De la NASA a los piratas informáticos de TJX Companies: cinco ciberdelincuentes notorios que vieron la cárcel

Hay una cosa que tienen en común Kevin Mitnick, Sebastien Vachon-Desjardins, Adrian Lamo, Albert Gonzalez y Jeanson James Ancheta. Todos ellos solían ser ciberdelincuentes, y cada uno tuvo que responder ante las fuerzas del orden por sus fechorías.

Se podría argumentar que hay algo poético en el juego del gato y el ratón que los ciberdelincuentes juegan con los agentes de policía. Y siguiendo la trama de nuestros éxitos de taquilla favoritos, los malos deben, sin excepción, rendir cuentas por sus acciones.

De hecho, a medida que los actores de amenazas mejoran sus tácticas, la tecnología utilizada para capturarlos también mejora. Sin embargo, eso no significa necesariamente que todos los delincuentes serán castigados tarde o temprano, debido tanto a sus habilidades avanzadas como a sus afiliaciones con estados-nación que hacen la vista gorda ante sus crímenes.

“La mayoría de los ciberdelincuentes siguen en libertad porque sus actividades aún no se detectan o no se denuncian. Muchas bandas de ciberdelincuentes trabajan mano a mano con los estados-nación que hacen la vista gorda o los ayudan activamente proporcionándoles tecnología, identificando objetivos y ofreciendo una negación plausible cuando se enfrentan”, dijo AN Ananth, director de estrategia de Netsurion, a Cybernews.

A pesar de eso, la policía cibernética y los servicios de seguridad internacionales procesan activamente a los delincuentes en línea. Las historias de arrestos, llevados a cabo en coordinación con agencias de todo el mundo, aparecen constantemente en los titulares. Así, recientemente, la policía de la ciudad de Londres arrestó a siete adolescentes en relación con el famoso grupo de extorsión Lapsus$, mientras que el servicio de inteligencia nacional ruso, el FSB, detuvo a 14 afiliados al ransomware REvil .

“Los delincuentes cibernéticos generalmente son atrapados por los esfuerzos coordinados de las fuerzas del orden. Europol, por ejemplo, rompió la infraestructura de la banda criminal detrás de Emotet y requirió una acción coordinada en varios países”, agregó Ananth.

Las personas sobre las que hablaremos eran, o siguen siendo, algunos de los ciberdelincuentes más notorios de su época. Y en sus casos, ya sea por suerte, los esfuerzos de las fuerzas del orden público o la participación de terceros, se hizo justicia.

Sebastien Vachon-Desjardins: “Jesse James se encuentra con el siglo XXI”

Sebastien Vachon-Desjardins, ex especialista en TI de Public Services and Procurement Canada, podría ser más conocido por el grupo al que estaba afiliado: NetWalker. La pandilla de ransomware fue pionera en el método de doble extorsión y operó durante el aumento de la pandemia de COVID-19, con la mayoría de sus 450 víctimas ubicadas en los EE. UU.

El grupo pirateó hospitales, escuelas y otras instituciones, y amenazó con filtrar datos robados si no se cumplían las demandas de rescate. Usando tal método, NetWalker logró obtener un estimado de $ 60 millones durante su ejecución.

“Con cada avance en el software surgen nuevas capacidades para rastrear a los delincuentes y también el potencial de que se exploten esos sistemas. El desarrollo de software de evasión finalmente existirá para cada nueva herramienta que creemos”, dijo a Cybernews Paul Tracey, fundador y director ejecutivo de Innovative Technologies.

La pandilla fue arrestada en enero de 2021 con el arresto de Vachon-Desjardins, quien era uno de sus afiliados más activos y supuestamente todavía trabajaba para el gobierno canadiense mientras participaba en ataques de ransomware. También se sospecha que tiene vínculos con otros grupos de piratas informáticos notorios, como REvil.

Al mismo tiempo, las autoridades encargadas de hacer cumplir la ley en los EE. UU., Canadá y Bulgaria cerraron el sistema web oscuro de NetWalker.

“Esta incautación fue realizada por la policía búlgara en cooperación con los Estados Unidos. Si esa asociación no hubiera ocurrido, es posible que el servidor no hubiera sido incautado, y Vachon-Desjardin sería tan invisible para la policía global como lo era antes”, dijo Mike Pedrick, vicepresidente de Cybersecurity Consulting en Nuspire.

Durante el arresto, las autoridades incautaron 719 Bitcoin, valorados en $28 millones en ese momento, y $600,000 en efectivo. Vachon-Desjardins fue extraditado a Estados Unidos desde Canadá.

Fue sentenciado a 20 años de prisión y se le ordenó confiscar $21.5 millones. En este caso, el juez federal de distrito William Jung excedió la pena de prisión recomendada de 12 a 15 años para hacer un ejemplo de Vachon-Desjardin.

Pedrick agregó: “Para muchos delitos, la sentencia se basa en el impacto y se compone por víctima. Si esta práctica se aplicara a ciberdelincuentes como Vachon-Desjardin, los 20 años a los que fue sentenciado se considerarían una sentencia ridículamente leve”.

Pedrick señala que en su sentencia de Vachon-Desjardin, el mismo Jung estuvo de acuerdo con este sentimiento, diciendo: “Te habría dado la vida”.

Adrián Lamo: “Hacker sin hogar”

Adrian Lamo era diferente en todos los sentidos. En lugar de tomar un cóctel mientras estaba en un yate en algún lugar del Caribe, se movía entre edificios abandonados y sofás de amigos. Todas sus actividades relacionadas con la cibernética ocurrieron desde una vieja computadora portátil Toshiba a la que le faltaban siete teclas, generalmente mientras estaba sentado en un cibercafé.

A principios de la década de 2000, este hombre sin dirección fija era considerado uno de los piratas informáticos más famosos del mundo. Lamo entregó a la denunciante Chelsea Manning a las fuerzas del orden al piratear la red del New York Times y revelar que Manning había pasado documentos clasificados a WikiLeaks.

WikiLeaks es una organización sin fines de lucro fundada por Julian Assange, que ha estado publicando información confidencial, como detalles de crímenes de guerra cometidos por el ejército de los EE. UU. durante la guerra en Irak, un manual del ejército de los EE. UU. para el campo de prisioneros de Guantánamo y correos electrónicos supuestamente robados. mostrando que el Comité Nacional Demócrata había favorecido injustamente a Hilary Clinton sobre su rival, Bernie Sanders, durante la carrera presidencial de 2016.

Manning, un ex soldado del ejército de los Estados Unidos que expuso la naturaleza de la guerra en Afganistán e Irak, fue sentenciado a 35 años de prisión días después. Aunque Lamo expresó su pesar por su larga sentencia, pensó que no hacer nada lo habría llevado a preguntarse si esos documentos “terminarían costando vidas, ya sea directa o indirectamente”.

Manning y Lamo no eran extraños, o al menos no exactamente. Manning se acercó a Lamo después de leer acerca de un pirata informático condenado por ingresar ilegalmente a computadoras en el New York Times, Yahoo! y Microsoft en 2004. Ella le preguntó: “Si tuviera un acceso sin precedentes a redes clasificadas las 14 horas del día, los siete días de la semana, semana durante más de ocho meses, ¿qué harías?”

Lamo no dudó con su respuesta.

En agosto de 2003, Lamo fue acusado del hackeo del New York Times y otras intrusiones. Cuando hurgó por primera vez en la base de datos de números telefónicos y de seguridad social del New York Times, perteneciente a más de 3000 colaboradores de la página de opinión del periódico, bromeó y se agregó a sí mismo a la lista de expertos como un “experto en piratería”. Algunos empleados todavía usaban sus números de seguro social como contraseñas, lo que le daba a Lamo un acceso demasiado fácil.

En 2004, se declaró culpable de un delito grave de delitos informáticos contra Microsoft, LexisNexis y el New York Times. Fue sentenciado a seis meses de detención y dos años de libertad condicional, con un pago adicional ordenado de $65,000.

“Los ciberdelincuentes se aprovechan del anonimato de internet. Los ciberdelincuentes conocen las limitaciones de la aplicación de la ley y pueden descubrir cuáles son los mejores lugares para alojar sus actividades maliciosas. Saben diversificar sus tácticas e infraestructura en diferentes países, por lo que es más difícil para los organismos encargados de hacer cumplir la ley comprender el alcance completo de su ciberdelito”, comentó Luis Corrons, evangelista de seguridad de Avast.

Lamo admitió a varios medios de comunicación que su decisión de entregar a Manning le costó mucho: constantemente recibía amenazas de muerte, así como mensajes de odio de la comunidad de hackers.

A la edad de 37 años, Lamo fue encontrado muerto, aunque no se identificó una causa definitiva de muerte.

“Hace diez o quince años, cuando los notorios piratas informáticos estaban activos, los métodos de ataque y las defensas estaban en su infancia y eran notablemente simples. A lo largo de los años, cada vez se capturan menos ciberdelincuentes, y no hay razón para esperar que esto aumente, por lo que la atención se centra en tener la defensa más fuerte posible”, dijo John Gunn, director ejecutivo de Token.

Albert González: el estafador financiero más prolífico

Albert González pensó en grande: si iba a cometer un crimen, tenía que ser grandioso. Robó y vendió más de 170 millones de números de tarjetas y cajeros automáticos entre 2005 y 2007, aunque su viaje comenzó mucho antes.

A la edad de 14 años , González pirateó la NASA, atrayendo el interés de la Oficina Federal de Investigaciones (FBI). Después de eso, su interés por la piratería siguió creciendo.

A principios de la década de 2000, fue acusado de respaldar al grupo ShadowCrew, que llevó a cabo un esquema similar de fraude y piratería con millones de tarjetas de crédito en línea. Miles de personas se registraron en el sitio web del grupo, que puso a subasta números de tarjetas, cuentas de correo electrónico y documentos falsificados (como pasaportes y licencias de conducir).

González fue detenido pero escapó de una sentencia de prisión después de que accedió a entregar a 19 miembros de ShadowCrew.

“Después de mucho trabajo, los funcionarios encargados de hacer cumplir la ley pudieron identificar y capturar a Albert por múltiples cargos de fraude con tarjetas de crédito y, durante ese tiempo, pudieron convertirlo en informante. En última instancia, condujo al arresto y desmantelamiento del grupo de fraude ShadowCrew”, dijo Josh Bartolomie, vicepresidente de Global Threat Services en Cofense.

Para González, sin embargo, una vida de delitos cibernéticos estaba lejos de terminar.

“Aquí se aprendió una lección”, agregó Bartolomie. “Mientras estaba bajo custodia [como] convertido en informante, Albert fue responsable de uno de los mayores fraudes con tarjetas de crédito identificados hasta ese momento”.

De esta manera, González se desempeñó como informante pagado por las autoridades estadounidenses mientras continuaba obteniendo y vendiendo ilegalmente detalles de tarjetas de crédito en línea. Durante este período, él y sus cómplices accedieron a más de 170 millones de números de tarjetas de crédito y cajeros automáticos de organizaciones, incluidos 45,6 millones de números de tarjetas de crédito y débito de TJX Companies.

Su operación ilícita comprometió a BJ’s Wholesale Club, DSW, Office Max, Boston Market, Barnes & Noble, Sports Authority y TJ Maxx.

Todo esto significaba que González estaba recaudando ilegalmente millones de dólares, pasando sus días en lujosos apartamentos y organizando grandes fiestas.

En 2008, sin embargo, la vida de cuento de hadas llegó a un abrupto final y González fue arrestado en el Hotel Nacional en Miami Beach, Florida. En 2010, fue sentenciado a 20 años como parte de un acuerdo de culpabilidad por una serie de hacks y el caso Heartland Payment Systems, en el que se robaron 130 millones de números de tarjetas.

“La sentencia del hacker Albert González a 20 años de prisión y millones de dólares en restitución fue el veredicto más duro impuesto por un delito financiero y, en ese momento, la pena de prisión más larga en la historia de EE. UU. por un delito cibernético”, Sherlyn Rijos-Altman, Account Director de Montner Tech, le dijo a Cybernews.

Kevin Mitnick: el hacker más buscado del FBI

Hasta el día de hoy, el nombre de Kevin Mitnick es popular en los círculos ciberdelincuentes, aunque han pasado más de dos décadas desde su arresto. El hombre detrás del fraude electrónico, así como de los ataques de alto perfil a las redes informáticas y los sistemas telefónicos de las principales corporaciones, finalmente fue arrestado en 1995 por el FBI después de ser proclamado el “hacker más buscado”.

La historia de ciberdelincuente de Mitnick comenzó cuando solo tenía 12 años: el niño usó ingeniería inversa en el sistema de transferencia de transporte público de Los Ángeles para obtener viajes gratis.

Aunque su viaje comenzó con una simple ingeniería social, finalmente avanzó hasta piratear redes informáticas de empresas como Digital Equipment Corporation (DEC), Sun Microsystems y Motorola.

“La mayoría de los ciberdelincuentes son grandes innovadores. Modifican las tecnologías para que funcionen a su favor. Esto es lo que hizo Mitnick a la temprana edad de 16 años. Al modificar el sistema, Mitnick pudo acceder a la red interna de DEC. El sistema DEC fue la clave para crear el primer sistema operativo utilizado para las minicomputadoras de 16 bits. Kevin Mitnick copió todos los archivos pero nunca hizo nada malicioso con los datos”, dijo James Chang, gerente sénior de Velocity IT.

Con el tiempo, sin embargo, los crímenes de Mitnick se volvieron cada vez menos benévolos. Robó contraseñas de computadoras, alteró redes de computadoras, leyó correos electrónicos privados y accedió a computadoras federales.

“Mitnick se benefició de la falta de investigadores que supieran cómo investigar los delitos cibernéticos. Pero como estaba en los EE. UU., era cuestión de tiempo para él”, dijo a Cybernews Darren Mott, un agente especial retirado del FBI que dedicó su carrera a investigar delitos cibernéticos.

Mitnick fue acusado y sentenciado por primera vez en 1988, aunque durante su liberación supervisada logró piratear las computadoras de correo de voz de Pacific Bell. Siguieron algunos años más huyendo, antes del encuentro fatal de Mitnick con un consultor de seguridad, Tsutomu Shimomura.

Mitnick entendió que la piratería desde un teléfono fijo fijo llamaría la atención, por lo que comenzó a optar por teléfonos celulares para acceder a la red móvil. Lo único que le faltaba era el código, que estaba en posesión de Shimomura.

Mediante el uso de la suplantación de identidad de la dirección de origen y la predicción de la secuencia TCP, Mitnick pudo conectarse al servidor doméstico de Shimomura y descargar el software necesario.

Shimomura no estaba, por decir lo menos, feliz. El trabajo que completó para rastrear a Mitnick a través de una docena de sistemas a través de la evidencia que encontró en una copia de su software robado no es más que asombroso. Con la ayuda de la compañía celular, acotó la ubicación del atacante a Raleigh, Carolina del Norte.

“El error que cometió Kevin fue piratear a Tsutomu Shimomura para obtener el código relacionado con los teléfonos celulares. Esto convirtió a Shimomura en un sabueso y finalmente ayudó a las autoridades a localizar a Kevin. El FBI no pudo rastrearlo debido a que canalizaba sus actividades a través de teléfonos celulares clonados, pero Shimomura era un experto en celulares”, dijo a Cybernews Eric Florence, analista de seguridad cibernética.

Shimomura logró identificar el departamento exacto de Mitnick al cooperar con un equipo de vigilancia por radio del FBI. En 1995, finalmente capturaron a Mitnick. La policía también incautó más de 100 teléfonos celulares clonados que usó para ocultar su ubicación e identificaciones falsas.

Irina Tsukerman, analista geopolítica, tuvo la oportunidad de escuchar directamente de Mitnick sobre sus hazañas y, según ella, las narrativas sobre su arresto difieren bastante.

“El mismo Kevin Mitnick niega haber confiado en la piratería como un medio para ingresar y apoderarse de los sistemas informáticos; tanto en persona como en su libro, afirma que diseñó socialmente su camino hacia estos sistemas al obtener contraseñas que facilitaron su entrada. Él y sus defensores afirmaron que muchos de los reclamos en su contra fueron inventados o exagerados por los medios, y que las fuerzas del orden, en gran medida, se basaron en estas versiones como evidencia para acusarlo, aunque no causó tanto daño. .”

En 1999, Mitnick se declaró culpable de una variedad de cargos, que incluyen fraude electrónico, posesión de dispositivos de acceso no autorizado e interceptación de comunicaciones electrónicas o por cable. Fue sentenciado a 46 meses de prisión, además de otros 22 por violar su libertad condicional de 1989.

Mitnick cumplió cinco años de prisión y ocho meses en régimen de aislamiento; recordó que esto se debió a los funcionarios encargados de hacer cumplir la ley, quienes convencieron a un juez de que podía lanzar misiles nucleares silbando en un teléfono público.

Hoy, Mitnick está de vuelta en el mundo cibernético como consultor de seguridad informática y vendedor de vulnerabilidades de seguridad, realizando actividades de piratería informática. Fue puesto en libertad en 2020 y apeló con éxito la prohibición de utilizar la tecnología de la comunicación, escribiendo y publicando posteriormente las crónicas de sus crímenes, Ghost in the Wires .

Jeanson James Ancheta: primer hacker de botnet en ser acusado

Según los estándares actuales, las hazañas criminales de Jeanson James Ancheta probablemente no llegarían a ser un secuestro informático de alto perfil. Pero para las fuerzas del orden en ese momento, su arresto fue un hito, ya que Ancheta se convirtió en el primer hombre en ser sentenciado por controlar una gran cantidad de botnets, difundir software malicioso y beneficiarse financieramente de ello en 2006.

Ancheta estaba detrás de ejércitos de computadoras secuestradas utilizadas para lanzar ataques basados ​​en Internet. También los vendió a compañías de spyware y spammers, lo que le permitió ganar más de $3,000, además de otros $60,000 obtenidos de una estafa de adware.

El hacker de 21 años implementó gusanos de Internet para apoderarse de las PC que ejecutan el sistema operativo Windows, usándolos como base para el software de publicación de anuncios en línea.

El FBI lo capturó en un complejo operativo, donde lo invitaron a su oficina con el pretexto de recolectar equipos de cómputo. Ancheta finalmente fue acusada de usar la botnet para instalar adware en varios dispositivos, así como de infectar computadoras en la división de armas del Centro de Guerra Aérea Naval de EE. UU. en China Lake y la Agencia de Sistemas de Información de Defensa (DISA).

“Si bien la suerte no es la ecuación completa, hay un dicho muy conocido: ‘Los delincuentes tienen que tener suerte todo el tiempo, mientras que las fuerzas del orden solo tienen que tener suerte una vez’”, dijo David Pickett, analista sénior de ciberseguridad en OpenText Security. Soluciones.

Agregó que exactamente cómo se atrapa a los ciberdelincuentes depende del vector de ataque: “Los métodos más comunes que observamos, desde el punto de vista de la defensa del correo electrónico, incluyen cuentas y servidores comprometidos, anonimización de redes y servidores privados virtuales, uso de la red Tor, enrutamiento de tráfico a través de múltiples países, tráfico que se origina en países con relaciones gubernamentales hostiles y países con estrictas leyes de privacidad o falta de acuerdos de extradición según las geolocalizaciones aplicables”.

Ancheta fue sentenciado a 57 meses de prisión, que supuestamente se convirtió en la sentencia más larga por propagar virus informáticos. También se le ordenó deshacerse de un BMW que compró con dinero obtenido ilegalmente y entregar $60,000. Además, Ancheta acordó pagar alrededor de $ 20,000 por piratear computadoras en China Lake y DISA.

“La mayoría de las víctimas de delitos cibernéticos nunca los denuncian, lo que dificulta rastrear y detener a los ciberdelincuentes. La mayoría de las personas no saben dónde denunciarlas, e incluso si lo saben, rara vez reciben una respuesta positiva. Si no se denuncian los ciberdelincuentes, es difícil mantener un recuento exacto de los ciberdelitos resueltos. También evita que las fuerzas del orden recopilen las pruebas necesarias para identificar y condenar a los autores intelectuales de un ataque”, dijo a Cybernews Joe Troyer, director ejecutivo y fundador de Digital Triggers.

¿Fue el castigo… demasiado duro?

En los EE. UU., las sentencias por delitos cibernéticos pueden variar hasta 20 años o incluso más, según la gravedad del caso. Pero para muchos, los delitos digitales pueden parecer incomparables con los delitos físicos con los que estamos tan familiarizados, especialmente cuando las sentencias llegan a las de homicidio involuntario y asesinato en segundo grado.

Sin embargo, nuestra vida real y en línea no están tan separadas como podría parecer. En España, dos personas fueron detenidas por desactivar más de un tercio de los sensores que componen la red de alerta de radiactividad del país, que informa a la población en caso de accidente nuclear.

A su vez, piratear los dispositivos inteligentes del hospital podría provocar innumerables muertes, como sucedió trágicamente con una mujer en Alemania, que murió después de que los atacantes atacaran los sistemas de TI del hospital. De manera similar, un ataque de ransomware provocó el colapso de la red informática de un hospital donde una mujer en Alabama, Teiranni Kidd, estaba dando a luz. Su hija nació con daño cerebral severo y luego murió.

Todo esto muestra cuán devastadores pueden ser los ataques cibernéticos, y no debemos ignorarlos como algo que sucede detrás de la pantalla y, por lo tanto, no puede dañarnos.

“Todavía existe esta mentalidad de que debido a que un crimen no tuvo lugar en el mundo ‘real’, no debe castigarse con dureza, pero esto no explica el hecho de que las pérdidas que enfrentan las personas y las empresas en todo el mundo son definitivamente más real que nunca”, dijo Alex Alexakis, fundador y director ejecutivo de PixelChefs.

Y, por supuesto, en el caso de violaciones de datos, estafas, campañas de phishing y filtraciones, aunque los efectos posteriores pueden no ser tan inmediatos, son, sin embargo, destructivos.

“La evidencia de los delitos cibernéticos es menos obvia que los delitos físicos, pero en su conjunto es mucho más devastadora. Puede que sea hora de considerar un cambio en las tácticas de investigación y un aumento dramático en las sentencias para aquellos que son atrapados”, dijo Pedrick.

Bartolomie va incluso más allá y argumenta que los ataques cibernéticos deben tratarse con más seriedad que los delitos físicos.

“El alcance potencial y la escala de los delitos físicos generalmente están restringidos; por ejemplo, solo puedo robar un banco a la vez. Mientras que con la cibernética, podría realizar el mismo ataque en múltiples objetivos simultáneamente”.

Por otro lado, están aquellos que creen que los “jóvenes” cibernéticos, adolescentes que se encuentran en los callejones oscuros de la web antes de que sus cerebros se hayan desarrollado por completo, deberían ser reeducados en lugar de castigados. Estos niños suelen ser más brillantes que maliciosos, y sus perfiles tienden a diferir significativamente de los de un delincuente típico. Depende del sistema judicial decidir si la sociedad se beneficiará más de estar tras las rejas o frente a computadoras portátiles.

Fuente: cybernews