Noticias del cibercrimen: cierre de foros, arrestos, condenas y sentencias

En este momento, a la seguridad informática le vendría muy bien tener algunas buenas noticias, aunque más no sea para contrarrestar la gran cantidad de malas noticias sobre filtraciones de datos y vulnerabilidades de los sistemas. ¿Qué te parece ésta?: "Cierre de foro cibercriminal; se arrestan miembros de 20 países". Lo mejor que tiene este titular es que no lo inventé yo; esto ocurrió en realidad hace poco en el mes de julio.

Por desgracia, como suele pasar con muchas buenas noticias, esta historia desapareció rápidamente de la primera plana, en parte debido a la mayor cantidad de noticias sobre filtraciones de datos (como los ataques a UCLA Health, AshleyMadison y la Oficina de Censo de los Estados Unidos) y vulnerabilidades (como la que provocó que Fiat Chrysler tuviera que relocalizar 1,4 millones de vehículos vendidos para actualizar el software). Afortunadamente, el cierre del foro cibercriminal Darkode que generó este título maravilloso no fue el único triunfo reciente en la lucha contra el uso indebido de los sistemas informáticos; por eso pensé que sería útil resumir todas las noticias recientes de esta índole en un mismo lugar.

Cierre de Darkode

Darkode era un foro que les facilitaba a los criminales comprar, vender e incluso alquilar herramientas para cometer delitos cibernéticos, así como los frutos derivados de tales delitos. Si alguien necesitaba un malware para infectar los equipos de las víctimas y robar información, podía comprarlo en Darkode o quizá simplemente alquilar una botnet de máquinas previamente infectadas, ya preparada para robar datos, enviar spam o realizar ataques de denegación de servicio. ¿Alguien necesitaba vender la información personal y los datos financieros robados de las víctimas? Darkode era el lugar preciso para hacerlo. Según el abogado estadounidense David J. Hickton:

"De los aproximadamente 800 foros de delitos de Internet en todo el mundo, Darkode representaba una de las amenazas más graves para la integridad de los datos almacenados en las computadoras estadounidenses y del resto del mundo, y era el foro en idioma inglés más sofisticado para los hackers informáticos criminales a nivel global."

Básicamente, cualquier persona con inclinaciones criminales podía, gracias a Darkode, comenzar a cometer delitos cibernéticos, una actividad que ha ganado la fama de ofrecer grandes recompensas con riesgos más bajos que los delitos convencionales. Por ejemplo, los ladrones convencionales o los ladrones de bancos tienen una probabilidad mucho mayor de que los asesinen a disparos que quienes roban datos de tarjetas de crédito de negocios minoristas. Entonces, ¿por qué la noticia del cierre de Darkode es tan importante? Bien, aparte de los 70 arrestos relacionados con Darkode que abarcan varios países (20 en los Estados Unidos, 6 en el Reino Unido, etc.), tuvo por lo menos cuatro grandes repercusiones:

1. Cambió la relación riesgo/recompensa: demostró que estos tipos de servicios también son vulnerables y que las personas que los utilizan corren el riesgo de ser identificadas, acusadas, detenidas, juzgadas y condenadas.
2. Dejó en estado de alerta a toda la Dark Web, donde actualmente existen cientos de otros lugares dedicados a facilitar el mismo tipo de actividades. Probablemente algunos de ellos ahora estén un poco más nerviosos por su modelo de negocio y confíen un poco menos en sus compradores y vendedores (al parecer, un agente del FBI se infiltró en Darkode en 2010, a pesar del proceso de selección que tenía el foro).
3. Demostró que las agencias encargadas de hacer cumplir la ley podrían trabajar juntas más allá de las fronteras internacionales (esta investigación, llamada en código Operation Shrouded Horizon, implicó un esfuerzo coordinado entre Australia, Bosnia y Herzegovina, Brasil, Canadá, Colombia, Costa Rica, Chipre, Croacia, Dinamarca, Finlandia, Alemania, Israel, Letonia, Macedonia, Nigeria, Rumania, Serbia, Suecia, Reino Unido y Estados Unidos).
4. Le demostró al público que la policía tenía la determinación de reducir el delito cibernético, en un momento en que parecía una tarea prácticamente imposible (llegue a ver un entrevistador intentando conseguir que el Sr. Hickton "admitiera que esto es inútil, como un grano de arena en el desierto"; Hickton respondió con un rechazo admirablemente firme a esta noción tan pesimista).

A continuación menciono a algunas de las personas arrestadas con el cierre de Darkode, junto con algunos de sus presuntos crímenes (hay que recordar que, al día de hoy, estas personas presumen inocencia). La naturaleza de los cargos es relevante por un par de razones; por ejemplo, les informa a los ciberdelincuentes actuales qué pueden esperar si llegan a ser procesados.

• Johan Anders Gudmunds de Sollebrunn, Suecia: conspiración para cometer fraude informático, fraude electrónico y lavado de dinero; servir como administrador de Darkode para facilitar la creación y venta de malware que les permitió a otros hackers crear botnets; operar su propia botnet de 50.000 computadoras y robar datos de los usuarios de estos equipos en aproximadamente 200 millones de ocasiones.
• Morgan Culbertson, 20 años, de Pittsburgh, acusado de crear y comercializar Dendroid, un malware para acceder en forma remota a los teléfonos móviles Android de Google, controlarlos y robar sus datos. Culbertson está acusado de haber vendido la herramienta a través del sitio Darkode por USD 300, y su código fuente por USD 65.000.
• Eric L. Crocker, 39 años, de Binghamton, Nueva York: usar el programa Facebook Spreader para infectar los equipos de los usuarios, convirtiéndolos en bots que luego vendía para el envío masivo de spam.
• Naveed Ahmed, 27 años, de Tampa, Florida; Phillip R. Fleitz, 31, de Indianápolis; y Dewayne Watts, 28, de Hernando, Florida: mantener una botnet de spam que utiliza servidores muy resistentes en China y routers vulnerables de los países del tercer mundo para enviar millones de correos electrónicos con el objetivo de vencer los filtros de spam de los teléfonos móviles.
• Murtaza Saifuddin, 29 años, de Karachi, Pakistán: robar identidad; intentar transferir números de tarjetas de crédito a otras personas a través de Darkode.
• Daniel Placek, 27 años, de Glendale, Wisconsin: conspirar para cometer fraude informático; acusado de crear el foro Darkode y vender malware en Darkode diseñado para interceptar y recopilar direcciones de correo electrónico y contraseñas en comunicaciones de red de manera oculta.
• Matjaz Skorjanc, 28 años, de Maribor, Eslovenia; Florencio Carro Ruiz, 36, de Vizcaya, España; y Mentor Leniqi, 34, de Gurisnica, Eslovenia: conspiración para cometer estafas organizadas y fraude electrónico, fraude bancario, fraude informático, fraude de dispositivos de acceso y extorsión. Skorjanc también está acusado de conspirar para organizar el foro Darkode y de vender ButterFly, un kit de malware de tipo bot.
• Rory Stephen Guidry, Opelousas, Louisiana: acusado de cometer fraude informático; acusado de vender botnets en Darkode.

Para obtener más información sobre la evolución de Darkode, recomiendo leer este artículo de Brian Krebs, que pasó bastante tiempo hurgando en el foro.

Una vida de crímenes cibernéticos = ¿Una vida en prisión?

Antes de examinar algunos de los arrestos por delitos informáticos que no están relacionados con Darkode, es conveniente poner estas presuntas transgresiones en perspectiva: ¿a qué clase de futuro te enfrentas si eres uno de los acusados? Mi mejor suposición es que, si te encuentran culpable, es muy probable que vayas a la cárcel. ¿Por cuánto tiempo? ¿Qué te parece por el resto de tu vida? Ésta es la sentencia que recibió otro criminal cibernético, Ross Ulbricht, el hombre que fundó y operó Silk Road, un mercado online que funcionaba en la Dark Web, un grupo de sitios y servicios que utilizan una red cifrada mediante un software especial (Tor) y a los que no se puede acceder desde la Internet pública. Al igual que Darkode, Silk Road también facilitaba la compra y venta de mercancías ilegales, en particular, drogas ilegales.

Algunas personas se sorprendieron por la cadena perpetua de Ulbricht, dictada en mayo y, aunque va a apelar, dudo que termine con una condena de menos de 20 años. Esto se debe principalmente a la faceta de "tráfico de drogas" de su empresa online, como se refleja en esta declaración del juez de sentencia: "Lo que hizo con Silk Road fue terriblemente destructivo para nuestra sociedad." Sin embargo, aquí hay dos factores que podrían darnos una pista sobre cómo evolucionará la sentencia de los delitos cibernéticos: la magnitud y el impacto en la sociedad.

El robo en el ciberespacio se puede realizar en una escala que no sería posible en el mundo real. Las personas que robaron los datos de tarjetas de pago de Target en 2013 lograron recaudar, en cuestión de meses, mucho más dinero que todos los ladrones de bancos de los Estados Unidos ese mismo año (algunos de los cuales fueron asesinados a tiros en el acto). El tráfico de drogas en el ciberespacio también supera con creces el tráfico tradicional (la sentencia de Ulbricht incluye una multa de 183 millones de dólares). Toma como ejemplo a un solo distribuidor de Silk Road: un hombre llamado Steven Sadler que se declaró culpable a principios de este año de la venta de casi un millón de dólares de narcóticos en el bazar online (Sadler recibió una sentencia de cinco años de prisión más cuatro años de libertad condicional, pero probablemente habría sido mucho más si no hubiera cooperado con las autoridades).

Aunque yo no soy abogado, me gusta estudiar la justicia criminal. Encontré un gran artículo de la Dra. Susan Brenner, de la Facultad de Derecho de la Universidad de Dayton, donde señalaba en el año 2004 que algunos aspectos de la delincuencia cibenética podrían desencadenar "mejoras" en las sentencias federales, es decir, llevar a que las sentencias sean más estrictas (consulta el artículo: ‘Cybercrime Metrics: Old Wine, New Bottles?’ Virginia Journal of Law & Technology, 9,13-13). Entre estos factores se encuentran la magnitud y la complejidad del delito, el esfuerzo que se hizo para ocultarlo, y los daños que ocasionó en la sociedad y la infraestructura. En otras palabras, al calcular la condena por robo o fraude, el juez podría llegar a agregar más tiempo si se considera que el delito socava los beneficios sociales de la tecnología de Internet.

Cierre de ID Theft y de SpyEye

Como noción de lo que deben esperar los condenados en el caso Darkode, puedes tomar el ejemplo de principios de este mes, cuando un ciudadano vietnamita, Hieu Minh Ngo, de 25 años, fue condenado a 13 años de prisión tras declararse culpable por cargos de fraude electrónico, fraude de identidad, fraude de dispositivos de acceso, y cuatro cargos de fraude y abuso informático (aquí están los detalles completos). Si el caso hubiera ido a juicio, es posible que la sentencia se acercara más a los 20 años.

El anuncio del FBI sobre la sentencia hacía varias alusiones a la magnitud que tuvieron las actividades de Ngo: no solo vendía paquetes de datos personales robados (conocidos como "fullz") para usarse en robos de identidad, sino que también les vendía a los delincuentes la posibilidad de hacer búsquedas de información de identificación personal (PII, por sus siglas en inglés) robada sobre individuos específicos, desde bases de datos online (les ofreció PII sobre 200 millones de ciudadanos estadounidenses a más de 1.300 clientes de todo el mundo y los registros demostraron que se hicieron más de tres millones de "búsquedas"). Ngo parece haber ganado "casi 2 millones de dólares" con este comercio ilegal de datos robados. El IRS calcula que más de 13.000 ciudadanos estadounidenses resultaron afectados por la venta de sus PII robados en los sitios Web de Ngo, lo que alcanzó un valor de 65 millones de dólares por reclamaciones de reembolso falsas.

También se puede incluir a Scale a las sentencias que pronto se dictarán para los dos creadores de SpyEye, Aleksandr Andreevich Panin de Tver, Rusia y Hamza Bendelladj, de Tizi Ouzou, Argelia (que se declararon culpables en 2014 y en la actualidad están esperando la sentencia). Para los lectores que no estén familiarizados con SpyEye, es un software malicioso clásico, uno de los primeros kits de malware "fáciles de usar" con una interfaz para el usuario, empleado para cometer fraudes bancarios. Y, por supuesto, SpyEye fue uno de los productos que se podían obtener en el sitio Darkode. Si te preguntas por qué la fase de sentencia está tardando tanto, puede deberse al enorme esfuerzo que se requiere para evaluar la magnitud y el impacto de los crímenes cometidos por estos individuos, factores que sin duda influirán en las sentencias que reciban.

Factor de retardo y efecto disuasorio

Hablando de SpyEye y de malware bancario, el mes pasado hubo buenas noticias en el frente de la ciberdelincuencia en Europa. Un equipo europeo de investigación conjunta conformado por investigadores y autoridades judiciales de seis países diferentes actuó en Ucrania (hasta ese entonces considerado un país seguro para los ciberdelincuentes) y llevó a cabo una importante operación contra el delito cibernético. Europol dice que cinco "delincuentes cibernéticos de alto nivel y sus cómplices" fueron arrestados bajo sospecha de desarrollar, utilizar y distribuir el malware Zeus y SpyEye. Pueden esperar pasar mucho tiempo bajo custodia mientras las autoridades tratan de determinar la magnitud y el impacto de los crímenes que cometieron.

El patrón preocupante que encontramos aquí es que los arrestos por delitos informáticos a menudo ocurren varios años después de que se cometen los crímenes. Después de todo, los productos de ESET han estado bloqueando el malware Zeus y SpyEye desde 2010. Este factor de retardo tiende a debilitar el impacto de los arrestos y los procesamientos de la actividad criminal que están destinados a disuadir. Los criminólogos suelen coincidir en que cuanto más veloz es la justicia, más fuerte es el efecto disuasorio.

Pero quizá esta demora se vaya acortando a medida que los organismos policiales de todo el mundo adquieran más experiencia trabajando juntos y compartiendo información. La semana pasada nos enteramos de que posiblemente hayan arrestado a los hackers que atacaron el banco JPMorgan Chase. Digo "posiblemente" porque los cuatro hombres detenidos (dos en Florida y dos en Israel) eran buscados por otros delitos, como lo explica el abogado estadounidense Preet Bharara de Manhattan:

"Los acusados manipularon el valor de las acciones estadounidenses desde el extranjero, utilizando identidades falsas para transferir millones de dólares ilegalmente a través de una red de empresas internacionales ficticias. Al parecer, estos acusados dirigieron su esquema de "pump and dump" de acciones (capitalización de acciones fraudulentas) desde sus computadoras del otro lado del mundo mediante el envío masivo de correos de spam falsos y engañosos enviados a millones de inversionistas".

Un típico esquema de "pump and dump" implica hacer que suba el precio de una acción y luego venderla antes de que el precio comience a caer; y una de las tácticas para lograr que suban los precios es mediante campañas de correos electrónicos masivos enviados a los inversores potenciales. La conexión con el ataque al banco JPMorgan fue descubierta por un funcionario de la policía federal que le dijo a USA TODAY que los crímenes mencionados arriba salieron a la luz como resultado de la investigación del ataque al banco. Quizá recuerdes que el banco en un principio afirmó que había sido víctima de un ataque sofisticado, y creía que podía tratarse de una respuesta rusa a las sanciones impuestas por Estados Unidos. Pero ahora parece posible que los criminales simplemente hayan atacado los servidores de JPMorgan con el objetivo de obtener las direcciones de correo electrónico que necesitarían en su esquema de envío de spam.

A continuación se mencionan algunas otras noticias sobre justicia criminal:

• A principios de este mes, el hombre que operaba el malware DNSChanger se declaró culpable en Nueva York por cargos de fraude electrónico y de intrusión informática (para obtener más información, consulta el artículo de Krebs on Security).
• Alex Yücel, el dueño de una organización conocida como "Blackshades" fue sentenciado el mes pasado a casi cinco años de prisión por su papel en la venta y distribución de lo que el abogado estadounidense Bharara se refirió como una "forma perniciosa de software malicioso ... conocido como la herramienta de acceso remoto (RAT, del inglés) Blackshades".
• El Ministerio del Interior estadounidense anunció el miércoles que "en Bulgaria arrestaron a un hombre sospechoso de pertenecer a una red de hackers islamitas responsables de ataques a más de 3.500 sitios Web de todo el mundo".

Entonces, ¿cambió ahora la situación de la lucha contra el delito cibernético? Probablemente no, pero al menos nos estamos dando cuenta de que los malos empiezan a encontrar resistencia y que algunos de ellos van a pasar muchos años en prisión. Las largas sentencias no son necesariamente un fuerte elemento de disuasión para el delito; no obstante, el aumento de la velocidad con la que los criminales son llevados ante la justicia puede disuadir a aquellos que están contemplando la posibilidad de llevar una vida criminal. Lamentablemente, todavía no estamos destinando la cantidad de recursos suficiente para lograr disuadir el delito cibernético. Esperamos que la respuesta positiva de la gente a estos casos recientes de arrestos y condenas ayude a persuadir a los políticos para que financien mejor los proyectos contra el delito cibernético.