El rastro de un ‘nick’ en internet fue la prueba que condujo a la policía a la detención, mientras disfrutaba de sus vacaciones en Dubai, del cabecilla de la red de piratas informáticos que ha puesto en jaque a medio mundo con un virus que pasará a la historia por su complejidad y creatividad técnica e inteligencia operativa. También por su nombre: el ‘virus de la policía’, un ‘ransomware’ que bloqueaba los equipos y multaba fraudulentamente a los usuarios -por supuestos usos ilegales de la red o descargas prohibidas- en nombre de las distintas instituciones policiales del mundo.
Detrás de ese ‘nick’, cuyo nombre no ha trascendido porque aún podría poner en riesgo las investigaciones en marcha, se esconde un joven ruso de 27 años que llevaba operando muchos años en los circuitos de la ciberdelincuencia. Estaba muy involucrado en el mundo ‘underground’ y en las redes de foros frecuentados por ‘hackers’ que, por supuesto, no aparecen en Google.
El joven ruso, que estaba acostumbrado a un alto nivel de vida, ha sido identificado como el codificador y principal difusor del virus. Ahora mismo, se está tramitando su orden de extradición a España, donde será juzgado.
Geolocalización a través de IP´s
Uno de los elementos del virus que demuestran la creatividad y vocación global con la que había sido diseñado es la incorporación de una carpeta de geolocalización por IP´s en el código del ‘malware’. Es decir, si un usuario infectado se conectaba desde Estados Unidos, en su pantalla aparecía el logotipo del FBI reclamando la multa ficticia. Si lo hacía desde Alemania, la Bundespolizei. Desde Inglaterra, Scotland Yard. Desde España, la Policía Nacional. Y así en un total de 22 países.
“Hemos visto el código fuente del virus. Está muy bien hecho. Pocas personas pueden hacer algo así. Era una de las mayores organizaciones que operaban a nivel internacional. Aunque nunca se puede decir que se haya desmantelado; siempre puede haber alguien de un peldaño más bajo, de segunda o tercera línea, que cree de nuevo la plataforma”, explica a Teknautas José Rodríguez, responsable del Grupo Seguridad Lógica de la Brigada de Investigaciones Tecnológicas (BIT) de la Policía Nacional, el grupo policial que ha dirigido esta investigación internacional, en perfecta coordinación -y con el apoyo- de jueces y fiscales a la hora de tipificar los delitos y confiar en esta delicada operación, bautizada como ‘Ransom’.
Además de sus capacidades de geolocalización, ‘el troyano’ estaba dotado de una capacidad de mutación a través de la que se mostraban continuamente nuevas instituciones a la hora de reclamar las multas fraudulentas a los usuarios. En España, uno de esos organismos era la SGAE, aunque en este caso los ‘hackers’ no obtuvieron grandes resultados. Nadie temía las multas de la SGAE.
Se ha publicado que este ‘ransomware’ se camuflaba en páginas web de tipo pornográfico. No es completamente cierto. El virus se escondía, de forma opaca, detrás de ‘banners’ de publicidad en general; lo que ocurre es que lo piratas perseguían tener impacto en webs no demasiado expuestas, sin demasiados controles, y al mismo tiempo con flujos de visitas muy altos. Y la pornografía en internet cumple con esos requisitos.
Un cartucho en una escopeta
No obstante, lo más peligroso de esta organización ‘hacker’ no era el propio virus, sino la infraestructura sobre la que estaba cargado: una escopeta global y perfecta que estaba preparada para ser cargada, en cualquier momento, con un nuevo cartucho infectado. De hecho, ya estaba diseñado un nuevo virus informático para ser lanzado a través de los mismos canales.
“La organización tenía paneles de control donde visualizaban en todo momentos los ‘rankings’ sobre el virus. Hacían un seguimiento exhaustivo. Sabían en qué país estaba funcionando. Y en cualquier momento podían bloquear un equipo”, apunta el inspector jefe José Rodríguez.
El blanqueo de dinero electrónico
Como se ha informado estos días, la célula financiera de la organización estaba ubicada en la Costa del Sol, donde se han producido ocho arrestos en Benalmádena y otros dos en Torremolinos, entre los que se encuentran 6 ciudadanos rusos, 2 ucranianos y 2 de origen georgiano. De momento, no se conoce la implicación de ningún español. Tampoco se descartan nuevas detenciones.
En ese sentido, la operación ha logrado la desarticulación de una célula financiera cuya actividad de blanqueo del dinero obtenido con el fraude podría reportarles más de 1.000.000 € al año, que estarían sacando del país mediante complejos y difícilmente detectables medios de pago ‘online’.
El uso de dinero electrónico en la trama de blanqueo ha abierto nuevas líneas de investigación contra el crimen cibernético dentro de la policía. “Con pequeñas cantidades se puede mover una gran cantidad de dinero. Muchas veces leemos que monedas virtuales como el Bitcoin son cosa del futuro, que aún no han llegado a nosotros. No es cierto, son reales, y ya se utilizan para blanquear dinero”, señala Rodríguez.
Sólo en España, desde que se detectó el virus en mayo de 2011, se han presentado más de 1.200 denuncias aunque el número de perjudicados es con seguridad mucho mayor. La investigación realizada por la Brigada de Investigación Tecnológica se ha desarrollado a nivel internacional, siendo de especial importancia la colaboración de EUROPOL e INTERPOL para coordinar los grupos de trabajo en los países implicados.
[Via Cotizalia]
Tel. 93 735 69 02 - Mov. 607 230 390
info@laanet.com
