Especial BBC: la cacería para dar con los cibercriminales más buscados del mundo que viven como millonarios en Rusia
Joe Tidy - Reportero de seguridad cibernética | Viernes 19 noviembre, 2021
Muchas de las personas en la lista de los más buscados por el FBI son rusas.
Mientras que algunos presuntamente trabajan para el gobierno y ganan un salario normal, otros están acusados de hacer una fortuna con ataques de ransomware (secuestro de datos) y robo en línea. Si salieran de Rusia serían arrestados, pero en casa parecen tener vía libre.
"Estamos perdiendo el tiempo", pensé mientras veía a un gato lamer los restos de un pollo.
Seguramente ya no habría ningún rastro de un presunto ciberdelincuente multimillonario en esta ruinosa propiedad 700 kilómetros al este de Moscú.
Pero seguí adelante con un intérprete y un camarógrafo, ahuyentando al gato sarnoso de la entrada del bloque de pisos.
Cuando llamamos a una de las puertas, un joven respondió mientras una anciana curiosa nos miraba desde la cocina.
"¿Igor Turashev? No, no reconozco el nombre", dijo.
"Su familia está registrada aquí. ¿Quién es usted?", preguntamos.
Después de una charla amistosa, explicamos que éramos reporteros de la BBC, y su humor cambió de repente.
"No te voy a decir dónde está y no deberías intentar encontrarlo. No deberías haber venido aquí", exclamó el joven enojado.
No dormí bien esa noche pensando en los consejos contradictorios que me habían dado las personas del sector de seguridad.
Algunos dijeron que tratar de localizar a los ciberdelincuentes buscados en su suelo natal era arriesgado.
"Tendrán guardias armados", me dijeron. "Terminarás en una zanja en alguna parte", advirtió otro.
Otros dijeron que estaría bien: "Solo son fanáticos de las computadoras".
Todos coincidieron en que no podríamos acercarnos a ellos.
En una conferencia de prensa hace dos años, el FBI nombró a nueve miembros del grupo de piratería ruso Evil Corp, y acusó a Igor Turashev y al presunto líder de la pandilla, Maksim Yakubets, de robar o extorsionar más de $100 millones en ataques que afectaron a 40 países diferentes.
Las víctimas van desde pequeñas empresas hasta multinacionales como Garmin, así como organizaciones benéficas y una escuela. Son solo los que conocemos.
El Departamento de Justicia de EE.UU. dice que los hombres son "ladrones de bancos en el ciberespacio" que organizan ataques de ransomware o piratean cuentas para robar dinero.
El anuncio convirtió a Maksim Yakubets, entonces de solo 32 años, en el símbolo del hacker ruso playboy.
Imágenes de la pandilla obtenidas por la Agencia Nacional contra el Crimen de Reino Unido mostraron a los hombres conduciendo Lamborghinis personalizados, riendo con fajos de billetes y jugando con un cachorro de león como mascota.
La acusación del FBI de los dos hombres fue el resultados de años de trabajo, incluidas entrevistas con exmiembros de pandillas y el uso de tecnología forense. Algunos datos se remontan a 2010 cuando la policía rusa todavía estaba dispuesta a colaborar con sus colegas estadounidenses.
Esos días han quedado atrás. El gobierno ruso ignora rutinariamente las acusaciones de piratería de EE.UU. contra sus ciudadanos.
De hecho, a los piratas informáticos no solo se les permite continuar, sino que también son reclutados por los servicios de seguridad.
Siguiendo las pistas
Nuestra investigación sobre Maskim Yakubets comenzó en un lugar inesperado: un campo de golf a unas dos horas de Moscú.
Este fue el escenario de su espectacular boda en 2017, cuyo video fue visto por Radio Free Europe/Radio Liberty y ampliamente compartido.
Es revelador que la cara de Yakubets nunca se muestre en las imágenes, filmadas por una compañía de producción de videos de bodas. Pero se le puede ver bailando con música en vivo interpretada por un famoso cantante ruso bajo un hermoso espectáculo de luces.
Natalia, la organizadora de bodas, no entró en detalles sobre el gran día de Yakubets, pero nos mostró algunos de los lugares clave, incluido un edificio con pilares tallado en las colinas cerca de un lago.
"Es nuestra habitación exclusiva", dijo. "A los recién casados les encanta entrar para sesiones de fotos y romance".
Mientras nos conducía en un carrito de golf, hice algunos cálculos. Con lo que nos dijeron, esta gran boda habría costado considerablemente más de las estimaciones de US$250.000 que había escuchado anteriormente. El precio estaba potencialmente más cerca del medio millón de dólares, o incluso de US$600.000
No sabemos cómo se pagó el día especial, pero si Yakubets abonó la cuenta es una indicación de lo lujoso que es su estilo de vida.
Igor Turashev, de 40 años, tampoco mantiene un perfil bajo.
Utilizando registros públicos, mi colega Andrey Zakharov, ciberperiodista del servicio de BBC Rusia, encontró tres empresas registradas a su nombre.
Todas tienen oficinas en la prestigiosa Federation Tower de Moscú, un brillante rascacielos en el distrito financiero que no se vería fuera de lugar en Manhattan o Canary Wharf de Londres.
Una recepcionista desconcertada buscó un número de teléfono y descubrió que las oficinas no tenían uno. Sin embargo, encontró un teléfono móvil con el nombre de la empresa y nos comunicó.
Llamamos y esperamos. Escuchamos una canción de Frank Sinatra durante unos cinco minutos hasta que finalmente alguien contestó -sonaba como si estuviese en una calle muy transitada- solo para colgar en cuanto dijimos que éramos periodistas.
Como explicó Andrey, a Turashev no se le busca en Rusia, por lo que nadie le impide alquilar este costoso espacio de oficinas en el centro de la ciudad.
También puede ser conveniente para él estar ubicado entre compañías financieras, incluidas algunas que hacen transacciones en criptomonedas, como Bitcoin, que presuntamente Evil Corp recaudó de víctimas en ataques ransomwore - al parecer por un valor de US$10 millones en un caso.
Un informe de Bloomberg, que hace uso de una investigación de los analistas de Bitcoin Chainanalysis, afirma que la Federation Tower alberga numerosas empresas de cifrado que actúan como "cajeros automáticos para ciberdelincuentes".
Probamos otras dos direcciones vinculadas a Turashev y otra figura clave de Evil Corp que se llama Denis Gusev e hicimos numerosos intentos de contacto por teléfono y correo electrónico, pero nadie respondió.
Andrey y yo pasamos mucho tiempo tratando de encontrar el lugar de trabajo de Maksim Yakubets.
Solía ser director de la empresa de alimentación de ganado de su madre. Pero en estos días parece no tener un negocio ni un empleador registrado.
Lo que sí encontramos, sin embargo, fueron direcciones donde podría vivir todavía. Así que una noche fuimos a llamar a la puerta.
Un hombre se rio por el intercomunicador cuando le explicamos de dónde éramos.
"Maksim Yakubets no está aquí. No ha estado aquí durante probablemente 15 años. Soy su padre", dijo.
Para nuestra sorpresa, el hombre salió al pasillo y nos dio una apasionada entrevista de 20 minutos frente a la cámara, condenando airadamente a las autoridades estadounidenses por acusar a su hijo.
La recompensa deUS$5 millones por información que condujese al arresto de su hijo -el premio más alto ofrecido por un ciberdelincuente identificado- había llevado a la familia de Yakubets a vivir con el temor de un ataque, explicó el padre, que exigió que publiquemos sus palabras.
"Los estadounidenses crearon un problema para mi familia, para muchas personas que nos conocen, para nuestros familiares. ¿Cuál es el propósito? La justicia estadounidense se ha convertido en justicia soviética. No fue preguntado, no fue interrogado, no hubo procedimientos para probar su culpa".
Negó que su hijo fuera un ciberdelincuente. Cuando le pregunté cómo pensaba que se había vuelto tan rico, se rio y dijo que estaba exagerando el precio de la boda y que los coches de lujo se alquilaban.
El salario de Maksim era más alto que el promedio, observó, porque "trabaja, le pagan, tiene un trabajo".
"¿Entonces qué hace para trabajar?", pregunté.
"¿Por qué debería decírtelo?", respondió. "¿Qué pasa con nuestras vidas privadas?".
Dijo que no había tenido ningún contacto con su hijo desde la acusación, por lo que no podía ponernos en contacto con él.
Repercusión internacional
Yakubets y Turashev son parte de la creciente lista de ciudadanos rusos que reciben sanciones cibernéticas mientras Occidente lucha por responder a los ataques cibernéticos.
Más personas y organizaciones rusas han sido sancionadas y acusadas que las de cualquier otra nacionalidad.
Las acusaciones impiden que los piratas informáticos viajen al extranjero, mientras que las sanciones congelan cualquier activo que tengan en Occidente y les prohíben hacer negocios con empresas occidentales.
El año pasado, la Unión Europea comenzó a emitir sanciones cibernéticas, siguiendo los pasos de EE.UU. Y son principalmente los rusos quienes también han sido nombrados y avergonzados en esta lista.
Se dice que la gran mayoría de las personas en la lista tienen vínculos directos con el estado ruso, y que piratean para espiar, transmitir poder o ejercer presión. Si bien todas las naciones se atacan entre sí, EE.UU., la UE y sus aliados afirman que algunos de los ataques rusos cruzan una línea en términos de lo que es aceptable.
Algunos de ellos están acusados de causar apagones generalizados en Ucrania mediante el hackeo de las redes eléctricas. Otros son buscados por intentar piratear una instalación de pruebas de armas químicas a raíz de los envenenamientos de Salisbury.
El Kremlin niega todas las acusaciones y se burla de ellas calificándolas de histeria occidental y "rusofobia".
Como no existen reglas claras para lo que es un hackeo aceptable en una nación, concentramos deliberadamente nuestra investigación en los individuos acusados de ser delincuentes que hackean con fines de lucro.
Entonces, ¿funcionan las sanciones cibernéticas contra los piratas informáticos "criminales"?
Hablando con el padre de Yakubets, parece que tienen algún impacto: al menos lo enfurecieron.
Sin embargo, Evil Corp parece no haberse visto afectado.
Los investigadores de ciberseguridad alegan que el grupo todavía esta llevando a cabo lucrativos ciberataques contra objetivos principalmente occidentales.
La "regla de oro" de la piratería rusa, según investigadores y expiratas informáticos, es que los hackers criminales no empleados por el estado pueden piratear a quien quieran, siempre que las víctimas no se encuentren en territorios de habla rusa o exsoviéticos.
La regla parece funcionar, ya que los investigadores de ciberseguridad han notado durante muchos años menos ataques en esos países. También descubrieron que algunos programas maliciosos están diseñados para evitar computadoras con sistemas de idioma ruso.
Lilia Yapparova, reportera de investigación que trabaja en Meduza, una de las pocas organizaciones de noticias independientes en el país, dice que la regla de oro es útil para los servicios de inteligencia, que luego pueden explotar las habilidades que los piratas informáticos han desarrollado mientras trabajan para sí mismos.
"Es más valioso para el FSB reclutar hackers en Rusia que ponerlos en la cárcel. Una de mis fuentes, que es un exfuncionario del FSB, me dijo que él personalmente trató de reclutar a algunos de los chicos de Evil Corp para hacer algunos trabajos para él", explica.
EE.UU. afirma que Maksim Yakubets y otros piratas informáticos buscados, incluido Evgeniy Bogachev, que tiene una recompensa de US$3 millones por su arresto, han trabajado directamente para los servicios de inteligencia.
Puede que no sea una coincidencia que el suegro de Yakubets, visto en el video de la boda, sea un exmiembro de alto nivel del FSB.
Le pedimos al gobierno ruso que comentara sobre el hecho de que los piratas informáticos parecen operar libremente en Rusia, pero no recibimos respuesta.
Cuando se le preguntó al presidente ruso, Vladimir Putin, sobre esto en la cumbre de Ginebra con su homólogo estadounidense Joe Biden hace unos meses, negó que los ataques de alto perfil se originaran en su país e incluso afirmó que la mayoría de los ataques cibernéticos comenzaron en los EE.UU.
Pero dijo que trabajaría con EE.UU. para "poner orden".
El ascenso de Evil Corp
- 2009: Evil Corp llega a la escena, supuestamente usando malware llamado Cridex, Dridex, Bugat o Zeus para robar inicios de sesión bancarios y sacar dinero de las cuentas.
- 2012: los miembros de Evil Corp son acusados por un tribunal en Nebraska (EE.UU.) bajo sus apodos en línea, ya que sus identidades son desconocidas (Yakubets supuestamente se conoce con el nombre de "Aqua").
- 2017: el grupo está acusado de iniciar una operación de "ransomware como servicio" (RaaS). Se afirma que otros piratas informáticos pagan para usar su ransomware, llamado BitPaymer.
- 2019: Yakubets, Turashev y otros siete son acusados, sancionados o nombrados en EE.UU. Se ofrece una recompensa de US$5 millones por información que conduzca al arresto de Yakubets.
- Desde 2019 se alega que Evil Corp ha pasado por diferentes marcas y variantes de ransomware, incluidas DoppelPaymer, Grief, WastedLocker, Hades, Phoenix y Macaw.
En los últimos seis meses, EE.UU. y sus aliados han ido más allá de las sanciones cibernéticas y han comenzado a emplear una táctica mucho más agresiva.
Han comenzado a atacar a las bandas de delincuentes cibernéticos y han logrado desconectar a algunos de ellos, al menos temporalmente. REvil y DarSide han anunciado en foros que ya no están operando debido a acciones policiales.
En dos ocasiones, los piratas informáticos del gobierno de EE.UU. incluso lograron recuperar millones de dólares de Bitcoin robados a las víctimas.
Un esfuerzo internacional que involucra a Europol y al Departamento de Justicia de EE.UU también ha visto a presuntos piratas informáticos arrestados en Corea del Sur, Kuwait, Rumania y Ucrania.
Sin embargo, los investigadores de seguridad cibernética dicen que están surgiendo más grupos y que los ataques ocurren cada semana.
El fenómeno no desaparecerá, dicen, mientras los piratas informáticos puedan prosperar en Rusia.
Ahora puedes recibir notificaciones de BBC News Mundo. Descarga la nueva versión de nuestra app y actívalas para no perderte nuestro mejor contenido.