Seguridad e historia: El caso del Security Pacific National Bank

Stanley Mark Rifkin era un consultor informático free-lance, que con sus conocimientos y haciendo uso de técnicas de Ingeniería Social consiguió, en 1978, llevar a cabo el que hasta el día de hoy es el robo más grande de un banco en la historia de los Estados Unidos. Déjenme que les cuente y verán lo interesante que es su historia.

A los 32 años de edad Stanley Rifkin trabajaba para numerosos clientes, siendo uno de ellos una firma que había realizado unos trabajos de consultoría en el Security Pacific National Bank, con sede en Los Ángeles, California. En una sala del nivel D de dicha sede se encontraba la Unidad Uno de Operaciones, una red nacional controlada por la Junta de la Reserva Federal, agencia gubernamental que permite a los bancos transferir fondos de un banco a otro en los Estados Unidos y en el extranjero. Al igual que otros bancos, Security Pacific National Bank tenía implantados ciertos controles de seguridad, en este caso un código numérico que cambiaba diariamente y que permitía autorizar las transferencias.

El 25 de octubre de 1978 Rifkin visitó la sede del banco, donde los empleados del banco le reconocieron como parte del equipo. Cogió un ascensor que le llevó hasta el nivel D, y se las arregló para que un hombre joven y agradable le dejara pasar a la sala de transferencias. Allí mismo estaba anotado en la pared el código secreto para las transferencias de ese día. Rifkin lo memorizó y salió de la sala sin levantar mayor sospecha.

Al poco tiempo, los empleados de la sala de transferencias del banco recibieron una llamada telefónica de un hombre que se identificó como Mike Hansen, un empleado de la división internacional del banco. Este hombre ordenó una transferencia sistemática de fondos a una cuenta en el Irving Trust Company, un importante banco en Nueva York, proporcionándole el número secreto para autorizar la transacción. Era algo corriente, así que el banco realizó una transferencia de un total de 10.2 millones de dólares sin ni siquiera sospechar que el hombre que acaba de llamar, y se había identificado como Mike Hansen, era en realidad el propio Stanley Rifkin. El Security Pacific National Bank no estuvo al tanto de lo sucedido hasta que a primeros de noviembre los agentes del Departamento Federal de Investigaciones (FBI) detectaron e informaron del robo. El fraude había pasado inadvertido hasta la segunda parte del plan de Rifkin.

En realidad, los preparativos para el fraude habían comenzado en verano de 1978, cuando acudió al abogado Gary Goodgame para que le asesorara en la búsqueda de un producto que fuera imposible de rastrear. Goodgame le sugirió a Rifkin que fuera a hablar con Lon Stein, un respetable comerciante de diamantes en Los Ángeles. A principios de octubre, Rifkin empezó a trabajar para convertir los fondos robados en diamantes. Haciéndose pasar por representante de una reputada firma —Coast Diamond Distributors— contactó con Stein, y le indicó que estaba interesado en realizar una oferta multimillonaria en la compra de diamantes. Sin sospechar nada, Stein ejecutó la orden a través de una empresa del gobierno soviético de comercio llamada Russalmaz.

El 14 de octubre, la oficina de Russalmaz en Ginebra, Suiza, recibió una llamada telefónica de un hombre que decía ser un empleado del Security Pacific Nacional Bank. El hombre, que se llamó a si mismo el Sr. Nelson, informó a la oficina de Russalmaz que Stein actuaba como representante de Coast Diamond Distributors. Además, confirmó que el banco disponía de los fondos necesarios para financiar la operación multimillonaria. El Sr. Nelson volvió a llamar al poco tiempo para decir que Stein se pasaría por la oficina de Russalmaz en Ginebra el 26 de octubre con el fin de echar un vistazo a los diamantes y finalizar la operación.

El 26 de octubre, Stein llegó a la oficina de Ginebra de Russelmaz. Pasó el día allí, inspeccionó los diamantes y regresó al día siguiente con otro hombre (la identidad de este segundo hombre es desconocida. De acuerdo con las descripciones físicas no se parecía a Rifkin). Stein acordó pagar a la empresa soviética 8,145 millones de dólares a cambio de 43200 quilates en diamantes (un quilate son aproximadamente 200 miligramos).

De alguna manera Rifkin logró introducir de contrabando los diamantes en los Estados Unidos, y cinco días después de haber robado en el Security Pacific Nacional Bank, comenzó a vender los diamantes. En primer lugar vendió doce diamantes a un joyero de Beverly Hills por 12000 dólares. Luego, viajó a Rochester, Nueva York, donde intentó vender más diamantes. Aquí Rifkin se topó con un pequeño obstáculo. El 1 de noviembre visitó a Paul O’Brien, un ex-socio de negocios, al que le dijo que había recibido unos diamantes en forma de pago por un trato con la República Federal Alemana, y quería cambiar los diamantes por dinero. Sin embargo, antes de llevar a cabo la transacción, O’Brien vio en la televisión la noticia del fraude multimillonario en Los Ángeles, donde nombraban a un tal Rifkin como principal sospechoso, e inmediatamente se puso en contacto con el FBI.

Esto hizo que el FBI otorgase a O’Brien el permiso para grabar sus conversaciones con Rifkin, que mientras tanto había volado a San Diego, California, para pasar un fin de semana en compañía de Daniel Wolfson, un viejo amigo. Le contó que pensaba rendirse, pero nunca tuvo la oportunidad. El 5 de noviembre Rifkin llamó a O’Brien; la conversación permitió a los agentes del FBI realizar un seguimiento que les llevó hasta el apartamento de Wolfson en California.

Alrededor de la medianoche del domingo 5 de noviembre, los agentes Robin Brown y Norman Wight del FBI aparecieron en el apartamento de Wolfson. Al principio Wolfson prohibió a los agentes que entraran, pero después de que le informaran que se iban a entrar como fuese necesario les permitió entrar. Rifkin se rindió sin oponer resistencia. Los agentes federales también encontraron las evidencias del fraude: un maletín con los 12000 dólares de la venta de los diamantes en Beverly Hills y varias decenas de paquetes con diamantes en su interior, que habían sido escondidos en fundas de plástico para camisas.

Rifkin fue llevado al Centro Correccional Metropolitano de San Diego. Poco después fue liberado bajo fianza, pero se metió en más problemas con el FBI. Nuevamente fijó su objetivo en otro banco, esta vez en el Union Bank de los Ángeles, queriendo usar el mismo sistema que con el Security Pacific National Bank. Lo que no sabía era que uno de los involucrados en la trama fue el que informó al gobierno. Rifkin fue detenido nuevamente el 13 de febrero de 1979.

Rifkin fue juzgado por dos cargos de fraude electrónico, enfrentándose a la posibilidad de diez años de prisión. Se declaró culpable, y el 26 de marzo de 1979 fue finalmente condenado a ocho años.

Una vez llegamos a este punto nos podemos preguntar ¿se podría haber evitado todo esto? Nos encontramos en un caso en el que los controles de seguridad, unas veces insuficientes, otras inexistentes, fueron cayendo uno tras otro hasta permitir el mayor fraude bancario en la historia de los EEUU.

Rifkin, haciendo caso omiso a su ética moral y profesional, decidió aprovechar el conocimiento de las debilidades que había observado en el banco para beneficiarse. En muchas ocasiones el consultor tiene a su alcance información confidencial de la empresa con la que está trabajando, y en casi la totalidad de ellas se firman cláusulas de confidencialidad para con el deber de secreto y uso de la información con la que se está tratando, con el fin de intentar evitar casos como este. Quiero pensar que las organizaciones de hoy en día que manejan información de tal calado como son los bancos, son conscientes de la información con la que trabajan, y que la ley les obliga a cumplir un mínimo en cuanto a controles, medidas y normas de seguridad.

* * *

Dejando a un lado el plano anecdótico, analizando un poco el caso podemos localizar bastantes puntos débiles en el sistema de gestión. Echemos un vistazo a algunos de los controles de seguridad básicos que cualquier SGSI debería tener y con los que se hubiera evitado este desastre:

1. Entidades externas: es imprescindible mantener la seguridad de la información de la organización, se deben identificar los riesgos con respecto a terceras personas, definir a qué información pueden acceder, el tratamiento de la seguridad cuando estén presentes, contratos detallados y de confidencialidad e implementar los controles necesarios para ello.

Debió quedar definido, cuando se contrató al consultor de nuestra historia, a qué información iba a acceder y cuando y durante cuánto tiempo iba a permanecer en la empresa, además de tener conocimiento de ello los responsables de las áreas afectadas.

2. Clasificación y tratamiento de la información: La información debe ser clasificada en términos de su valor, requerimientos legales, confidencialidad y grado crítico para la organización. Así mismo se deben desarrollar e implementar los procedimientos para su tratamiento según los niveles adoptados.

El ejemplo más claro lo podemos encontrar en el código secreto para realizar transferencias. Es una información de alto secreto, se cambiaba a diario, pero ¿qué hacía colocada en la pared? Es una situación que nos encontramos con frecuencia, es complicado recordar una contraseña que a menudo no debe tener ningún sentido lógico, mezcla de números, letras mayúsculas, minúsculas, signos… ¿y aprenderse una nueva cada día? Es comprensible. Pero por favor, ¡en la pared no!

3. Seguridad física y control de acceso: Como evitar el acceso físico no autorizado, definiendo áreas y perímetros de seguridad e implantando controles de entrada tales como sistemas de identificación o guardias de seguridad.

Ya es prácticamente imposible conocer a todo el personal en una organización con un gran volumen de trabajadores, como para saber también cuándo alguien deja el puesto o cuando no deberían estar allí. Pero para eso existen sistemas de identificación, tarjetas, registros de visitas… y más aún, áreas de acceso restringido, como en el caso la sala de transacciones del Nivel D, donde la seguridad debe de ser máxima, de forma que solo tuvieran acceso exclusivamente el personal autorizado.

4. Intercambio de información: Se deben establecer procedimientos y políticas en el intercambio de la información, asegurando su integridad, la identificación de los interlocutores y la no suplantación.

Bastó con una simple llamada y dar un código para efectuar una transacción de 10.2 millones de dólares. Es de sentido común establecer un procedimiento de identificación para llevar a cabo dichas operaciones, más aún cuando el código secreto lo conocen varias personas y lo tienes colgado en la pared.

5. Monitorización: Es imprescindible observar y analizar la actividad de una organización, en especial todo lo que refiere a información de especial interés para la compañía, con tal de detectar actividades de procesamiento no autorizadas.

Tuvo que pasar casi una semana completa para que detectaran el fraude. Pienso que resulta cuanto menos sospechoso mover tal cantidad de fondos a una sola cuenta, si se hubiera monitorizado y detectado, se habría podido investigar y comprobar que se trataba de una operación ilícita.

6. Cumplimiento: Finalmente, hay que asegurarse del cumplimiento íntegro con las políticas y estándares de seguridad de la organización. Además del conocimiento de normas, medidas y procedimientos por parte del personal.

Todo el personal debe conocer sus funciones y obligaciones, así como las normas y procedimientos que les afectan. El recepcionista no debió haberlo dejado pasar sin comprobar si podía, el guardia no debió permitirle entrar en ningún caso, el responsable del código secreto de transacciones no debió colgarlo en la pared, y el señor que cogió el teléfono debió asegurarse y comprobar que la transacción era correcta.

Por último quería comentar que, ya no sólo centrándonos en los bancos —y por supuesto no en este caso, ya que las medidas que los bancos tienen implantadas se encuentran a un nivel de seguridad muy diferente al que se encontró el señor Rifkin entonces—, hay muchas organizaciones que trabajan con información de alto secreto o gran valor económico que a menudo es conocida por muchas más personas de las que debería. Al fin y al cabo, por mucho contrato de confidencialidad que haya de por medio, siempre caemos en lo mismo: la confianza, la sinceridad y la buena ética de las personas con las que trabajamos.

Y sin más me despido; espero que os haya parecido interesante, y os deseo a todos los que hayáis conseguido llegar hasta aquí abajo un buen día.

Comments

  1. Lo que vemos en este caso, es que a veces el abuso de confianza en los empleados y alguna debilidad que es observada por un audaz-inteligente empleado, trae como resultado un fraude. Es de pelicula el caso, pero real…..los controles pueden existir en toda institucion hasta en los hogares, pero lo que mas debemos tener presente es que existen mas vivarachos dispuesto a tomar ventaja de una debilidad en el control……..

  2. La historia de este caso es muy impresionante pero real, y es un campanaso de alerta para todos aquellos que nos dedicamos a la industria de la seguridad; claro está que aun con los avances tegnológicos actuales, sería erroneo decir que en una organización existe completa seguridad, quien diga eso está engañado, porque la amenaza siempre existe, los que disminuyen son los riesgos. Esta historia no invita a tomar conciencia a los encargados de la seguridad de toda organizacion a tomar en cuenta todo tipo de detalle, por insignificante que parezca,a la hora de realizar un estudio de riesgo y vulnerabilidad de la seguridad, y de esa manera poder detectar todas aquellas amenazas latentes.

Trackbacks

  1. […] II: Consultores de LOPD y Seguridad e historia: El caso del Security Pacific National Bank, en Security Art […]