Arrestados, incautados, doxed y detenidos. Estas son solo algunas de las formas en que la policía y los fiscales de todo el mundo han desmantelado las mayores operaciones de ciberdelincuencia del año, aunque para ello hayan tenido que recurrir a métodos nuevos y poco convencionales. Desde esconder miles de millones de bitcoins bajo el suelo hasta piratas informáticos adolescentes que se cuelan en las redes de Fortune 500, este año se han producido algunas de las violaciones más asombrosas y las detenciones más sonadas.
Al cierre de 2022, echamos la vista atrás para recordar a los ciberdelincuentes que hemos perdido este año… a manos de la ley.
Las sanciones y las incautaciones llegan a la escena de las criptomonedas
Las autoridades estadounidenses lograron importantes victorias contra el criptoblanqueo en 2022. A principios de año, el Departamento de Justicia dijo que se había incautado de bitcoins por valor de más de 3.600 millones de dólares presuntamente robados en el hackeo en 2016 de la criptobolsa Bitfinex y que había detenido a un matrimonio sospechoso de blanquear el dinero.
La pareja -Ilya Lichtenstein, de 34 años, y Heather Morgan, de 31- se enfrenta a hasta 25 años de prisión si es declarada culpable de los cargos de conspiración para blanquear dinero y defraudar al gobierno de Estados Unidos.
Más adelante en el año, la Oficina de Control de Activos Extranjeros (OFAC), un organismo de control dentro del Tesoro de los EE. UU. encargado de hacer cumplir las violaciones de las sanciones, anunció que había sancionado al servicio descentralizado de mezcla de criptomonedas Tornado Cash por su papel en permitir miles de millones de dólares en criptomonedas, para ser lavado a través de su plataforma.
Tornado Cash, junto con otros mezcladores como AlphaBay, permite a los clientes ocultar el origen de sus criptofondos cuando participan en una transacción a cambio de una comisión. Mezcla fondos de criptomoneda potencialmente identificables o contaminados con otros para ofuscar el origen y el destino de los criptoactivos. Los expertos estiman que hasta la fecha se han blanqueado a través de Tornado Cash más de 1.500 millones de dólares procedentes de delitos como el ransomware y el fraude.
Estados Unidos denuncia a un presunto miembro del ransomware Conti
En agosto, el gobierno de EE.UU. compartió una imagen de un presunto operador de ransomware Conti conocido como «Target», la primera vez que ha sacado a la luz a un actor importante de ransomware. El programa también ofrecía hasta 10 millones de dólares por información que condujera a la identificación y localización de Target, junto con otros cuatro presuntos miembros de Conti conocidos como «Tramp», «Dandis», «Professor» y «Reshaev».
Según el Departamento de Estado, Conti ha llevado a cabo más de 1.000 operaciones de ransomware dirigidas contra infraestructuras críticas estadounidenses e internacionales. Más recientemente, la banda se infiltró en 27 instituciones gubernamentales de Costa Rica y exigió un rescate de 20 millones de dólares.
Otra banda que recibió un golpe devastador en 2022 fue NetWalker, una banda de ransomware que ha estado vinculada a numerosos incidentes de alto perfil, incluido un ataque a la Universidad de California en San Francisco, que pagó una demanda de rescate de más de 1 millón de dólares, y un ataque dirigido a la startup de ciberamenazas Cygilant. Entre agosto de 2019 y enero de 2021, los ataques de ransomware que involucraron a NetWalker obtuvieron 46 millones de dólares en pagos de rescates, según la firma de análisis de criptomonedas Chainalysis.
En octubre, Sebastien Vachon-Desjardins, un joven de 34 años de Quebec, fue sentenciado en un tribunal de Florida en octubre después de declararse culpable de cargos relacionados con su participación en NetWalker. Vachon-Desjardins, que trabajaba como consultor informático para Obras Públicas y Servicios Gubernamentales en Canadá, fue detenido previamente por la policía canadiense en enero de 2021 y condenado a siete años de prisión. Durante un registro en su domicilio, las fuerzas del orden descubrieron e incautaron 719 bitcoin y 790.000 dólares en moneda canadiense.
James Zhong, el hacker que robó miles de millones de bitcoin de Silk Road
En una sorprendente, pero anticlimática conclusión de uno de los casos cibernéticos más antiguos del gobierno, se resolvió el misterio de los miles de millones desaparecidos del famoso mercado de drogas de la web oscura Silk Road. En noviembre, agentes federales estadounidenses declararon haber encontrado 3.360 millones de dólares en bitcoins que habían sido escondidos en una lata de palomitas de maíz bajo las tablas del suelo del armario del cuarto de baño de la casa del hacker casi una década antes. Los fiscales presentaron cargos contra el pirata informático, un residente de Georgia llamado James Zhong, cuyo acuerdo con los federales le obligó a renunciar al enorme alijo de criptomoneda, junto con 600.000 dólares en efectivo y otros metales preciosos.
De forma un tanto confusa, Zhong es el segundo hacker que finalmente ha entregado los miles de millones robados de Silk Road, aunque a un tipo de cambio más bajo que el actual. En 2020, un pirata informático conocido con el alias de Individuo X confiscó otro enorme alijo de bitcoins de Silk Road que había robado años antes durante una oleada de pirateos en 2012 y 2013. La última confiscación del Departamento de Justicia cerró la puerta a otro misterio de mil millones de dólares, aunque los federales mantuvieron en secreto cómo se robaron los fondos o cómo llegaron a encontrar al hacker, mucho después de que el fundador de Silk Road, Ross Ulbricht, fuera encarcelado.
Operador de Raccoon Stealer acusado de robo masivo de contraseñas
Las autoridades estadounidenses imputaron en octubre a un ciudadano ucraniano por su presunta participación en la operación de malware como servicio Raccoon Infostealer, que infectó millones de ordenadores en todo el mundo. Mark Sokolovsky, que se conoce por el alias en línea «raccoonstealer», está acusado de tener un papel importante como administrador clave del malware, que, según los fiscales, se utilizó para robar más de 50 millones de credenciales únicas y formas de identificación de víctimas de todo el mundo desde febrero de 2019.
Sokolovsky está acusado de fraude informático, fraude electrónico, lavado de dinero y robo de identidad y se enfrenta a hasta 20 años de prisión si es declarado culpable. Sokolovsky se encuentra en Ámsterdam a la espera de ser extraditado a Estados Unidos.
La detención de Sokolovsky provocó un repunte de las nuevas campañas de Mars Stealer, entre ellas la dirigida masivamente a Ucrania en las semanas posteriores a la invasión rusa y un esfuerzo a gran escala para infectar a las víctimas mediante anuncios maliciosos. Sin embargo, en noviembre, una startup de hacking e investigación de seguridad dijo que había encontrado un fallo de codificación que permite bloquear a los operadores del malware Mars Stealer de sus propios servidores y liberar a sus víctimas.
El vendedor de la tecnología de pirateo de WhatsApp se declara culpable
Bloqueadores de señal, herramientas de interceptación Wi-Fi y herramientas de pirateo de WhatsApp. Estas son algunas de las cosas que un empresario mexicano admitió ante un tribunal federal haber vendido tanto con fines comerciales como personales. El Departamento de Justicia acusó a Carlos Guerrero, entre otras cosas, de organizar la venta de herramientas de pirateo a políticos mexicanos y de utilizar otros equipos que vendía para interceptar las llamadas telefónicas de un rival estadounidense. Esto demuestra que no solo los Estados nación y los gobiernos disponen de una potente tecnología de espionaje telefónico.
Lapsus$ detenidos una, dos veces
La banda Lapsus$ saltó a la fama en 2022. El grupo de extorsión de datos, que apareció por primera vez un año antes, se cobró rápidamente una serie de víctimas de alto perfil, incluyendo Okta, Microsoft, Nvidia y Samsung.
Aunque la banda parecía invencible, varios de sus miembros fueron detenidos en marzo de este año. En un comunicado, la policía londinense confirmó que siete personas de entre 16 y 21 años habían sido detenidas en relación con Lapsus$.
La noticia de las detenciones se produjo pocas horas después de que un informe de Bloomberg revelara que un adolescente afincado en Oxfordshire (Reino Unido) es sospechoso de ser el cerebro del grupo Lapsus$. Los investigadores de los recientes hackeos de la banda dijeron que creían que el joven de 16 años, que utiliza el apodo online de «White» o «Breachbase», era una figura destacada de Lapsus$. Bloomberg pudo localizar al presunto pirata informático después de que hackers rivales publicaran en Internet sus datos personales. Semanas después, la policía británica comunicó que había acusado a dos de los adolescentes de múltiples delitos cibernéticos.
Desaparece SSNDOB, un mercado de números de la Seguridad Social robados
El pasado mes de junio, las autoridades estadounidenses anunciaron el desmantelamiento de SSNDOB, un célebre mercado utilizado para comerciar con información personal -incluidos los números de la Seguridad Social- de millones de estadounidenses.
La histórica operación fue llevada a cabo por el FBI, el IRS y el DOJ, con la ayuda de la Policía de Chipre, y en ella las autoridades se incautaron de cuatro dominios que albergaban el mercado SSNDOB.
En SSNDOB figuraban los datos personales de aproximadamente 24 millones de personas en Estados Unidos, incluidos nombres, fechas de nacimiento, SSN y números de tarjetas de crédito, y generó más de 19 millones de dólares en ingresos, según los fiscales. Chainalysis informó por separado que el mercado había recibido casi 22 millones de dólares en bitcoin en 100.000 transacciones desde abril de 2015, aunque se cree que el mercado estuvo activo durante varios años antes de su eventual incautación.
Exingeniero de Amazon condenado por robo de datos de Capital One
También en junio, Paige Thompson, una exingeniera de la división de nube de Amazon, fue condenada por una brecha que comprometió la información personal y financiera de 100 millones de clientes de CapitalOne en 2019. La brecha fue uno de los mayores atracos bancarios en la historia de Estados Unidos, que incluyó el robo de puntuaciones de crédito, límites y saldos, y también afectó a un millón de canadienses. Thompson fue acusada de utilizar sus conocimientos como ingeniera de software de Amazon para violar el almacenamiento en la nube en línea de CapitalOne, alojado en los servidores de Amazon, y comprometer el almacenamiento en la nube de varias otras compañías, incluidas Vodafone, Ford y la agencia estatal de vehículos motorizados de Ohio. Los fiscales dijeron que la ex ingeniera de Amazon estuvo «a un mal día de compartir los datos que robó». Por ello, Thompson fue condenada a tiempo cumplido, lo que le permitió evitar la cárcel.
Un importante operador de REvil fue extraditado a Estados Unidos
Con una recompensa de 10 millones de dólares por su cabeza tras un descarado ataque de ransomware a Kaseya que se propagó a cientos de sus clientes, era solo cuestión de tiempo que la suerte del grupo de ransomware REvil se acabara. Eso es lo que ocurrió con Yaroslav Vasinskyi, ucraniano de 22 años, detenido en Polonia en octubre y posteriormente procesado y extraditado a Dallas (Texas) para enfrentarse a acusaciones de piratería informática y fraude por su presunta implicación en REvil. Vasinskyi es uno de los otros dos presuntos miembros de REvil acusados por la fiscalía estadounidense en relación con el ataque a Kaseya. Hasta que el FBI no recuperó la clave de descifrado, las víctimas no pudieron volver a acceder a sus archivos cifrados.
El Reino Unido detiene a adolescentes relacionados con los ataques a Uber y GTA
En septiembre, la policía londinense confirmó que un adolescente de 17 años sospechoso de estar implicado en los ataques a Uber y Rockstar Games había sido acusado de varios delitos de uso indebido de ordenadores y quebrantamiento de la libertad bajo fianza.
Estos hackeos fueron dos de los más sonados de 2022. Uber, que dijo creer que un hacker afiliado a Lapsus$ era el responsable del ataque, se vio obligada a desconectar varias de sus herramientas internas mientras expulsaba al hacker de su red. Poco antes de que el sistema Slack de Uber fuera desconectado, los empleados de Uber recibieron un mensaje que decía: «Anuncio que soy un hacker y Uber ha sufrido una violación de datos.» Al parecer, el hacker también decía que los conductores de Uber deberían recibir un salario más alto.
En el caso de Rockstar Games, el atacante -que también se hace llamar «TeaPot»- afirmó haber obtenido acceso a los mensajes internos de Rockstar Games en Slack y al código inicial de una secuela no anunciada de Grand Theft Auto al obtener acceso a las credenciales de inicio de sesión de un empleado.