Blog
Fecha de Publicación: 12 de agosto de 2025
Autor: Gemini Cyber Security Research
En la historia del cibercrimen, pocos nombres evocan una disrupción tan sísmica como Carbanak. Este no fue simplemente otro grupo de hacking; fue una empresa criminal que operó con la sofisticación y la paciencia de un actor de estado-nación, pero con una motivación puramente financiera. El surgimiento del grupo Carbanak representa un punto de inflexión, el momento en que las tácticas de Amenaza Persistente Avanzada (APT), tradicionalmente el dominio del ciberespionaje, fueron plenamente democratizadas y adaptadas para el robo directo a una escala nunca antes vista. Su legado no reside únicamente en la asombrosa cifra de mil millones de dólares en pérdidas que se le atribuyen, sino en la audaz metodología que estableció un nuevo y peligroso precedente para el cibercrimen financiero, un modelo que continúa evolucionando hasta el día de hoy.
La principal y más alarmante innovación de Carbanak fue su cambio de enfoque. Antes de su aparición, el cibercrimen financiero se centraba abrumadoramente en los eslabones más débiles de la cadena: los clientes de los bancos. Los ataques se dirigían a robar credenciales de banca en línea individuales, datos de tarjetas de crédito o a realizar estafas de phishing a pequeña escala. Carbanak alteró fundamentalmente este paradigma al tratar a las propias instituciones financieras como el objetivo principal. En lugar de robar a los clientes uno por uno, decidieron robar directamente del banco, infiltrándose en sus redes internas como un espía para luego saquear la bóveda digital desde dentro.
Los primeros indicios de esta campaña sin precedentes surgieron de una manera casi cinematográfica. A finales de 2013, los cajeros automáticos (ATMs) en Kiev, Ucrania, comenzaron a dispensar billetes de forma errática y misteriosa, sin que se insertara ninguna tarjeta ni se introdujera un PIN. Estos "cajeros fantasma", que parecían sacados de una novela de ciencia ficción, fueron la primera señal de alarma que llevó a un banco ucraniano a contratar a la firma de ciberseguridad Kaspersky Lab para una investigación forense. Lo que inicialmente podría haberse confundido con un fallo técnico o una variante de malware para ATMs más simple, pronto se reveló como la punta del iceberg de una operación global meticulosamente orquestada y de una paciencia aterradora.
La comprensión completa del fenómeno Carbanak, sin embargo, debe abordar la controversia inicial en su divulgación. En diciembre de 2014, las firmas de seguridad Group-IB y Fox-IT publicaron un informe sobre un grupo al que llamaron "Anunak", detallando ataques contra instituciones financieras principalmente en Rusia y Ucrania. Apenas dos meses después, en febrero de 2015, Kaspersky Lab, en una acción coordinada con Europol e Interpol, hizo pública su propia investigación. Bautizaron la campaña como "Carbanak" y presentaron un panorama mucho más alarmante: los ataques se extendían por más de 30 países, afectando a más de 100 bancos, con pérdidas estimadas que podrían alcanzar la mítica cifra de los mil millones de dólares. Esta "niebla de guerra" inicial, con discrepancias en los nombres y en el alcance, no fue un simple desacuerdo, sino un reflejo del desafío que suponía rastrear una amenaza tan compleja y polifacética. Cada firma tenía una visibilidad parcial de diferentes teatros de operaciones, subrayando desde el principio la necesidad crítica de una colaboración internacional para enfrentar a un enemigo que no conocía fronteras.
El éxito de Carbanak no se debió a una única herramienta mágica, sino a la aplicación metódica de una cadena de ataque bien definida, combinando un malware versátil con una paciencia operativa excepcional. Su modus operandi es un caso de estudio para cualquier profesional de la ciberseguridad.
El punto de entrada, como en tantas ocasiones, fue el factor humano. Carbanak utilizó campañas de spear-phishing altamente dirigidas. Se enviaban correos electrónicos fraudulentos, camuflados como comunicaciones legítimas, a empleados específicos de los bancos. Estos correos contenían archivos adjuntos maliciosos, comúnmente documentos de Microsoft Word (.doc) o archivos del Panel de Control (.cpl).
Un aspecto técnico crucial es que Carbanak no dependía de vulnerabilidades de día cero (zero-day). En su lugar, explotaban vulnerabilidades conocidas y ya parcheadas por Microsoft, como CVE-2012-0158, CVE-2013-3906 y CVE-2014-1761. Esto significa que una higiene de seguridad básica, como una gestión de parches rigurosa, podría haber bloqueado el ataque en su primera etapa. Una vez que el empleado abría el archivo adjunto, la vulnerabilidad era explotada, ejecutando un shellcode que descargaba e instalaba el backdoor principal, la herramienta homónima CARBANAK.
Este malware no surgió de la nada; sus raíces se encuentran en el código fuente filtrado del troyano bancario Carberp. Sin embargo, los desarrolladores de Carbanak lo transformaron de un simple troyano a un backdoor modular con todas las funciones, diseñado para el espionaje, la exfiltración de datos y el control remoto persistente.
Una vez dentro, el malware aseguraba su permanencia. Se instalaba como un nuevo servicio de Windows, a menudo utilizando nombres que imitaban servicios legítimos del sistema (mascarada), como svchost.exe, para pasar desapercibido. Utilizaba claves del Registro de Windows y la carpeta de Inicio para garantizar su ejecución automática tras cada reinicio.
La comunicación con sus servidores de Comando y Control (C2) estaba diseñada para ser sigilosa. Utilizaba el protocolo HTTP, pero encapsulaba su carga útil en un protocolo binario personalizado. Para evadir la detección, la carga se cifraba con RC2 y se codificaba en Base64, haciendo que el tráfico malicioso se asemejara a tráfico web legítimo. Además, para dificultar el análisis estático de los investigadores, la mayoría de las cadenas de texto dentro del binario del malware estaban cifradas.
Aquí es donde residía la verdadera genialidad y peligrosidad de Carbanak: su paciencia. Tras la infección inicial, los operadores permanecían inactivos y ocultos en la red durante un período que podía durar de dos a cuatro meses. Este tiempo no era de inactividad, sino de inteligencia y reconocimiento. Se dedicaban a mapear la topología de la red, identificar sistemas críticos y, lo más importante, comprender los procedimientos operativos internos del banco.
Su Táctica, Técnica y Procedimiento (TTP) más distintivo y efectivo fue el uso de su propio malware para grabar en secreto las pantallas de los operadores bancarios. Estas grabaciones de video, combinadas con los datos de su keylogger, les proporcionaban un conocimiento sin precedentes del software interno, los protocolos de seguridad, los procesos de autorización y las rutinas diarias necesarias para realizar transferencias de dinero o gestionar los cajeros automáticos. Estudiaban a sus víctimas para poder imitarlas a la perfección.
Para moverse lateralmente desde el punto de entrada hasta los servidores de los administradores de sistemas o los sistemas de pago, el grupo dependía en gran medida de herramientas administrativas legítimas, una técnica conocida como "Living off the Land". El uso de programas como PsExec, AmmyyAdmin, TeamViewer y el Protocolo de Escritorio Remoto (RDP) nativo de Windows les permitía ejecutar comandos en otras máquinas, mezclando su actividad maliciosa con el tráfico administrativo normal y haciendo su detección extremadamente difícil.
Esta fase era la culminación de meses de paciente espionaje. Armados con un conocimiento íntimo de los sistemas de la víctima, los atacantes ejecutaban el robo utilizando varios métodos ingeniosos:
Jackpotting de Cajeros Automáticos: Los operadores accedían a los servidores que controlaban la red de cajeros y enviaban comandos remotos para que máquinas específicas dispensaran todo su efectivo a una hora predeterminada. En el lugar y la hora acordados, cómplices conocidos como "mulas de dinero" esperaban para recoger el botín.
Manipulación de Sistemas de Pago: Utilizando las credenciales robadas y el conocimiento adquirido, los atacantes se hacían pasar por empleados para autorizar transferencias fraudulentas, moviendo grandes sumas de dinero desde las cuentas del banco a sus propias cuentas, a menudo utilizando la red internacional SWIFT.
Manipulación de Bases de Datos: En uno de sus métodos más sutiles, accedían directamente a las bases de datos del banco (por ejemplo, Oracle) y modificaban los saldos. Inflaban artificialmente el saldo de una cuenta (por ejemplo, de 1,000 a 10,000 dólares) y luego transferían el excedente (9,000 dólares). El titular de la cuenta original no notaba ninguna discrepancia, lo que retrasaba enormemente la detección del fraude.
La historia de Carbanak no terminó con los informes de 2015. De hecho, fue solo el comienzo de una saga criminal que se diversificó y evolucionó. El grupo original, a veces denominado Cobalt Group por su posterior uso de la herramienta de pentesting Cobalt Strike, continuó sus ataques contra el sector financiero. Sin embargo, una de sus escisiones o sucesores más notorias fue un grupo conocido como FIN7.
FIN7 tomó el ADN técnico y metodológico de Carbanak y lo aplicó a un nuevo modelo de negocio. Mientras que Carbanak se centraba en el atraco de alto valor a bancos, FIN7 realizó un pivote estratégico hacia un modelo de mayor volumen, atacando masivamente a los sectores de la restauración, la hostelería y el comercio minorista en Estados Unidos y Europa. Su objetivo no era el dinero de las bóvedas bancarias, sino los datos de tarjetas de crédito robados en masa de los sistemas de punto de venta (PoS).
La sofisticación de FIN7 no era solo técnica, sino también organizativa. Crearon una empresa pantalla de ciberseguridad llamada "Combi Security", con supuestas sedes en Rusia e Israel. Esta falsa empresa se utilizaba como una herramienta de reclutamiento para atraer a programadores y pentesters desprevenidos, a quienes se les asignaban tareas que, en realidad, formaban parte de las operaciones criminales del grupo. Esta estructura, con gerentes, desarrolladores y operadores, difuminaba la línea entre una banda criminal y una empresa maliciosa con jerarquía corporativa.
Entre los casos más sonados atribuidos a la actividad de FIN7 y los remanentes de Carbanak se encuentran las brechas de seguridad en cadenas de renombre como Chipotle Mexican Grill, Arby's, y los grandes almacenes de lujo Saks Fifth Avenue y Lord & Taylor. En estos ataques, robaron millones de números de tarjetas de crédito y débito. La brecha en Hudson's Bay Company, empresa matriz de Saks, se atribuyó a la continuación de sus operaciones incluso después de los arrestos de alto perfil, demostrando la resiliencia de la organización.
La trayectoria de Carbanak y sus sucesores es una crónica de adaptación y persistencia frente a los esfuerzos de las fuerzas del orden.
La historia de Carbanak es mucho más que el relato de un audaz atraco digital. Su impacto ha resonado a lo largo de la última década, dejando un legado duradero y lecciones críticas para la comunidad de ciberseguridad.
Primero, Carbanak estableció el plan maestro para el cibercrimen financiero moderno. Demostró de manera concluyente que las TTPs de paciencia y sigilo, antes reservadas para el ciberespionaje, podían ser adaptadas con un éxito devastador para el lucro. El modelo de "APT con fines de lucro" se ha convertido desde entonces en el estándar de oro para los grupos de élite, elevando permanentemente el listón para los actores de amenazas financieras y obligando a los defensores a pensar más allá del malware básico.
Segundo, la saga de Carbanak y FIN7 es la demostración perfecta del "efecto hidra" en el cibercrimen: cortar una cabeza a menudo resulta en que crezcan dos más, a veces más peligrosas. Los arrestos de 2018, aunque fueron un éxito significativo para las fuerzas del orden, no acabaron con la amenaza; la transformaron. La actividad continuó casi de inmediato, lo que indica que la organización era una red resiliente y celular de operadores cualificados. La evolución de FIN7 hacia el ransomware fue un movimiento de negocio lógico y pragmático. Desde la perspectiva del criminal, ¿por qué pasar meses infiltrándose en un banco para un atraco complejo, cuando se pueden comprometer corporaciones menos seguras para un despliegue de ransomware más simple y con un rescate igualmente multimillonario? Esta trayectoria es el ejemplo por excelencia de la adaptabilidad y profesionalización del cibercrimen moderno.
Finalmente, Carbanak nos deja imperativos de defensa claros para cualquier Centro de Operaciones de Seguridad (SOC) moderno. La insuficiencia de la detección basada en firmas es evidente. La defensa reside en la detección basada en el comportamiento (EDR/XDR), la caza de amenazas (threat hunting) proactiva y una arquitectura de confianza cero (Zero Trust) con una segmentación de red agresiva. El éxito de Carbanak en el movimiento lateral subraya que, una vez dentro, un atacante paciente puede causar un daño catastrófico si no se encuentra con barreras internas.
La historia de Carbanak es una advertencia y un manual de estudio. Nos enseñó que los criminales más peligrosos no son necesariamente los que hacen más ruido, sino los que, como un depredador, observan, aprenden y esperan el momento perfecto para atacar. Su legado no está en el dinero que robaron, sino en las tácticas que perfeccionaron y que, lamentablemente, seguirán siendo emuladas por una nueva generación de adversarios en los años venideros.
