Los delincuentes digitales que EE.UU. tiene en la mira. El rol de Rusia, China e Irán. Autos, lujos y excentricidades de jóvenes que roban millones de dólares, muchas veces, con un mail.

Por Juan Brodersen – Pablo Javier Blanco

“Conspiración para cometer delitos contra los Estados Unidos”. La acusación figura en la primera página de una extensa denuncia que el Departamento de Justicia de ese país presentó el 15 de octubre pasado contra seis cibercriminales rusos.

En esa hoja sellada por el Tribunal Oeste del distrito de Pensilvania puede leerse: “Los Estados Unidos de América contra Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko y Petr Pliskin”, una banda de perfectos desconocidos para gran parte del mundo, pero cuyos nombres representan una amenaza global que preocupa a las autoridades norteamericanas desde hace ya varios años.

Todos forman parte de una agencia militar secreta de inteligencia que trabaja bajo el nombre de “Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia”. Se la conoce como GRU y desde noviembre de 2015 hasta por lo menos octubre del año pasado desplegó operaciones para distribuir un malware destructivo y realizar operaciones con el objetivo de hackear millones de computadoras en beneficio del país gobernado por Vladimir Putin.

En pocas palabras: según el FBI, se trata un ejército estatal de cibercriminales destinado a atacar a los enemigos de Rusia, con tentáculos que despiertan todo tipo de sospechas y, al mismo tiempo, retroalimentan el mito de los piratas informáticos del Kremlin, anclado en la Guerra Fría.

Emplazado en “La Torre”, un edificio espejado en el número 22 de la calle Kirova, en Khimki, Moscú -que desentona con la arquitectura chata y opaca del lugar- funciona el búnker de la ciberinteligencia moscovita.

Es la Unidad 74455 a la que se culpa de varios ataques informáticos, como el que afectó las elecciones presidenciales estadounidenses de 2016, conocido como el “Rusiagate”, investigado por el ex Fiscal Especial para el Departamento de Justicia de los Estados Unidos, Robert Mueller.

Desde esas oficinas se habría puesto en marcha la gigante ingeniería que derivó en una masiva campaña de desinformación cimentada a base de publicaciones de cuentas falsas en Twitter, Instagram, Facebook y YouTube, que generaron más de 300 millones de interacciones en EE.UU. Fake news made in Rusia.

Lejos del fragor electoral de la elección que erigió a Donald Trump como presidente (2016-2020), aunque en la previa de la nueva elección que se encamina a terminar con el sueño de reelección del republicano, la nueva imputación contra los cibercriminales del GRU mostró la diversidad de sus objetivos y la variedad de sus armas.

Entre diciembre de 2015 y 2016, atacaron Ucrania, lanzando “BlackEnergy”, “killDisk” y “Industroyer”, tres diferentes tipos de malwares (programas maliciosos, lo que conocemos como “virus”) que atacaron una compañía eléctrica, dejando a 225 mil personas sin luz; el Ministerio de Finanzas y el Tesoro Nacional.

En 2017 hicieron base en Francia con una agresiva campaña de phishing entre abril y mayo que logró penetrar entidades de Gobierno, partidos políticos y compañías, incluyendo la fuerza que llevó al poder a Emmanuel Macron“La República está en marcha”. Robaron documentos internos, incluidos mails, papeles contables y contratos, y luego los difundieron en redes sociales. “Fue un intento para desestabilizar la elección presidencial francesa”, denunciaron los atacados.

Con el código “NotPetYa” -otro malware-, se infiltraron en el sistema de salud de Heritage Valley, en Pensilvania, y otras empresas de EE.UU., haciéndolas perder cerca de mil millones de dólares. También diseñaron el virus “Olympic Destroyer” con el que hackearon los Juegos Olímpicos de Invierno PyeongChang 2018, en los que varios atletas rusos habían quedado marginados por denuncias de doping.

Además se metieron en las organizaciones internacionales y gubernamentales que investigaban el envenenamiento de un ex oficial del GRU Sergei Skripal y su Yulia, con el gas nervioso Novichock, que generó pánico en la tranquila ciudad de Salisbury, Reino Unido. El episodio fue investigado como un atentado terrorista.

Y por último demostraron todo su arsenal de fierros digitales apuntando contra organizaciones no gubernamentales, compañías privadas y medios de Georgia, en un ataque que tumbó al menos 15 mil sitios.

Así, este grupo de multitareas de piratas informáticos se posicionó como uno de los más temidos por el gobierno norteamericano. Pero no es el único.

A lo largo de un mes, Clarín investigó e indagó en el complejo mundo de los cibercriminales internacionales más buscados por el FBI, organizaciones delictivas, estatales y de prolíficos cuentapropistas, que roban miles de millones de dólares y generan perjuicios en países que comparten un idioma único: el de internet.

En muchos casos, su arma más poderosa sigue siendo la más simple.

Un correo electrónico.

No son hackers, son criminales

Una aclaración que siempre hay que hacer al hablar de estos temas: no son hackers. Son ciberdelincuentes. “Hay conceptos que no se tocan: vos no destruís información. No interrumpís el funcionamiento de un servicio. No se hace eso, es casi religión: los que extorsionan con ransomware son criminales”, cuenta a Clarín Daniel Sentinelli, experto en seguridad informática y consultor.

Más conocido en el mundo online como “el Chacal”, Sentinelli es un hito en la historia del hacking argentino. En un café de Recoleta, intenta explicar un poco por qué crecieron tanto los ciberataques durante los últimos años. “El hecho de que usen una herramienta tecnológica habla de que estas herramientas están tan difundidas que se terminan usando para esto. Pero eso no tiene que ver con hacking, eso es criminalidad”.

Una criminalidad con una gran paleta de colores, por cierto. La lista de delitos que enumera el FBI es amplia. Son “conspiraciones” por cinco delitos que aparecen una y otra vez: participación en crimen organizado, abuso de los sistemas informáticos, robo de identidad, falsificación de registros y hasta lavado de dinero. Todo a través de, como dice Sentinelli, recursos tecnológicos que están muy “a la mano”.

Y en más de una ocasión estos ataques son, según denuncia el FBI, financiados por Estados, razón por la cual Estados Unidos apunta sus sospechas contra tres países: Rusia, China e Irán.

Las tres naciones, históricamente enemistadas con EE.UU., usan los ciberataques como política de Estado -denuncia el FBI-. En Rusia, además de los avances militares que cuentan con el respaldo del régimen de Putin, también son un negocio privado. Así lo demuestra la organización Evil Corp., que logró robar credenciales bancarias por más de 100 millones de dólares.

En el caso de China, Estados Unidos acusa a diversos grupos de ciberespionaje como el “Instituto de Investigación 54”, buscado por espionaje económico y fraude electrónico.

Según el FBI lograron llevarse “información sensible de casi la mitad de los ciudadanos americanos”, como documentos de identidad y números de seguridad social. Otro caso por el que piden recompensa es Boysec, una compañía de seguridad de la cual salieron tres ciudadanos chinos que robaron 400GB de información sensible.

Irán, para el FBI, opera a través de criminales informáticos de la Guardia Revolucionaria Islámica, que creen que apunta sus armas a organismos de defensa y seguridad interior de EE.UU.

Es el caso del masivo ataque de DDoS (Distributed Denial of Service, una estrategia para saturar conexiones y darlas de baja) que emitieron entre 2011 y 2013 uno de los grupos más buscados, o de SamSam, un ransomware creado por un dúo de ciberdelincuentes (Mohammad Mehdi Shah Mansouri y Faramarz Shahi Savandi) que recaudó 6 millones de dólares.

Sin armas, ni rencores: solo con un mail

Más allá de las denuncias, son pocos los cibercriminales por los que el FBI ofrece una recompensa. Se sabe: cada vez que un criminal se da a la fuga, si hay dinero de por medio, es más fácil encontrarlo. Algunos miles o millones de dólares hacen que el mundo esté alerta en caso de ver ese rostro que figura en un poster de “buscado”.

Sin embargo, de la lista de más de 80 fugitivos, Estados Unidos apenas ofrece dinero por el paradero de 11. Las tres “cabezas” más caras son las de un ucraniano y dos rusos, todos apuntados por cometer el mismo crimen: robar bancos.

A través de diferentes virus, adjuntos en bombardeos de correos electrónicos basura (spam) en los que siempre cae algún desprevenido, se apoderan de datos de clientes y vacían sus cuentas, generando millonarios desfalcos.

Maksim Viktorovich Yakubets es quizás el pirata informático más buscado del planeta. Cualquier persona que aporte datos para su detención recibirá 5 millones de dólares. Con apenas 33 años, “AQUA” -su alias en el mundo informático- es el líder de Evil Corp., un grupo de hackers rusos que hace más de una década tiene como principal objetivo a grandes corporaciones multinacionales, sobre todo bancos norteamericanos y británicos.

“Yakubets está involucrado en la instalación de un software malicioso Jabberzeus , que se diseminó a través de mail de phishing que fue usado para secuestrar los datos del homebanking de las víctimas. Estas credenciales fueron después usadas para robar dinero de esas cuentas”, describe el FBI el modus operandi del cibercriminal ruso y su banda.

Pero Jabberzeus fue apenas una de las primeras “armas” que desplegó el grupo. Su malware más exitoso fue Dridex, un virus con el que atacaron a cerca de 300 bancos en más de 40 países diferentes, de los que robaron más de 100 millones de dólares.

“Desde 2009 hasta hoy, el papel principal de Aqua en la conspiración fue reclutar y gestionar un suministro continuo de cómplices involuntarios o cómplices para ayudar a Evil Corp. a lavar dinero robado a sus víctimas y transferir fondos a miembros de la conspiración con sede en Rusia, Ucrania y otros países de Europa del Este”, explicó el experto informático Brian Krebs en su sitio Krebs On Security el año pasado.

“Estos cómplices, conocidos como ‘mulas del dinero’, generalmente se reclutan a través de solicitudes de trabajo desde el hogar enviadas por correo electrónico y a personas que han enviado sus currículums a sitios web de búsqueda de empleo”, cierra. Una dinámica conocida más allá de la ciberdelincuencia, que la conecta con el lavado de dinero.

¿Cómo funciona Dridex? Es palabras simples, todo comienza con un correo electrónico que tiene un archivo adjunto con el malware. Ese spam contiene señuelos que hacen que los desprevenidos clickeen en un archivo de word o excel. El mail dice lo siguiente:

“Estimados,
​Una transferencia por 50 mil dólares
​ha sido realizada a su cuenta por BACS.
​Vean el adjunto.
Saludos cordiales.
​Contabilidad.”

Dridex está diseñado para instalarse de manera silenciosa al abrir ese adjunto y empieza a detectar todo lo que escribe el usuario en esa computadora. Cuando decimos todo, es todo: así funciona un “keylogger”, un programa que registra absolutamente todo lo que hacen nuestros dedos con el teclado.

Desde lo que posteamos en Facebook o Twitter hasta nuestro inicio de sesión en el homebanking. Lo único que le interesa al troyano es acceder a esas credenciales (usuario y contraseña) para luego vaciar esa cuenta.

Esos golpes millonarios explican el excéntrico estilo de vida de Yakubets y su banda “Evil Corp”: autos de lujo de cientos de miles de dólares al mejor estilo Rápido y furioso, fiestas, vacaciones ostentosas y hasta cachorros de tigres y leones como mascota.

El Lamborghini Huracán de Yakubets, está camuflado con colores grises y eléctricos, cuesta 300 mil dólares. Los Audi R8 que tienen algunos de sus colaboradores y que suelen ostentar en redes sociales, más de 170 mil dólares. El Nissan GTR ploteado con calaveras que exhibe uno de ellos, 120 mil dólares y un Chevrolet Camaro, que aparece cada tanto, cuesta casi 100 mil dólares.

Todos tienen la misma sigla en sus patentes: BOP. En ruso quiere decir ladrón.

Tan sólo un repaso por el parque automotor de los ciberdelincuentes alcanza para darse cuenta que, en su caso, el (ciber)crimen sí paga. Y muy bien.

Los medios del mundo tildan a este joven experto en computación como una suerte de “zar” de la ciberdelincuencia internacional y denuncian que en su boda, que costó cerca de 320 mil dólares, fue pagada con ese dinero producto de estafas online.

Otro dato que sindican medios disidentes rusos es que suegro sería Eduard Bendersky, un exmiembro del Servicio Federal de Seguridad de Rusia (FSB), organismo se sucedió a la KGB en tareas de seguridad y contrainteligencia cuando fue disuelta en 1991, junto con la Unión de Repúblicas Socialistas Soviéticas (URSS).

Para el FBI hay más targets jugosos: por el ruso Igor Olegovich Turashev piden otros 5 millones de dólares. Su nombre figura junto al de Yakubets en la denuncia conjunta que presentaron el Departamento de Estado y el de Justicia de EE.UU. con la Agencia Nacional contra el Crimen de Reino Unido.

Ambos fueron acusados de ser co-conspiradores en un esquema que infectó a miles de computadoras en Estados Unidos y robó millones de dólares de cuentas personales.

De acuerdo a la acusación que se presentó el 12 de noviembre de 2019 en los Tribunales de Pensilvania, ambos lograron hackear computadoras de una escuela pública de la ciudad de Sharon; en la compañía petrolera Penneco, en la fábrica de armas Remington de Carolina del Norte; y en otras tres compañías, para secuestrar credenciales bancarias y transferir fortunas a cuentas en poder de su organización. Algunos números:

-A la escuela de Sharon City le sacaron 999 mil dólares que depositaron en el PJSC Bank, de Kiev, Ucrania.

-A la petrolera Penneco le robaron 2.156.6000 dólares del Banco First Commonwealth que luego enviaron alKrajinvestbank en Krasnodar, Rusia, a través de Citibank de Nueva York.

-Penecco también fue víctima de otro robo millonario: le sustrajeron 1.350.000 dólares del Banco First Commonwealth que terminó en el Banco CJSC VTB de Bielorrusia. Otra vez, a través del Citibank de Nueva York.

Yakubets, Turashev y los cibercriminales de Evil Corp, una suerte de fraternidad que exhibe su vida como si fueran parte del elenco de JackAss, fueron protagonistas hace pocos meses de otro ataque muy famoso cuando dejaron sin servicio en todo el mundo a Garmin, la fabricante de GPS, con el ransomware WastedLocker.

Antes de ellos dos, el hacker más buscado del planeta era uno solo: Evgeniy Mikhailovich Bogayev. Así lo llamó The New York Times en una crónica sobre su vida que tituló “El espionaje ruso se aprovecha de la piratería informática de un ciberdelincuente”.

Creador del malware Zeus, que luego mejoró y rebautizó con el nombre de GameOver ZeuS (GOZ), se cree que infectó a un millón de computadoras y logró robar más de 100 millones de dólares de cuentas bancarias intrusadas.

Actuando bajo los alias de “lucky12345”, “slavik” y “Pollingsoon”, saqueó una compañía de control de plagas en Carolina del Norte, un departamento de policía en Massachusetts y hasta a una tribu de nativos americanos en Washington. Sin distinciones.

Quienes trataron con él, según retrata el NYT, afirman que es “muy paranoico” y que “no confía en nadie”. A diferencia de la banda Evil Corp, hizo del secretismo parte de su ADN.

Lo poco se que sabe de él es lo que vuelca el FBI al pedir 3 millones de dólares por algún dato que ayude a detenerlo: que vive en Anapa, una ciudad turística en ruinas en el Mar Negro en el sur de Rusia, que le gusta navegar y es dueño de un yate.

Quedó en la mira de las autoridades norteamericanas no solo por sus ataques de cuentapropista, sino porque creen que Bogachev habría contribuido con las labores de espionaje del gobierno ruso. Aunque la inteligencia de Rusia disponga de sus propias herramientas de hackeo, las actividades delictivas de Bogachev les habrían servido de gran ayuda para recabar numerosos secretos gubernamentales.

Hay un último cibercriminal cuyo rostro vale un millón de dólares: se trata del rumano Nicolae Popescu, acusado de una masiva estafa contra consumidores estadounidenses a través de una red de publicidades digitales (banners) falsas de venta de vehículos y otros artículos de precios elevados en sitios apócrifos. Lo buscan desde 2012 sin éxito.

Todos los cibercriminales residen actualmente, según sospecha el FBI, en países que no tienen tratado de extradición con los Estados Unidos, como Rusia, China e Irán.

La única mujer: de EE.UU.

Rara avis en el listado de más buscados del FBI, Mónica Elfriede Witt es la única mujer prófuga que está asociada a las ciberconspiraciones contra los Estados Unidos.

Nacida en El Paso, Texas, se trata de una exmiembro de la Fuerza Aérea que luego fue contratista del Departamento de Defensa y terminó denunciada por revelar a Irán detalles de una misión secreta de un programa del Pentágono.

Witt, espía que estudió persa y realizó operaciones encubiertas en Irak, Arabia Saudita y Qatar, fue acusada de traicionar a los Estados Unidos, entregar secretos a gobiernos extranjeros y fue figura imputada por cargos de contrainteligencia en complicidad con cuatro hackers iraníes afiliados a la Guardia Revolucionaria Islámica.

En el documento de la denuncia en su contra, Witt se muestra arrepentida de haberse desempeñado en los servicios de inteligencia americanos y, según le confiesa a una periodista de una cadena de TV iraní, califica a su trabajo en la Fuerza Aérea como “diabólico”.

Codiciada en partes iguales por Irán, China y Rusia, los tres países que representan una usina de cibercriminales que apunta a EE.UU., la exespía dice en otra conversación que si todo lo que planta falla, “hará como Snowden”, en referencia al excontratista de la NSA (Agencia de Seguridad Nacional) de Estados Unidos que reveló programas secretos de vigilancia ciudadana antes de exiliarse en los brazos de régimen de Vladimir Putin.

Argentina en el mapa internacional de la ciberdelincuencia

Por la pandemia del coronavirus, el 2020 fue el año en que vivimos conectados. La cuarentena más larga del mundo, que lleva más de 230 días, obligó a los argentinos a estar más online que nunca y eso potenció los ataques informáticos y ciberdelitos.

Muy lejos del radar de las grandes bandas cibercriminales que busca el FBI, el país no aparece como un lugar redituable para operaciones criminales. En ese sentido, la definición “Argentina devaluada”, donde los dólares no sobran, es una ventaja.

Sin embargo, eso no impide el accionar de piratas informáticos locales, que se disparó en los últimos meses.

“Se sumó el hecho de que por la pandemia muchas organizaciones aumentaron dramáticamente el home office, implementando en tiempos muy estrechos mecanismos de trabajo remoto o utilizando herramientas cuyo uso no estaba previsto para esta modalidad. Esto aumentó las brechas de seguridad, tanto en el software utilizado como en los procedimientos, y produjo un incremento extra en los ataques informáticos y los llamados ciberdelitos”, explica a ClarínJavier Smaldone, consultor informático.

Es un problema que parece no mejorar, sino todo lo contrario: “Es esperable que a futuro se mantenga la tendencia de más ataques, cada vez más complejos y sofisticados, debido no solo al uso creciente de herramientas informáticas (la introducción de componentes de hardware y software en cada vez más cosas que usamos a diario) sino también a la ‘profesionalización’ de los atacantes, como el ransomware como servicio (RAS)”, agrega Smaldone.

Es precisamente lo que advierte desde su experiencia Sentinelli, que se inició como hacker en los años 80, y conoce la escena del cibercrimen como pocos. Según “el Chacal” todavía tiene que pasar algo grave a nivel masivo para que se tome conciencia de la seguridad informática.

“Los ataques de ransomware van a empeorar. Es más: tiene que empeorar mucho antes de que mejore, son temas de tiempos. Preguntate cuándo te va a pasar, no si te va a pasar”, advierte a Clarín. Sentinelli es además un divulgador de seguridad informática, como parte del equipo Dominio Digital, un programa coordinado por Claudio Regis, que desde hace dos décadas busca difundir precauciones antes los peligros que subyacen en el mundo informático.

Hay dos preguntas posibles para hacerse respecto de Argentina. Qué lugar ocupa como target, es decir, como blanco de un ciberataque, y qué puede “salir” desde nuestro país: si hay ciberdelincuentes en Argentina.

Para el primer tema, el caso del hackeo a Migraciones que ocurrió en septiembre evidencia ciertos problemas que exceden lo informático: “Hay cerca de 17 millones de intentos de ataque por minuto, es muchísimo. Y Argentina es un país con alta conflictividad social. No muchos se lo preguntan, pero eso influye: conflictividad política, social y cultural. Eso da como resultado más chances de ser un target por lo social, no por alguna dinámica del ransomware en sí mismo”.

“La anécdota es lo que se ve, pero el verdadero tema de Migraciones fue que algo pudo entrar, como problema número uno. Segundo, se propagó. Pero mucho peor: hay información que pudo salir durante dos meses. Si un organismo maneja información sensible, la información no debería salir de ninguna manera. Ni accidental ni deliberadamente”, agrega “el Chacal”.

Respecto del lugar de Argentina en el escenario de la ciberdelincuencia internacional, Sentinelli aclara que hay un “detalle” para nada menor: la mala conectividad que tiene nuestro país en relación con la región y el mundo.

“En cuanto a ataques masivos, nunca tuvimos ciberdelincuentes que sean protagonistas por un tema tecnológico: el ancho de banda. Si estás en Europa y te pones una fibra óptica en tu casa con 10 GB de ancho de banda por 3 euros por mes, es mucho más fácil tirar un ataque que recorra todas las direcciones IP de internet y pruebe X cosa. Acá estás 25 años para intentar algo así. Entonces no tenés el suelo fértil para los ciberataques”, cuenta.

Esto no quiere decir que Argentina sea inmune a los ataques individuales. Daniel Monastersky es abogado experto en delitos informáticos, robo de identidad y protección de datos personales, y señala que una de las modalidades que usan los cibercriminales buscados por el FBI, el BEC, es la que más creció en la última época de pandemia.

“El BEC, Business email compromise, también conocido como ‘fraude del CEO’ es una modalidad de ataques dirigidos que tienen mucha inteligencia detrás”, explica. A diferencia del phishing, que es como arrojar un medio mundo de un millón de mail para pescar algún desprevenido, son apuntados a las personas que manejan transferencias y pagos en diferentes empresas y pymes.

Hay una gran ingeniería detrás: primero se registra un dominio similar al de la compañía, luego se envían correos falsos imitando órdenes de superiores a los encargados de finanzas con un adjunto. Cuando se hace clic en ese archivo, los cibercriminales acceden y despliegan tareas de reconocimiento que pueden durar meses. Estudian y preparan el golpe. Cuando ya tienen bien en claro el organigrama, la cadena de mando y quién es el “jefe” cuyos correos hacen reaccionar rápidamente a los empleados, accionan.

Los más arriesgados pueden enviar un correo pidiendo una transferencia de dinero autorizada con las firmas necesarias con una orden de pago a una cuenta propia del grupo; o detentan un posible pago grande, se meten en esa conversación, mandan un correo al empleado de contabilidad dándole nuevas coordenadas de transferencia con la firma de su jefe y el resto es historia.

“Logran obtener información de toda la operatoria bancaria y la cadena de firmas necesarias. No es para cualquiera, se necesita una organización, porque estudian cada mail durante meses”, explica Monastersky.

El ataque más chico que se produjo en el país de este tipo fue por 168 mil dólares. El FBI calcula que desde 2016, a través de los BEC los cibercriminales han logrado robar cerca de 26 mil millones de dólares.

Las millonarias cifras que mueven los ciberdelincuentes se engrosan, así, cada vez más. La mayoría de los expertos coinciden en que el problema va a ser cada vez peor y que, en alguna u otra medida, todos necesitamos una cuota de educación en “seguridad digital”.

Al fin y al cabo, no deja de ser el cuento del tío. Pero en vez de tocarnos la puerta, nos envían un mail.

Fuentes: FBI, Departamento de Justicia de EE.UU., The New York Times, The Guardian, BBC News, The Washington Post, The Mueller report, National Crime Agency (GB), Emsisoft, Krebs on Security, ZDNet, Meduza.io, RFE/RL, y PandaSecurity.com.

Diseño: Tea Alberti, Valeria Castresana.
Video de apertura: Cecilia Vecchiarelli.

Fuente: https://www.clarin.com/tecnologia/unidos-fbi-cibercriminales-hackers-iran-rusia-china_0_AGs9x02rt.html

×

Que tal !

El contacto a través de este medio se brinda solo a los fines de coordinar una entrevista y/o informar sobre los honorarios de las consultas profesionales.

× Para coordinar una entrevista