La técnica de ciberataque del delincuente le permitió, con la utilización de un programa, infectar los ordenadores de entidades financieras en Taiwán, Bielorrusia o Azerbaiyán.

En una sentencia, la Sección Primera de la Sala de lo Penal ha fijado para Denis Tokarenco, de 39 años, los delitos continuados de estafa informática con la atenuante muy cualificada de confesión, integración en grupo criminal, falsedad en documento público y blanqueo de capitales. Adicionalmente, Tokarenco tendrá que abonar una multa de seis millones de euros tras el fallo y no podrá ejercer su derecho al voto mientras se alargue la condena.

De igual forma, el tribunal ha condenado a su mujer, Yuliia Hlushenkova, a seis meses de cárcel y una multa de 300.000 euros como autora de un delito de blanqueo de capitales. Además, sobre ella han recaído cincuenta días de responsabilidad penal subsidiaria en caso del impago y la inhabilitación especial para el sufragio durante la pena.

El origen de este procedimiento, como señala el alto tribunal en la sentencia, es una comunicación por parte de las autoridades de Bélgica, que alertaron sobre la existencia de una organización dedicada a la extracción fraudulenta de dinero en entidades bancarias en distintos países.

La Sala considera acreditado que el ciudadano ruso, que se hacía llamar Denis Katana en su pasaporte falso, era el principal artífice de un sistema, denominado Cobalt, que consistía en el envío de malwares -programas informáticos maliciosos- a los trabajadores de los bancos. Tokarenco habría actuado desde España y colaboraba con otras tres personas que se encontraban fuera del país, pero cuya verdadera identidad no se ha podido determinar.

Los cajeros daban dinero
De esta forma, y simulando que los correos electrónicos procedían de empresas legales con las que las entidades trabajaban, los integrantes de la organización conseguían acceder al sistema informático de los bancos toda vez los empleados abrían el correo.

Una vez dentro, el programa les confería el control total de las cuentas bancarias y de los cajeros automáticos de forma remota, modificando el límite de disponibilidad de algunas cuentas y pudiendo extraer dinero con un procedimiento muy concreto.

Los hackers enviaban órdenes a determinados cajeros para que estos expulsasen el dinero a una hora que ellos mismos fijaban. Eran las ‘mulas’ las que se encargaban de su recogida utilizando tarjetas asociadas a los bancos en cuestión. Una vez se hacían con el montante total, el botín era repartido en las cantidades que previamente habían convenido.

El primer golpe de Tokarenco con este procedimiento llegó en Taiwan. El informático ruso, junto con otras personas, logró acceder al Banco First Commercial Bank del país asiático. En tan solo dos días, el 9 y el 10 de julio de 2016, consiguieron extraer hasta 2.275.425,94 de euros, una cantidad que las autoridades consiguieron recuperar prácticamente por completo tras la detención de dos de los responsables.

Una semana más tarde, Tokarenco repitió la operación y consiguió acceder al sistema del Unibank Commercial Bank de Azerbaiyán. Así, y tras dos ataques a la entidad –uno entre el 16 y 18 de julio de 2016, y otro, entre el 1 y el 11 de agosto– logró extraer 732.141 euros.

Intentos en España
Con el sistema Cobalt en funcionamiento, Tokarenco continuó con sus intervenciones con buenos resultados: obtendría 496.375 euros de la entidad bielorrusa CJSC Alpha Bank, cerca de 800.000 euros del Raiffesisen Bank de Rumanía, 278.285 euros del Nurbbank de Kazakajistán y 25.800 euros más del ATF Bank del mismo país.

Sin embargo, en su ronda por distintas entidades bancarias en todo el mundo, Tokarenco fracasaría en España. Dos de sus ataques informáticos fueron fallidos, concretamente dirigidos al Banco Santander y al Banco Sabadell.

Las ganancias del hacker, generalmente en dinero en efectivo, fueron transformadas principalmente a criptodivisas que luego volvía a transformar en dinero de curso legal, con las que adquirió varias propiedades que puso a nombre de su pareja.

Asimismo, entre los bienes adquiridos por Tokarenco la sentencia enumera un Audi A5, dos BMW X6, otro BMW X5, una moto de agua Yamaha y joyas por valor de 40.071 euros. El importe de los bienes adquiridos por Yuliia con ganancias de las actividad ilícita ascienden a 265.296 euros, mientras que Tokarenco movió en diferentes plataformas de intercambio de criptomonedas más de 2,8 millones de dólares americanos y 567`7814 bitcoins, según la Audiencia.