Este no está siendo el año de Benny Higgins, director ejecutivo de Tesco Bank. Primero, se vio envuelto en un escándalo de gastos a mediados de año; y después, hace unas pocas semanas, la empresa que regenta fue asaltada de manera cibernética: los ladrones consiguieron llevarse el dinero de 9 mil cuentas diferentes.
Sucedió durante el fin de semana del 5 y 6 de noviembre. En la institución detectaron que se estaban realizando transacciones sospechosas en 40 mil cuentas, pero más allá de esto, fueron incapaces de hacer nada. Y aunque al principio se habló de que fueron 20 mil las cuentas de las que los ladrones digitales se llevaron el dinero, parece que al final todo quedó en las 9 mil mencionadas antes. ¿Y con cuánto dinero consiguieron? Pues parece ser que con 2 millones y medio de libras, ($ 3,1 millones), ya que esa es la cifra que Tesco se ha comprometido a devolver diciendo que reintegrarán completamente el dinero a sus clientes afectados.
Hasta el momento, nada se sabe de la identidad de los atacantes ni de la forma en la que llevaron a cabo su ataque. O si se sabe, nadie ha dicho absolutamente nada al respecto. Según ciertas informaciones, el banco ha solicitado la ayuda del GCHQ, el Government Communications Headquarters (Cuartel General de Comunicaciones del Gobierno) que es uno de los tres servicios de inteligencia con que cuenta el Reino Unido. Esto ha despertado muchas elucubraciones: parece ser que no sería descartable que el ataque hubiese sido hecho bajo el amparo de un gobierno extranjero, aunque no se ha nombrado a ninguno en especial.
Pero aquí lo que despierta la curiosidad de todo el mundo es cómo fue efectuado el robo. Alfredo Pironti, de la compañía de ciberseguridad IOActive, señala algunas posibilidades, como el aprovechamiento de alguna vulnerabilidad del sitio web que no ha sido detectada (o al menos, no hecha pública hasta el momento). Otro escenario posible es que los ladrones hubiesen robado contraseñas de los clientes con diferentes métodos y que, tras haber acumulado muchas, hubieran hecho uso de todas ellas al mismo tiempo. Tampoco se tiene que dejar de lado la posibilidad de que hubiesen engañado al personal del banco para que les diesen información que luego hubiera terminado por permitirles introducirse en los servidores o, según especulan otros, que se trate de un trabajo interno.
Para Tim Erlin, de Tripwire, otra empresa de seguridad en línea, lo que más llama la atención es el número de cuentas afectadas, que resulta claramente inusual. Por lo general, los bancos suelen detectar a los ciberladrones antes de que se puedan dedicar a saquear a voluntad. Erlin pone como ejemplo la difícil escabilidad que tienen métodos como el uso de dispositivos en cajeros automáticos para robar dinero de cuentas. Es sabido que no es algo que permita robar en más allá de unas pocas cuentas debido a que se detectan con rapidez.
Entonces, la pregunta vuelve a salir: ¿cómo lo han hecho? Es posible que nunca lo sepamos. El secretismo con el que se está llevando la investigación es comprensible. Pero sería bueno que a futuro hagan saber las conclusiones a las que se lleguen. No es una cuestión de desvelar cómo se hizo exactamente, con todo lujo de detalles, sino de no ampararse en un oscurantismo que puede resultar perjudicial tanto para la institución como para la banca online en general. A pesar de que hemos abrazado la tecnología en materias como la economía personal, lo cierto es que una crisis de confianza puede resultar muy grave para todo el sistema. Y que un robo no se esclarezca de cara al público no contribuye precisamente a evitar que se produzca, pues propaga la impresión de que el crimen digital perfecto es realmente posible.
