25 de marzo de 2016: India vs. Bangladesh, un cuarto de final virtual, donde en el ganador avanzó a la semifinal, Dos necesitaban uno, y de repente, era el juego de Bangladesh, la afición local era tan ruidosa que podría romper la fuerza de la velocidad. Pandya corrió hacia la entrega final, se arrojó fuera del alcance de Shuvagata Hom, y MS Dhoni, realizó un truco escandaloso, corrió en 15 yardas con un guante y salió corriendo Mustafizur Rahman, que acababa de entrar en el caldero. Ese mismo día, Bangladesh se perdió un lugar dorado en la historia que la nación habría atesorado para siempre.
4 de febrero de 2016: en una típica tarde cálida de jueves en Bangladesh, un funcionario del banco central del país ingresó a la sala de servidores para verificar ciertos detalles, solo para descubrir que la impresora estaba en un estado anormal. La bandeja de papel estaba vacía, en lugar de tener un fajo de informes que confirmaban las instrucciones de pago enviadas a través del sistema SWIFT, la red que conecta a 11,000 bancos en todo el mundo. SWIFT son las siglas de Society for Worldwide Interbank Financial Telecommunication y es un consorcio que opera una red informática confiable y cerrada para la comunicación entre los bancos miembros de todo el mundo. La red de mensajería SWIFT conecta a los bancos de todo el mundo a través de lo que se considera un medio altamente seguro para enviar instrucciones para transferencias de dinero. La falla de la impresora no fue un accidente, pero una estrategia deliberada desplegada por alguien para ocultar un rastro de algo realmente grande, ¿qué podría haber sucedido?
Los desconocidos Cyber-Thieves piratearon el sistema SWIFT y utilizaron las credenciales de los empleados para enviar más de tres docenas de solicitudes de transferencia de dinero fraudulentas al Banco de la Reserva Federal de Nueva York pidiéndole al banco que transfiera millones de fondos del Banco de Bangladesh a cuentas bancarias en Filipinas. , Sri Lanka y otras partes de Asia. Los Cyber-Thieves manifestaron el sistema del banco instalando seis tipos diferentes de malware sobre los que comenzaron a investigar en enero. Más tarde hicieron una serie de pruebas, se registraron varias veces en el sistema del banco entre el 24 de enero y el 4 de febrero. Un día dejarían su software de monitoreo ejecutándose en el sistema SWIFT del banco, mientras que el otro simplemente eliminarían archivos de la base de datos. La operación remota a través de malware en el sistema del banco dejó rumores de que se trataba de un Insider’s Job, lo que no se pudo probar.
El día del jueves, 4 de febrero, tarde en la noche, cuando la mayoría del personal se había ido a casa, los ladrones cibernéticos comenzaron a enviar órdenes de pago fraudulentas a través de SWIFT. El momento del atraco coincidió perfectamente con el próximo fin de semana. El primer mensaje de SWIFT se recibió en la Fed de Nueva York justo después de las 9:55 a.m. y ordenó la transferencia de $ 20 millones del banco central de Bangladesh a una cuenta en Sri Lanka. Durante las siguientes cuatro horas, se recibieron 34 pedidos más pidiendo al banco central de los Estados Unidos que retire un total de casi $ 1 mil millones de la cuenta que tiene para el Banco de Bangladesh. En comparación con la gran vorágine de las finanzas mundiales, las sumas eran bastante ordinarias, ya que la Fed de Nueva York maneja alrededor de $ 800 mil millones en pagos por día. Sin embargo, las órdenes de Bangladesh fueron extrañas, sorprendentemente extrañas. Primero, todos los 35 mensajes recibidos carecían de los nombres de “bancos corresponsales”, uno de los siguientes pasos necesarios en la cadena de pago, esta falla significaba que las órdenes no podían cumplirse de inmediato. En segundo lugar, la mayoría de los pagos se realizaron a Individuos y no a Instituciones y, en tercer lugar, los pagos realizados ese día fueron totalmente distintos del patrón habitual de órdenes del Banco de Bangladesh. Aunque lo que realmente despertó la alarma en la Fed de Nueva York fue una palabra ‘Júpiter’. Esa sola palabra, por un golpe de pura suerte, evitó que el banco pagara casi $ 1 mil millones a Cyber-Thieves. Júpiter también era el nombre de un petrolero y una compañía naviera bajo las sanciones de Estados Unidos contra Irán. La lista de sanciones desencadenó preocupaciones en la Reserva Federal de Nueva York y generó preocupaciones sobre los pagos falsos. Aunque fue una casualidad que la Fed de Nueva York no pagara los $ 951 millones solicitados por los Cyber-Thieves.
La falla de la impresora ayudó a Bangladesh Bank a descubrir el atraco. El sistema SWIFT del banco se configuró para imprimir automáticamente un registro cada vez que se procesaba una solicitud de transferencia de dinero. La impresora trabajó las 24 horas del día, los 7 días de la semana, para imprimir automáticamente un registro cada vez que se recibía una solicitud de transferencia de dinero, de modo que cuando el funcionario informaba temprano en la mañana, podía verificar en la bandeja las transferencias que se confirmaron durante la noche. Ese día la bandeja estaba vacía. Los trabajadores del banco no pudieron imprimir los registros manualmente. El software en el terminal que se conectó a la red SWIFT indicó que faltaba un archivo crítico del sistema o que se había modificado. Cuando el equipo de TI finalmente consiguió que el software funcionara al día siguiente y pudiera reiniciar la impresora, surgieron docenas de transacciones sospechosas. Aparentemente, el banco de la Fed en Nueva York había enviado consultas al Banco de Bangladesh cuestionando docenas de las órdenes de transferencia, pero nadie en Bangladesh había respondido. Aquí es cuando comenzó el verdadero modo de pánico. Los trabajadores se apresuraron a verificar si alguna de las transferencias de dinero había pasado por su propio sistema de registros o si todavía no se había cargado nada en su cuenta y detuvieron las órdenes que aún estaban pendientes. Intentaron ponerse en contacto con SWIFT y la Reserva Federal de Nueva York, pero los Cyber-Thieves tienen tantas veces el atraco, ya que fue el fin de semana en Nueva York, nadie respondió. No fue sino hasta el lunes que los trabajadores bancarios en Bangladesh finalmente se enteraron de que cuatro de las transacciones se habían realizado por un total de $ 101 millones.
Bangladesh Bank logró que Pan Asia Banking cancelara los $ 20 millones que ya había recibido y redirigió ese dinero a la cuenta de la Fed de Nueva York de Bangladesh Bank. Pero los $ 81 millones que fueron al Banco Rizal en Filipinas se habían ido. Ya se había acreditado en varias cuentas que, según los informes, pertenecían a casinos en Filipinas y todos, excepto $ 68,000, se retiraron los días 5 y 9 de febrero, antes de que se detuvieran más retiros. La gerente de la sucursal del Banco Rizal fue interrogada sobre por qué permitió que el dinero fuera retirado el día 9, incluso después de recibir una solicitud ese día del Banco de Bangladesh para detener el dinero. La cantidad robada podría haber sido mucho más si no fuera por un error tipográfico en una de las solicitudes de transferencia de dinero que llamó la atención de la Reserva Federal de Nueva York. Los ladrones cibernéticos aparentemente habían indicado que al menos una de las transferencias debería ir a la Fundación Shalika, pero escribieron mal “fundación” como “fandata”.
A diferencia de la Fed de Nueva York, el banco central más influyente del mundo, que se encuentra en la cima de 508,000 lingotes de oro almacenados debajo del nivel de la calle, Bangladesh Bank no era un banco operativo grande y poderoso con una huella global. “La seguridad es solo una ilusión”, dijo Edward Snowden con razón. Bangladesh no protegió sus computadoras con un cortafuegos, y solo usó conmutadores electrónicos de segunda mano de $ 10 para conectar en red computadoras conectadas al sistema de pago global SWIFT. Los Cyber-Thieves explotaron tales debilidades después de que Bangladesh Bank conectó un nuevo sistema de pago electrónico, conocido como liquidación bruta en tiempo real (RTGS). Todavía queda el misterio de quién llevó a cabo el atraco.
Una partida perdida, un terrible atraco: “Negligencia” le costó a Bangladesh $ 99 millones ($ 10 millones para el T20 mundial) y pura humillación.
