Atiur Rahman, director del Banco Central de Bangladesh. Imagen de IMF, Flickr. CC BY-NC-ND.

La historia de su origen casi ha alcanzado el estado de mito en Bangladesh. Nació para ser un pobre agricultor y sin tierras. Dejó de estudiar a temprana edad para ayudar a su familia a ganar dinero para poder subsistir. Desafió todas las probabilidades cuando obtuvo el título de doctorado en el Reino Unido.

Quizá por esa razón la renuncia de Atiur Rahman al puesto como décimo director del Banco de Bangladesh, el banco central del país, causó tanta decepción. Atiur Rahman, un notable economista, escritor y banquero bangladesí, dejó el cargo el 15 de marzo por no informar al ministro de finanzas que unos hackers habían robado ochenta y un millones de dólares de una cuenta dentro del Banco de Reserva Federal de los Estados Unidos. Él iba a jubilarse en cuatro meses y medio.

Los hackers lograron realizar transferencias de esas cantidades de dinero a cuentas de cuatro hombres en las Filipinas. Al parecer, ellos se aprovecharon del hecho que ese viernes constituía el fin de semana para Bangladesh y sábado y domingo para los Estados Unidos.

Un banco intermediario retuvo otra solicitud de transferencia no autorizada por veinte millones de dólares dirigida a una ONG en Sri Lanka debido a que los hackers escribieron incorrectamente el nombre.

Mientras tanto, el Banco de Reserva Federal de EE. UU. había alertado al banco central de Bangladesh respecto a una serie de solicitudes de transferencias monetarias sospechosas, por lo que se lograron evitar transacciones de 850 millones de dólares aproximadamente.

Here's How Hackers Stole $80 Million from Bangladesh Bank https://t.co/ehI9zmcCOw #malware #hacking pic.twitter.com/wnhiyM2qz8

— The Hacker News (@TheHackersNews) March 14, 2016

Entérese cómo hackers robaron $80 millones del Banco de Bangladesh

 ‘Debería renunciar’

El banco nacional mantuvo en secreto la noticia del robo por más de un mes, sin informar al Ministerio de Finanzas. En lugar de ello, contrató a FireEye, una unidad forense internacional con sede en Silicon Valley, para investigar el asunto.

El bloguero bangladesí y experto en materia de seguridad informática, Ragib Hasan, explicó en Facebook las dos posibilidades relacionadas al atraco. La primera, mediante el uso de un malware que pudo ser instalado con un dispositivo pequeño, como una memoria USB, para luego acceder a la información del registro de pulsaciones del teclado. Y la segunda,»un trabajo interno», ya que es imposible tentar a una máquina, pero sí se puede forzar a un ser humano:

তাই যেকোনো সিস্টেম হ্যাক করার সবচেয়ে সহজ এবং বহুল প্রচলিত পদ্ধতি হচ্ছে কারিগরি দিকে হাত না দিয়ে সিস্টেমের ব্যবহারকারীদের বোকা বানানো।

[…] la forma más fácil de acceder ilegalmente a un sistema es engañar a los usuarios del mismo, en vez de descifrarlo.

El Banco de Bangladesh está investigando a ocho funcionarios encargados de las operaciones de cambio de divisas. Se reveló que el circuito cerrado de televisión (CCTV) de la habitación estaba fuera de servicio y, algunos de los funcionarios descubrieron que una computadora habilitada con el código SWIFT (las solicitudes de transferencias fueron enviadas desde una computadora con código SWIFT) no funcionaba cuando se presentaron a laborar el día después del incidente, sin embargo, ellos no lo reportaron inmediatamente a sus supervisores.

Cuando la noticia del atraco se hizo pública, el ministro de finanzas de la nación juró tomar acciones en contra del banco nacional por no haberle informado con anterioridad. También culpó al Banco de Reserva Federal de EE. UU. por no advertir al banco de Bangladesh a tiempo.

Algunos culparon a Atiur en los medios sociales. Ragib Hasan escribió:

বিশ্বের ইতিহাসে এতো বড় অংকের ব্যাংক ডাকাতি আগে হয়নি বলেই মনে হয়। আত্মসম্মানবোধ ও বিবেক থাকলে এই পদে আর বাংলাদেশ ব্যাংকের গভর্নর সাহেবের থাকা উচিৎ না।

Al parecer el enorme atraco del banco central es el primero de su clase a nivel mundial. Si el director del banco de Bangladesh tiene algo de consciencia y sentido de responsabilidad, debería renunciar.

‘Qué lástima perder a un hombre fantástico’

Rahman renunció el 15 de marzo tras la tremenda presión que ejercieron las declaraciones del ministro de Finanzas. A pesar de este infortunio, su trayectoria profesional fue elogiada por algunos medios de noticias internacionales ya que le dieron crédito a sus políticas, las cuales, contribuyeron a que Bangladesh se convirtiera en uno de los mercados emergentes de más rápido crecimiento del mundo.

En un emotivo discurso de despedida, él habló sobre la manera en que trabajó para incrementar la reserva de divisas del país, de $6-7 mil millones a $28 mil millones, cuando asumió el cargo hace seis años atrás. Indicó que estaba trabajando para recuperar el dinero robado.

La bloguera Rana Meher reaccionó a su partida en Facebook, diciendo que lamentablemente era lo correcto en esa situación:

আতিয়ার রহমানের পদত্যাগে আমি কষ্ট পেয়েছি। কিন্তু বাংলাদেশ ব্যাংকের প্রধান হিসেবে এই দায় তার ওপর আসে। আর তার সাথে যুক্ত হয়েছে তার উপযুক্ত মহলে সময়মতো যোগাযোগে ব্যর্থতা।

Me duele que Atiur Rahman haya renunciado. Sin embargo, como director del Banco de Bangladesh necesita asumir su responsabilidad. Además, se equivocó en no trasladar la información a las autoridades interesadas.

Shabhanaz Rashid defendió a Rahman:

What a fantastic man to lose over a national financial shortcoming, that is in no way one man's responsibility. It's a systemic fault, one that cannot be fixed if the the one honest and radical public servant has to resign over it — instead of receiving bureaucratic support to fight it and strengthen our security. Who'll do the dirty work now, or will it be hastily swept under the rug with a resignation?

Qué lastima perder a un hombre fantástico por una falla financiera nacional, que no constituye de ninguna manera la responsabilidad de un solo hombre. Es una falla sistémica, una que no se puede arreglar si un servidor público honesto y radical tiene que renunciar por ello – en lugar de recibir apoyo burocrático para combatirlo y fortalecer nuestra seguridad. ¿Ahora quién realizará el trabajo sucio o solo lo encubrirán precipitadamente con una renuncia?

El renombrado presentador de televisión Abdun Noor Tushar cuestionó si su renuncia resolvería las cosas:

ড. আতিউর রহমান পদত্যাগ করেছেন, সেটি তার সাহসী ও সৎ পদক্ষেপ।

কিন্তু চোর ধরার ব্যবস্থা কি হলো?
কি করে সার্ভার হ্যাক হলো?
সাইবার নিরাপত্তার বিষয়টি কারা দেখছিলো?
অপরাধী ধরার কাজটি কে করছে?

চোরধরার চেয়ে আতিউর স্যারের নামে গীবত করাই যেন সকলের কাজে পরিনত হয়েছে।

El Dr. Atiur ha renunciado, ese fue su movimiento honesto y atrevido.

¿Qué pasó con atrapar a los ladrones?
¿Cómo accedieron ilegalmente al servidor?
¿Quién estaba a cargo de la seguridad cibernética?
¿Quién está investigando el caso?

Al parecer todos se conforman con solo incrementar los alegatos en contra del Dr. Atiur.

La relevancia de la seguridad cibernética integral

De acuerdo con Rahman, el Banco de Bangladesh ya ha recuperado parte del dinero transferido y está trabajando con las autoridades antilavado de dinero en las Filipinas para tratar de recuperar el resto.

Algo bueno que se puede extraer de esto es recordarle a las instituciones financieras en todo el mundo que tomen el asunto de la seguridad en serio, escribió el profesor Jayant R. Varma, bloguero indio. Ellos necesitan mejorar sus sistemas internos para combatir a los hackers pacientes:

Cyber security is still thought to be the responsibility of some computer professionals. The reality is that security has to be designed into all systems and processes in the entire organization. Institutions like central banks that control vast amounts of money need to defend in depth at all levels of the organization. Physical security, hardware security, software security and robust internal systems and processes all contribute to a culture of security in the whole organization.

Todavía existe el pensamiento que la seguridad cibernética es responsabilidad de algunos profesionales de la computación. Pero la realidad es que se tiene que diseñar la seguridad en todos los sistemas y los procesos de toda una organización. Instituciones como los bancos centrales, que controlan vastas sumas de dinero, necesitan defenderse de manera exhaustiva en todos los niveles de la organización. La seguridad física, la seguridad de equipo, la seguridad de programas y, sistemas y procesos internos fuertes, todo esto contribuye a una cultura de seguridad en toda la organización.