiero es en última instancia el conducto a través del cual los beneficios agregados de la ciberdelincuencia salen de los EE.UU., entonces un análisis más profundo puede ayudar a identificarlo.
Los ciberdelincuentes seguirán encontrando víctimas y mulas de dinero dentro de la población de los EE.UU, y las instituciones financieras deberían usar su experiencia en detección de fraude y lavado de dinero para identificar estas situaciones y evitar que los fondos ilícitos salgan del país. Ciertos países y bancos tienen más probabilidades de recibir fondos derivados del fraude informático y han demostrado que no cooperan en el rastreo o recuperación de los fondos robados. Las transferencias bancarias al extranjero deben ser examinados minuciosamente antes de que se envíen, porque no son recuperables una vez que se envían.
Aumento del Control de los Pagos
Las transferencias de dinero internacionales con el fin de comprar datos robados siguen patrones discernibles, incluso cuando los nombres ficticios son utilizados por el remitente y el destinatario. Con suficientes datos y experiencia, es posible distinguir los pagos delictivos de los pagos legítimos. Del mismo modo, aunque muchas cuentas en moneda digital pueden ser anónimas, los pagos todavía se pueden analizar para discernir propósitos delictivos. Además, los patrones que indican la repatriación de moneda digital a los EE.UU. deben ser investigados de cerca.
El advenimiento de la regulación de la moneda digital dentro de los EE.UU. trajo requisitos de conozca a su cliente (KYC) a los intercambiadores de divisas nacionales, lo que significa que los ladrones de identidad pueden estar inclinados a utilizar cambiadores ubicados fuera del país. Por lo tanto, las transferencias de dinero internacionales se pueden utilizar para comprar moneda digital, y esos patrones deben ser analizados.
Los métodos de KYC que dependen de la verificación de identidad por teléfono o en línea tienen debilidades inherentes cuando se trata de ladrones de identidad y ciberdelincuentes. Estos delincuentes tienen acceso casi ilimitado a información personal identificable robada, por lo tanto la mera provisión de pedigrí tales como nombre, dirección, fecha de nacimiento y número de seguro social puede ser de uso limitado para confirmar la identidad. Además, si una empresa de pagos identifica una operación sospechosa y simplemente bloquea los pagos a un alias delictivo, el delincuente simplemente establecerá otro. Por lo tanto, puede ser necesario un análisis más profundo y un remedio más profundo. Finalmente, la capacidad de estos delincuentes para hacer identificaciones falsas convincentes también debe considerarse, si las identificaciones se presentan en línea o en persona.
Conclusión
Nuestros pasos colectivos como ciudadanos del mundo para combatir la epidemia del delito cibernético no se han adecuado todavía y hay margen de mejora en muchos frentes. Las comunidades financieras y de ALD deben reconocer el papel crucial que pueden desempeñar en esta lucha, y deben trabajar para reducir la inundación de ganancias mal habidas que los delincuentes obtienen de estos delitos.
- La investigación y el proceso penal abarcaron casi un decenio, la mayor parte de los imputados se declararon culpables, a la vez que tres se presentaron a juicio y se les sentenció por cada cargo. Véase, e.g., Kim Zetter, Ukrainian Carder in $5 Million Ring Sentenced to 14-Plus Years in Prison, WIRED, August 8, 2013, https://www.wired.com/2013/08/carder-eskalibur-sentenced/.