Nadie se mete en esto del cibercrimen para perder dinero y mucho menos para acabar entre rejas. De nada vale que tu malware sea indetectable ni que escondas la IP detrás la botnet de tu socio ucraniano si finalmente la policía puede seguir el rastro del dinero y enviarte de cabeza a Alcalá-Meco.

Así que para disfrutar del dinero que hemos conseguido con tanto esfuerzo entra en juego la tercera fase del fraude online: el blanqueo de dinero.

A diferencia del blanqueo "tradicional", que busca inyectar dinero en efectivo dentro del sistema financiero, el procedente del cibercrimen funciona justo al contrario. Aquí se trata de que matrix y el mundo real se toquen, es decir de convertir en dinero contante y sonante la pasta virtual que hemos sacado del phishing, DDoS, vender CVVs y similar.


Conseguir el dinero físico a partir del electrónico no es el problema. Lo difícil es hacerlo sin ser detectado, o al menos, sin que te pillen. Para esto se usan cadenas de transferencias, con el objetivo de dificultar la investigación y que esta se abandone por el excesivo tiempo que consume o porque una de las empresas intermedias no llegue a facilitar los datos.

Existen muchos métodos de mover dinero por Internet, y lo más eficaz es combinarlos en una estructura por capas donde el dinero salte de uno a otro. Entre los sistemas utilizados se encuentran los siguientes:

Transferencias de fondos mediante banca on-line: pueden ser entre entidades del mismo pais o de diferentes países. En los foros de carding es frecuente encontrar anuncios comprando o vendiendo documentación falsa para operar este tipo de cuentas

Agencias envío de dinero: principalmente Western Union y Money Gram. Todo un clásico, el mulero transfiere el dinero obtenido de un phishing a un país del este donde se pierde la pista.

Sistemas de e-currency: Paypal, Moneybookers, Liberty Reserve, e-gold, Webmoney.... la lista es larga, en los últimos años se han popularizado mucho . Algunos como Paypal, son muy eficientes en la prevención del blanqueo de capitales mientras que otros han tenido ciertos problemillas con la justicia. Pagando comisiones es posible mover dinero desde un sistema a otro. Por cierto uno de estos sistemas es el método más empleado en el underground ruso para pagar los desarrolladores de malware.

Casinos online: pueden usarse como un eslabón más de la cadena ingresando el dinero desde una cuenta bancaria o de e-curreny y sacarlo hacia otra, o bien pueden usarse métodos más creativos. Su grado de colaboración con las fuerzas de seguridad es diverso, y si está localizado en un país no colaborativo podemos esperar sentados.

Compraventa de bienes virtuales: puede ser terrenos de Second Life, oro del WoW, o incluso música. Este tema es muy amplio y estaría bien tratarlo en otro post, aunque no prometo nada :P

Por último, una vez que el dinero esta bien limpio, la operativa habitual es ingresarlo en múltiples cuentas y retirarlo en cajeros automáticos en cantidades moderadas.

Independientemente del sistema usado para el blanqueo, la regla de oro es mover cantidades pequeñas usando múltiples transferencias (olvidaos de las pelis tipo "he transferido los 30 millones a tu cuenta de Barbados" ok?), con esto persigue un triple objetivo:
  • Evitar los sistemas deteccion de fraude
  • Hacer que la cadena de transferencias sea más compleja de rastrear.
  • Dividir la cantida total en varias cantidades menores para que los investigadores tengan una vision parcial del fraude y se dediquen menos recursos a su seguimiento.


Paradójicamente esta operativa "de autoprotección" también permite afinar la búsqueda de patrones de comportamiento que facilitan su detección.

Javier Barrios
S21sec e-crime