La chispa saltó cuando en febrero Bank Muscat reveló que tenía un cargo de hasta 39 millones de dólares (29,9 millones de euros) debido a que había sido defraudado en el extranjero por 12 tarjetas de débito de prepago utilizadas para viajes. Luego, ha sido cuestión de tirar del hilo.
Los hackers operaron entre el 22 de diciembre de 2012 y el 20 de febrero de 2013. Su plan comenzó reventando la seguridad de los ordenadores de dos compañías procesadoras de tarjetas de crédito, una en India y otra en Estados Unidos. Los piratas informáticos aumentaron el crédito disponible y el límite de retirada de dinero en tarjetas de crédito de prepago emitidas por dos bancos de Oriente Próximo, el Bank of Muscat de Oman y el National Bank of Ras Al Jaimah PSC (RAKBANK) de Emiratos Árabes Unidos.
Después, repartieron las tarjetas falsificadas a personas en todo el mundo para llevar a cabo la tercera fase del plan, es decir, sacar millones de dólares desde cajeros automáticos en muy pocas horas... y lo consiguieron: 45 millones de dólares, unos 34 millones de euros.
Según fuentes de la investigación, en Nueva York, por ejemplo, las células se repartieron por la ciudad la tarde del pasado 19 de febrero con tarjetas que tenían un único número de cuenta del Bank of Muscat. Diez horas después, habían realizado cerca de 3.000 giros con valor de 2,4 millones de dólares (1,8 millones de euros).
En total, realizaron unos 40.500 retiros en 27 países durante dos operaciones coordinadas, en un método de ataque que se conoce como «operaciones ilimitadas» en el submundo digital. No ha habido cuentas bancarias personales comprometidas en el fraude, según Loretta Lynch, Fiscal del Distrito Este de Nueva York, encargada del caso.
«En lugar de armas y máscaras, esta organización cibercriminal ha utilizado ordenadores e Internet», ha dicho la fiscal del Distrito, Lynch. «Moviéndose tan rápido como los datos en Internet, la organización se hizo camino desde los sistemas informáticos de corporaciones internacionales a las calles de Nueva York», ha agregado.
El Departamento de Justicia de Estados Unidos ha acusado a ocho hombres de formar supuestamente una célula de la organización con sede en Nueva York y siete de ellos han sido arrestados. El octavo, supuestamente el líder de la célula, llamado «Albertico», habría sido asesinado en República Dominicana el pasado 27 de abril. Se cree que los cabecillas de la red están fuera de Estados Unidos y que el grupo habría trasladado fondos a una cuenta en Miami y lavado el dinero mediante la compra de automóviles y relojes de lujo.
Hay una investigación abierta para determinar si hay más células operando en el país, ha dicho la fiscal Lynch, agregando que las agencias de Estados Unidos han trabajado con sus homólogos en Japón, Canadá, Alemania, Rumania, Emiratos Árabes Unidos, República Dominicana, México, Italia, España, Bélgica, Francia, Reino Unido, Letonia, Estonia, Tailandia y Malasia para descubrir la red.