Así operan las 'criptomulas', pieza clave en el último gran ciberataque a cajeros

No tienen ningún poder dentro de las cibermafias, como tampoco la tienen para las redes de delincuencia que introducen droga en los aeropuertos a través de las llamadas mulas. Sin embargo son el elemento clave, quizá el más valioso, porque son quienes dan el último paso para que el dinero o la droga pase de un lugar a otro.

Es el caso de las mulas de bitcoin que participaron de una de las ciberestafas más sonadas de los últimos tiempos. Hace unas horas una red de personas del este dirigida por un ucraniano llamado Denis K era detenida en Alicante. Su delito, haber estafado más de mil millones de dólares tras hackear cajeros principalmente de Rusia, pero también de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan.

También hicieron su agosto en Madrid, donde estafaron más de medio millón de euros. La forma de operar era la siguiente. Primero mandaban falsos correos electrónicos suplantando la identidad de empresas o personas a empleados de bancos -phising-. Cuando los trabajadores accedían a los mismos y manipulaban algunos de los archivos alojados en su interior se instalaban en segundo plano aplicaciones que permitían manejar en remoto esos equipos.

Algunas mulas son voluntarias. Saben lo que se hacen y se llevan una comisión de cada operación que realizan. Conocen los riesgos pero están dispuestas a asumirlos. Saben que la policía poco puede hacer contra ellos"

Con el tiempo los cibercriminales iban accediendo a diferentes partes del sistema hasta que conseguían manipular en remoto los cajeros, para que expendieran dinero. Después, ese dinero, una vez fuera de los cajeros, se convertía en monedas virtuales, en este caso bitcoins -más difícilmente rastreables que las monedas de curso legal- y santas pascuas.

Mulas ingenuas y voluntarias

Un engranaje muy limpio, casi quirúrjico, a distancia, sin apenas intervención física. Sólo en un caso. El de las 'criptomulas' que movían el dinero de los cajeros a las casas de cambio en bitcoin.

"Son una figura muy importante en este tipo decibermafias porque se encargan de dar el paso final, de mover el dinero allí donde se les ordene. Las hay de dos tipos. Están las mulas ingenuas y las que lo hacen a sabiendas, a cambio de una comisión", explica David Sancho, responsable de investigación en Trend Micro y experto en cibercrimen.

Las mulas bautizadas por David como 'ingenuas' son personas a las que las cibermafias engañan para mover ese dinero. Establecen una trama en la cual les aseguran de que han sido contratados como directivos de una gran empresa que necesita recoger una cantidad de dinero concreta y llevarla a determinado sitio. Una vez realizado el trabajo, ni reciben dinero alguno por el 'trabajo' ni hay empresa o multinacional alguna detrás.

Aunque hay quien asegura que el bitcoin es irrastreable, puede ser investigado, perseguido y analizado. De hecho, la investigación sobre lo que sucedió con los bitcoins de Denis K ha sido capital para descubrirle

"Algunas mulas son voluntarias. Saben lo que se hacen y se llevan una comisión de cada operación que realizan. Conocen los riesgos pero están dispuestas a asumirlos. Saben que la policía poco puede hacer contra ellos" Ellos sólo mueven el dinero, no son quienes lo han robado", explica Sancho.

En el caso del último ciberataque a los bancos, estas mulas se desplazaban hasta aquellos cajeros indicados por la mafia a una hora concreta. El cajero era hackeado a su llegada y la mula recogía el dinero.

"Con el dinero en su poder y transferido en su cuenta, lo que hacen las mulas es comprar bitcoins en casas de cambio como por ejemplo Coinbase. Una vez adquiridos, los envían a los monederos virtuales indicados por las cibermafias", apunta Sancho sobre el proceder de las 'criptomulas'.

El bitcoin es rastreable, pero...

Aunque hay quien asegura que el bitcoin es irrastreable, puede ser investigado, perseguido y analizado. De hecho, la investigación sobre lo que sucedió con los bitcoins de Denis K ha sido capital para descubrirle.

"Los beneficios de la actividad ilícita en forma de grandes cantidades de dinero en efectivo eran cambiados a bitcoins en casas de cambio de Rusia y Ucrania. Los bitcoins eran posteriormente transferidos a cuentas del detenido, que llegó a acumular alrededor de 15.000 bitcoins (unos 1.200 millones de euros). El detenido utilizaba plataformas financieras en Gibraltar y Reino Unido para cargar tarjetas prepago con esta criptomoneda que podía utilizar en España para la compra de todo tipo de bienes y servicios (incluidos vehículos y viviendas). Asimismo, el detenido disponía de una enorme infraestructura de minado de bitcoins que utilizaría como medio de blanqueo", explica el Ministerio del Interior en un comunicado.

Los ciberdelincuentes transfieren bitcoins de una cuenta a otra en muchas ocasiones para dificultar las investigaciones. Usan muchos intermediarios y en múltiples ocasiones. Buscan confundir, crear un enjambre irrastreable"

Lo que sí es cierto es que el bitcoin es difícilmente rastreable. Se puede perseguir, pero dependiendo de la forma en que se utilicen puede resultar sumamente complicado detectar quién está detrás de las transacciones.

"Lo que hacen los ciberdelincuentes para transferir los bitcoins de una cuenta a otra y dificultar las investigaciones es utilizar muchos intermediarios y en múltiples ocasiones. Parcelan mucho el dinero y lo mueven de un sitio a otro en reiteradas ocasiones. Buscan que haya un enjambre de transacciones para que sea difícil saber hacia dónde se mueve el dinero", concluye Sancho.