En el laberinto del blanqueo del dinero del cibercrimen

Cuando un atacante extorsiona a una víctima con un ransomware y logra un pago en bitcoins, la transacción queda registrada. Pero la cartera blockchain (wallet) receptora quedará marcada. Contiene dinero sucio, que los cibercriminales intentarán blanquear de múltiples formas. Esta es la última etapa para obtener rédito real de las estafas, los robos online y otros ciberataques.

El blanqueo del dinero procedente del cibercrimen se mueve en un entramado complejo de transferencias de dinero. Es un laberinto de transacciones de criptomonedas y conversiones entre criptodivisas y a monedas de curso legal. Así que los investigadores que persiguen el rastro de estos fondos tienen trabajo. “Al final esta actividad ha generado una economía sumergida, pero una economía global, increíblemente grande y compleja”, comenta Raúl Orduna, responsable de Seguridad Digital del centro tecnológico vasco Vicomtech. “Una vez que alguien ha realizado un ciberataque, la clave es cómo consigue acceder al dinero obtenido”.

En 2023, el blanqueo de fondos ilícitos vinculados a las criptomonedas habría ascendido a unos 22.200 millones de dólares, según los cálculos recogidos en el informe 2024 Crypto Crime Report, elaborado por Chainalysis, una compañía conocida por investigar amenazas en las redes blockchain. Sobre el año pasado, la misma entidad señala que el valor total transferido a direcciones blockchain —una especie de cuentas corrientes para almacenar criptomonedas— ilícitas sería de 40.900 millones de dólares, aunque se estima que podría llegar a 51.300 millones.

Los cibercriminales aspiran a convertir todo este abultado volumen de fondos de procedencia ilegal en dinero limpio. “Típicamente reciben el dinero [los atacantes] en Bitcoin o en otras criptomonedas, y luego intentan acceder a él sin descubrir sus identidades. Intentan recurrir a diferentes mecanismos, por ejemplo exhanges o mixers, para blanquear el dinero. En este proceso el dinero se mueve a diferentes direcciones blockchain, y luego, parte de este dinero a veces regresa a la economía real”, así resume el proceso básico George Smaragdakis, profesor en Ciberseguridad de la Universidad Técnica de Delft (Países Bajos).

Para desenredar este galimatías hay que aclarar varios términos y cómo se conectan entre sí. A un nivel más profundo es lo que intentan hacer tanto Smaragdakis como Raúl Orduna. Ambos colaboran en el Proyecto Horizon, una iniciativa europea en la que colaboran empresas, centros de investigación públicos y privados y policías de diferentes países. Tiene como propósito mejorar la preparación de la UE frente a las ciberamenazas y parte de ello consiste en entender cómo obtienen ganancias reales los cibercriminales.

En el mundo de las criptomonedas, clave para comprender cómo se hace el blanqueo, una wallet permite tener múltiples direcciones blockchain donde recibir fondos o enviarlos. “Las transacciones en la blockchain son anónimas, pero su acceso es abierto. Así que podemos analizar los flujos de dinero y detectar patrones de blanqueo de dinero aunque no sepamos a quién pertenecen”, destaca Orduna. Los investigadores buscan señales que indiquen dónde se prestan servicios equivalentes a los que ofrece la banca, pero en el sector cripto y bajo anonimato.

Se fijan sobre todo en ciertos sistemas de las redes blockchain, como un escrow o un mixer. El primero consiste en un contrato inteligente que permite retener el dinero que transfiere una parte. La blockchain lo guarda en forma de depósito hasta que se cumplan las condiciones del contrato. Entonces se entrega automáticamente al destinatario. Los mixers o mezcladores de dinero se desarrollaron para aumentar el anonimato de las transacciones y algunos cibercriminales pueden usarlos. “Un mixer evita que puedas rastrear las fuentes de ese dinero, dispara los intercambios entre distintas criptomonedas para perder el rastro de quién paga a quién”, explica Orduna.

“Quizás encuentres el origen del dinero, porque probablemente sea la víctima, o alguien que representa a la víctima” apunta Smaragdakis. Pero añade que después de muchos envíos se pierde el rastro. “Supongamos que tienes miles o cientos de cuentas bancarias. Si descubren que hay algo raro en una de ellas la cierran, pero tienes todas las demás. No es fácil abrir muchas cuentas bancarias pero es fácil abrir muchas direcciones blockchain”.

Con esta infraestructura técnica, los cibercriminales tratan de sembrar la confusión. “Antes tenían una dirección blockchain donde reunían dinero de muchas víctimas. Pero ahora la tendencia ha cambiado y tienen una dirección para el dinero de cada víctima. A veces, para una sola víctima se usan muchas direcciones blockchain”, expone el profesor de la Universidad Técnica de Delft.

Así, los cibercriminales no tienen el equivalente a medio millón de dólares en una dirección blockchain sino que tienen muchas direcciones con un saldo de 100 dólares, por ejemplo. Esto es mucho más difícil de controlar. Y después viene el siguiente paso en el blanqueo. “Pueden mezclar [los fondos] con otras fuentes de dinero o meterlo en un casino que acepte criptomonedas, como se hace con el dinero real. A base de realizar muchas micro-apuestas con poco beneficio y poco riesgo, pierden dinero pero lo que obtienen es dinero limpio que luego pueden extraer en moneda de curso legal”, cuenta Orduna.

Otra de las maneras de blanquear los fondos serían los exchange, plataformas de intercambio de criptomonedas, como Binance o Coinbase. Pero este tipo de entidades están obligadas a aplicar una política anti-blanqueo de capitales, como lo haría una entidad financiera. Cualquiera que haya abierto una cuenta en uno de estos exchange habrá tenido que subir una fotografía de su documento de identidad y hacerse un selfie, que se contrastará con la foto del carné. Los usuarios, por tanto, están identificados y la policía puede pedir información sobre ellos con una orden judicial.

Así que estos exchange son terreno vedado para los cibercriminales. En su lugar, acuden a otro tipo de entidades que les permiten cambiar sus fondos. “Su flujo de movimiento es igual o similar al de los exchange registrados. Entonces, cuidado, aquí hay alguien que está comportándose como un exchange pero no está en la lista de las entidades registradas”, subraya Orduna, cuyo equipo trata de detectar este tipo de plataformas mediante patrones de movimiento.

Sabiendo cómo se comporta un exchange legal, los investigadores pueden desarrollar un modelo sobre este tipo de actividad y buscar rastros de ella a lo largo de las redes blockchain. Se trabaja con modelos de comportamiento digital, a partir de la actividad detectada de los cibercriminales o de las herramientas que ellos podrían usar para el blanqueo. En este punto el equipo de Vicomtech colabora estrechamente con investigadores de las autoridades.

“Nosotros recogemos requisitos más o menos abstractos de qué es lo que necesitan [las Fuerzas y Cuerpos de Seguridad del Estado], qué información y relaciones consideran que son útiles. Buscamos algún ejemplo donde identificar esa actividad o generamos datos sintéticos que tengan esa estructura, para poder desarrollar modelos inteligentes y probarlos con estos datos ficticios, anónimos”, explica Orduna. Una vez comprobado que el modelo funciona se lleva a la investigación real, ya de manos del organismo competente.

Gran parte de la investigación en ciberseguridad se destina a conocer cómo son los ataques, a mejorar las defensas, prever las brechas, paliar las intromisiones. Pero estos investigadores tienen otra tarea: seguir el rastro del dinero. Y su trabajo es clave para ponerle el lucro más difícil a los atacantes, una forma de minimizar su incentivo económico.