Una noticia que no tuvo gran trascendencia en los grandes medios. No obstante, es un caso tan interesante como grave. La municipalidad de la localidad bonaerense de 25 de Mayo, donde viven 40 mil habitantes, fueron víctimas de una estafa promovida a través de una campaña de Google. Enterate cuál fue la metodología implementada por los delincuentes en esta nueva modalidad de robo.

    Nota original: “25 de mayo: el pueblo al que le robaron $ 3,5 millones con un aviso en Google”, en La Nación (07/08/2017)

    Parecía un día más. Un día alegre, en realidad, para este municipio de 40 mil habitantes. Porque en el partido de 25 de Mayo, a 220 kilómetros de la Capital, después de mucha insistencia recibían una ambulancia para Norberto de la Riestra, una de las localidades de este partido bonaerense. Un pedido que el intendente Hernán Ralinqueo había solicitado hacía tiempo y que llegaría temprano ese día.

    La Municipalidad

    Aquel lunes 21 de noviembre de 2016, Roberto Testa, el tesorero del municipio, entró a trabajar a las 8 de la mañana en 25 de Mayo, la ciudad que es cabecera del partido homónimo y que crece junto a la laguna Las Mulitas. A las 10, como todos los días, fue al Banco Provincia. Pidió que le imprimieran un resumen con todos los movimientos de las cuentas bancarias. Y volvió antes de que sus compañeros lo acusaran, en broma, de perder tiempo en el bar de enfrente. “Hasta esa mañana. Ahora le pedimos que vaya siempre y que se quede el tiempo que quiera”, sonríe Marta Ticera, Secretaria de Hacienda.

    Testa fue el héroe. Ese día detectó, con su ojo prolijo de 32 años de carrera, que algo no andaba bien.

    25 de Mayo es una localidad de 40 mil habitantes, a 250 km de la Ciudad de Buenos Aires. Recientemente, los empleados de la municipalidad detectaron que se estaba llevando a cabo “en vivo” el saqueo de la cuentas bancarias de la comuna. Como fue el caso y qué metodología y técnicas “al alcance de todo el mundo” usaron los ciber-delincuentes para llevar adelante el defalco.

    “Empiezo y veo en el resumen que teníamos una transferencia por 100 mil pesos, otra por 90 mil. Me fui corriendo a lo del contador a comprobar por qué habíamos hecho esos movimientos”, explica. Transferencias con doble cero al final: demasiado redondas. Dejó la birome, pero no el enorme talonario, y atravesó el hall principal de la municipalidad hasta llegar al otro costado del edificio, esquivando cajas con documentos y algunos monitores de tubo.

    El Home Banking

    Paolo Salinas, el contador hace 18 años y encargado de emitir los pagos, giró su mirada hacia la puerta de la oficina para recibirlo. Escuchó a Testa y de inmediato se metió en las cuentas de home banking con su computadora. Salinas es el único que sabe las claves. Y no las anota en ningún lado, “por seguridad”, dice. “Están en mi cabeza”, acota.

    No recuerda específicamente el proceso de ese día, pero por lo general busca “Banco Provincia BIP” (Banca Internet Provincia) en Google, hace clic en el primer resultado, ingresa las claves y empieza a revisar las cuentas. “En ese momento me decía que había un usuario más adentro al mismo tiempo que yo”, recuerda. Le preguntó a Romina Mancha, la subcontadora, si era ella. “No”, le contestó Mancha desde el otro lado de la oficina, mientras dejaba su silla y se acercaba a la PC de Salinas. Ya eran tres viendo el mismo LCD. “Veíamos más y más transferencias de proveedores por valores muy grandes, lo veíamos todo en directo”, recuerda.

    Mancha dejó el monitoreo y fue corriendo hasta la oficina de Ticera, la Secretaria de Hacienda, quien a esa hora estaba reunida. No golpeó la puerta cerrada para entrar. “Me interrumpe y me dice: “nos están robando, nos están robando”. Entonces miré alrededor para buscar un revólver, un ladrón. Pero no había nadie. “¡Nos están sacando plata de las cuentas!”, me aclara la subcontadora. No entendía nada. Dejé la reunión y corrimos nuevamente a contaduría”, recuerda. Ya con el doble chequeo, fueron a buscar al Intendente: “Salimos disparadas”.

    La plaza

    “Entraron corriendo y empezaron a hablar al mismo tiempo. No les podía entender bien lo que pasaba, me decían que se estaban robando la plata. Les dije que no, que era un error. Les pedí que fueran rápido al Banco Provincia”, recuerda Hernán Ralinqueo, intendente (Frente para la Victoria) desde el 10 de diciembre de 2015.

    Ticera juntó a Salinas, a Testa y a Cristian Farina, secretario de Ralinqueo, y salieron corriendo al Provincia. Antes imprimieron en papel todos los movimientos del Home Banking.

    Cruzaron a toda velocidad los 100 metros de la Plaza Mitre que separan la municipalidad de la sucursal 6406. Malas noticias: el gerente estaba de vacaciones. La primera reacción del otro lado de mostrador, encima, los exasperó: “llamen al 0800”. “¡Llamen al Banco Central! ¡Emitan una alerta roja!”, les gritó Ticera, desesperada.

    Les dijeron, entonces, que nunca les había pasado algo similar. “¡Pero les está pasando ahora!”, los volvió a increpar Ticera. Volvieron frustrados a la municipalidad. Ralinqueo pidió denunciar inmediatamente el hecho en la comisaría, que está al lado del municipio. Lo hicieron. Y volvieron una y otra vez al banco para insistir, al menos, con el bloqueo de cuentas.

    En pocas horas del ‘hackeo’ la Municipalidad Bonaerense perdió más del 1% de su presupuesto anual. El comisario, asorado, afirmó que “acá se roban vacas, un auto, una bicicleta, pero nunca había escuchado de un hackeo”. ¿Está preparado el país para este tipo de robos y delincuentes? ¿Se toman las medidas de seguridad necesarias?

    Tres millones y medio

    El intendente, de 32 años (nació un mes antes de que Testa entrara a trabajar al municipio), todavía no salía de su asombro. Le pidió a Salinas que le mostrara lo que estaba sucediendo. Otra vez. Se dieron cuenta que habían aparecido más transferencias, todas hechas a proveedores no habituales del municipio. “Cada segundo que pasaba perdíamos más plata”, rememora. A esa altura, casi el mediodía de ese lunes fatídico, ya había 3 millones y medio menos de pesos en las arcas municipales: el 1 por ciento del presupuesto anual de 25 de Mayo se había evaporado en una mañana.

    “Y teníamos miedo que esto estuviera pasando en el resto de la provincia y que nos estuvieran robando a todos”, acota Ralinqueo. “El comisario no entendía: acá se roban vacas, un auto, una bicicleta, pero nunca había escuchado de un hackeo”, describe el intendente.

    Entonces, recibieron al menos una buena noticia: lograron que les bloquearan las cuentas. Eran poco más de las 12.

    En el BIP seguían viendo los intentos de transferencia. “Operación denegada”, una y otra vez. “Incluso probaban con proveedores habituales para ver si era una cuestión solamente con los nuevos”, rememora el contador Salinas. “Si no hubiera ido Roberto al banco…”, insiste Ticera. “A mí me gusta el papel. Para eso voy todos los días, por suerte tengo vía libre y no hago cola. En una época había que sacar número y perdía tiempo. Ahora me dan los saldos directamente y alrededor del mediodía los veo. Ese día no: lo vi más temprano, fue pura casualidad y por suerte pude detectarlo”, se enorgullece Testa.

    Pesca con mediomundo

    Juan Ignacio Bidone es fiscal de investigaciones complejas del Departamento Judicial de Mercedes. A esta altura, tiene muy claro lo que pasó. La secuencia del robo de 3 millones y medio pesos al municipio de 25 de Mayo, dinero que luego fue extraído de diferentes cuentas, se realizó mediante phishinguna forma de engaño informático con la que se logra que un usuario revele información personal. Los ciberdelincuentes crearon un sitio falso similar al de la Banca Internet Provincia, también conocido como BIP por sus iniciales. Era idéntico al verdadero, pero con un detalle: la dirección, que obviamente no puede ser la original. Suplantaron la a por la s, para hacer más imperceptible el cambio, y montaron un sitio en la dirección bancsprovincia.bancsinternet.com.ar.

    Para lograr que alguien visitara ese sitio pensando que estaba entrando al Banco Provincia aplicaron una técnica llamada black hat SEO: una estratagema que desafía las reglas para lograr escalar posiciones en los listados de Google. En este caso, contrataron el servicio publicitario de AdWords; eso fue determinante, ya que lograron hacer que ante una búsqueda en Google de la frase “Banco Provincia BIP” el sitio falso que crearon apareciera como primer resultado.

    “Lo publicitaron para que se viera solo en algunas zonas de la Provincia de Buenos Aires”, explica Bidone. Según las investigaciones, el aviso estuvo activo desde el 17 de noviembre. En esos días algunos cayeron. “Tiraron un mediomundo y pescaron”, cree Bidone. En el expediente figura la imagen de la publicidad falsa.

    No fueron amateurs. Para lograr que alguien visitara ese sitio pensando que estaba entrando al Banco Provincia aplicaron una técnica llamada «black hat SEO» y contrataron el servicio de AdWords de Google. Hubo afectados en otras localidades como Rojas o La Plata.

    Cuando alguien entraba, en el sitio falso se le pedía el nombre de usuario y la clave para ingresar a las cuentas del banco. Capturaba la información y luego redirigía al verdadero sitio BIP para no despertar sospechas. El contador Salinas, que siempre ingresa desde Google, recuerda que algunas veces le pasó que, tras hacer alguna operación, “la computadora se colgaba o tenía que repetir la operación como si no hubiera hecho nada”. Así -estima la fiscalía- los delincuentes se hicieron de las contraseñas, la única credencial necesaria para realizar la operación.

    Dos Pymes de Rojas (otro municipio del noroeste bonaerense) y otras dos de La Plata también cayeron en la misma trampa. Esas causas fueron anexadas a la investigación. Las Pymes perdieron entre 200 y 300 mil pesos. Por otro lado, ya hubo un pedido de oficio a Google para determinar qué tarjetas de crédito utilizaron para contratar los servicios de esos enlaces patrocinados. La otra parte, aún misteriosa, es por qué aparece en el resultado un link a jorgelarranaga.com, una zapatería española que para los investigadores pudo haber servido para engañar al buscador y poder lanzar la campaña.

    El Banco Provincia

    Los delincuentes iniciaron las transferencias el domingo 20 a las 21.16. Para ello, enmascararon su localización. Las direcciones IP (una huella digital que en determinadas ocasiones permite determinar desde qué lugar físico entra un usuario a un sitio) que figuran en los registros del Banco Provincia indican que los depósitos se hicieron desde diferentes zonas de Bolivia y Estados Unidos.

    Tanto las empresas como el municipio recuperaron los recursos. En el caso de 25 de Mayo fue al viernes siguiente. El Banco Provincia se hizo cargo de todas las devoluciones. Y a los 3 días del ataque informático, el banco obligó a cambiar la seguridad de la Banca Empresaria y agregó un sistema de generación de tokens (una segunda clave, autogenerada con una validez de tiempo acotada) para transferir dinero, que hoy sigue vigente. “Ya estaba implementado, pero hasta ese momento era optativo y por comodidad muchos clientes no lo estaban utilizando”, se defendieron desde el Banco Provincia.

    Y respondieron ante la consulta: “Banco Provincia no tuvo ninguna responsabilidad en el siniestro y entiende que este ocurrió por la carencia de medidas de seguridad informática del municipio. A partir del incidente, la entidad generó nuevas medidas de seguridad para prevenir que se repitan ilícitos electrónicos similares. No como admisión de la falencia de su sistema, sino como el reconocimiento de que algunos de sus clientes no contaban con firewalls adecuados”, explicaron en un comunicado.

    El Banco de la Provincia de Buenos Aires es una de las principales entidades financieras del país. A través del mismo se realizan las transacciones, recaudaciones y depósitos de todos los municipios de la Provincia de Buenos Aires, donde vive más del 40% de la población del país.

    Las primeras sospechas

    “Nosotros lo primero que pensamos era que el banco nos había robado”, admite Ralinqueo. Y más con la coincidencia del gerente de vacaciones. “Después empezamos a ver el listado de personas jurídicas a la que les habían hecho la transferencia y los empezamos a buscar en Google y en Facebook. Creíamos que eran personas falsas, pero no; junto con el comisario verificamos que las personas existían”, cuenta.

    Famosos y desconocidos

    En la investigación penal preparatoria 090015772-16 hay 23 personas imputadas, con diferentes grados de participación. Tres de ellas aún no fueron halladas para tomarles declaración. El principal acusado, Nicolás Traut, se casó el 7 de diciembre con la mediática cantante Laura Miller. Uno de sus invitados, Jorge Chourrout, era el titular de una de las cuentas a las que se transfirió dinero desde 25 de Mayo.

    A partir de la intervención telefónica de las líneas de Chourrout, la fiscalía llegó a Traut, oriundo de Las Flores, quien hasta ese momento era conocido por ser piloto de la categoría Super TC 2000 de automovilismo, aunque no corría desde mayo. Antes, había participado de las Clases 2 y 3 del Turismo Nacional. Vivía en la Torre Le Parc de Puerto Madero.

    De los 3.522.300 pesos, transferidos en 20 operaciones, el Banco Provincia logró recuperar 452.800 pesos. En total, hubo 14 depósitos más que se intentaron hacer y que no pudieron concretarse, gracias al bloqueo a tiempo de las cuentas del municipio. Un retiro en el Banco Provincia de Quilmes llegó a realizarse minutos antes del bloqueo, pero el gerente logró dar con la persona, quien devolvió el dinero de inmediato.

    La fiscalía de Mercedes cree que hubo tres escalones en la operatoria: la gente que tuvo el conocimiento técnico para hacer esto, de los que hay pistas pero no nombres; la parte logística de apertura (que habría liderado Traut con Chourrout y Ramón Javier Alvez) y el préstamo de cuentas; y las “mulas”, los encargados del retiro del dinero, quienes se quedaban con 10 mil pesos por la “ayuda”.

    Otros casos, con perfil bajo

    Horacio Azzolin, de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), que depende de la Procuraduría General de la Nación, explica también por qué se caen este tipo de causas. “En la mayoría de los casos, los bancos no hacen la denuncia y ni siquiera alientan a las víctimas a que lo hagan. Lo resuelven administrativamente”, explica. “Es para no generar mala publicidad, para que la gente no tenga miedo de usar las plataformas en línea. Evitan visibilizar. Pero no es algo exclusivo de la Argentina; es una realidad mundial. Como la nafta, el toner de las impresoras o los productos de limpieza, el fraude bancario lo toman como parte de sus costos operativos”, describe.

    “Nosotros lo entendemos al revés: que lo impulsen puede ser un signo de madurez porque las empresas se dividen entre las que fueron hackeadas y las que no lo saben. El silencio envalentona a las organizaciones criminales: se hacen de dinero sin violencia, a distancia y sabiendo que la posibilidad de que los investiguen es mínima”, completa.

    ¿Y qué ocurre con las “mulas”? En esos casos, la Justicia demora la investigación, porque esas cuentas se encuentran distribuidas por distintas partes del país, por lo que lleva tiempo unificar todas las causas en un solo juzgado; a la vez, quienes reciben ese dinero ya tienen lista la coartada. En algunos casos, hasta fueron víctimas: se defienden y argumentan que le prestaron la cuenta a un amigo y que desconocen el origen; que no estaban enterados y que les abrieron la cuenta con documentos falsos; y otros solo explican lo que sucedió: les transfirieron plata como parte de una operación de compra-venta.

    BIP en Google

    En la causa, un motivo más hace demorar la investigación: el pedido de oficio al exterior para que Google pueda informar quién pagó el aviso patrocinado. Aún no hay novedades. Y el juicio oral ya no será este año.

    La vida en el municipio, mientras, sigue. Desde aquel día, el del hackeo a las cuentas de 25 de Mayo, a Roberto Testa, el tesorero, nunca más le tomaron el tiempo -ni en broma- cuando va al Banco Provincia. Paolo Salinas sigue entrando al BIP a través de Google, pero ahora se siente más seguro con el token. El intendente Ralinqueo dice que nunca más usó Home Banking. Que prefiere ir al cajero incluso para una transferencia.

    En 25 de mayo algunas cosas cambiaron y otras no ese 21 de noviembre de 2016. Una jornada que ayudó visibilizar una trama de ciberdelincuencia que combinó la fragilidad de un municipio bonaerense con una compleja ingeniería difícil de resolver para la Justicia. En el pueblo difícilmente olviden lo que pasó. Y quizás pocos recuerden que ese día también llegó una ambulancia a Norberto de la Riestra.

    Tags:

    También te puede interesar..

    WowApp, una applicación que le paga a sus usuarios.

    Esta herramienta, que permite realizar videollamadas y tener grupos de chat con todas sus ...

    edx lanza 17 nuevos cursos por su segundo aniversario

    La plataforma educativa abierta creada por Harvard y el MIT, celebra su segundo aniversario, ...

    Distribuciones livianas de Linux para instalar en computadoras de pocos recursos

    Si estás considerando instalar un nuevo sistema operativo, te presentamos cinco distribuciones ligeras de ...