La Audiencia Nacional ha condenado a cuatro años y seis meses de prisión a un ciberdelincuente ruso que creó el malware Cobalt, con el que desde su casa en Alicante infectó los ordenadores de entidades bancarias de diferentes países del mundo, lo que le permitió manipular los cajeros automáticos de forma remota para extraer dinero y obtener así casi cinco millones de euros.
En una sentencia de conformidad, el ciudadano Denis T., con pasaporte falso a nombre de Denis Katana, acepta la pena de tres años de prisión por un delito continuado estafa informática con la atenuante muy cualificada de confesión, seis meses por integración en grupo criminal, otros seis meses por falsedad en documento público y seis meses más por blanqueo de capitales, delito este último por el que se le impone, además, el pago de una multa de seis millones de euros. Su pareja, Yuliia H. acepta la pena de seis meses de cárcel y multa de 300.000 euros por el delito blanqueo de capitales.
En sus hechos probados, los magistrados de la Sección Primera de la Sala Penal señalan que el origen de este procedimiento es una comunicación de las autoridades de Bélgica sobre la existencia de una organización dedicada a la extracción fraudulenta de dinero en entidades bancarias en distintos países.
La investigación ha permitido conocer, dicen los jueces, que los integrantes de la organización entraban en el sistema informático de bancos a través de programas maliciosos preparados a tal efecto (malware) que introducían mediante el envío de correos electrónicos a trabajadores del banco, simulando hacerlo desde compañías legales con las que trabajaban. Así, una vez que el empleado abría el correo, el programa infectaba el sistema informático de la entidad, lo que les permitía controlar las cuentas bancarias y los cajeros automáticos de forma remota, modificando el límite de disponibilidad de determinadas cuentas o accediendo directamente al sistema de los cajeros. Posteriormente, de forma coordinada, extraían dinero de esos cajeros enviando órdenes remotas para que a una hora determinada dispensaran dinero. El dinero era recogido por personas encargadas de ello (mulas).
Utilizando este sistema, denominado ' Cobalt ', continúa la sentencia, la organización consiguió hacerse con diversas cantidades en entidades bancarias de diferentes partes del mundo.
Extrajeron en dos días 2.6 millones de dólares de un banco de Taiwán
Así, Denis T., coordinado con otras personas, logró introducir el programa malicioso en el Banco First Commercial Bank de Taiwan. Los días 9 y 10 de julio de 2016 varias personas que se habían desplazado hasta Taiwan realizaron diversas extracciones en efectivo en cajeros de la entidad por importe superior a los 2.6 millones de dólares americanos. No obstante, las autoridades de Taiwán consiguieron detener a dos personas y recuperar casi la totalidad de lo obtenido.
En otra operación, el acusado, concertado igualmente con terceras personas, logró introducir el programa malicioso en el sistema del Unibank Commercial Bank de Azerbaiyán. Gracias a ello, pudieron realizar dos ataques contra la entidad, uno entre el 16 y 18 de julio de 2016, y otro, entre el 1 y el 11 de agosto, con los que lograron extraer 732.141 euros.
Con el mismo sistema los miembros de la organización criminal lograron obtener 496.375 euros de la entidad CJSC Alpha Bank de Bielorrusia, alrededor de 800.000 euros del Raiffesisen Bank de Rumanía, 278.285 euros del Nurbbank de Kazakajstan y 25.800 euros más del ATF Bank también de este último país.
La sentencia relata otros dos ataques informáticos fallidos en las entidades bancarias españolas Banco Santander y Banco Sabadell.
El acusado colaboraba con otras tres personas que no han sido identificadas
La sentencia señala que el acusado actuaba desde España y colaboraba con otras tres personas que se encontraban fuera del país, designadas como Ilia Rusakov, Alexey y Eugeny y cuya verdadera identidad no se ha podido determinar.
Las cantidades obtenidas ilegalmente eran repartidas entre ellos, si bien una parte se utilizaba para pagar el trabajo de terceras personas, como los proveedores de material o servicios informáticos y las organizaciones que se encargaban materialmente de sacar el dinero de los cajeros controlados.
Según los jueces, el programa malicioso, denominado Cobalt, había sido creado por el acusado junto a los demás miembros de la organización y es conocido por empresas de seguridad, entidades financieras y cuerpos de seguridad.
Los beneficios obtenidos con su actividad criminal, generalmente en dinero en efectivo, habían sido transformados por el acusado con diferentes servicios de divisa a dinero virtual, principalmente a criptodivisas que luego volvía a transformar en dinero de curso legal, con las que adquirió varias propiedades que puso a nombre de su pareja Yuliia.
Entre los bienes que han sido adquiridos, la sentencia enumera un Audi A5, dos BMW X6, otro BMW X5, una moto de agua Yamaha y joyas por valor de 40.071 euros. El importe de los bienes adquiridos por Yuliia con ganancias de las actividades ilícitas ascienden a 265.296 euros, mientras que Denis T. movió en diferentes plataformas de intercambio de criptomonedas 3,4 millones de dólares americanos y 567,7814 bitcoins, según la Audiencia.