Transcription performed by LeahTranscribesTRANSCRIPCIÓN:
JACK: Para tener un negocio exitoso, necesitas siempre un plan. Una estrategia bien pensada, una guía paso a paso para el lanzamiento y el crecimiento de tu negocio. Y sin embargo, internet ha cambiado la manera en la que la gente emprende. Es mucho más fácil conseguir ayuda en el área, e incluso clientes. La tecnología además ha generado un montón de oportunidades nuevas para negocios y emprendimientos. Pero estas oportunidades no solo han nacido para los emprendedores con buenas intenciones. Del otro lado hay criminales que también tienen su propio ‘emprendimiento‘. También tienen planes, redes de contactos, y socios de negocios con quienes trabajan para conseguir ciertas metas.
Cuando estos criminales con ambición y planes de negocio descubren el internet, y consiguen algún hacker de moral difusa, pueden conseguir objetivos muy altos. Porque además, no es nada fácil atrapar cibercriminales. El hackeo es, o debería ser, invisible. Se hace en silencio, en secreto, y casi siempre bajo la manta protectora del Internet. No hay una cámara de seguridad que te haya capturado, no hay huellas ni pistas en el sitio. Es todo digital, y tu huella se puede cubrir, eliminar, u ocultar. Y muchos cibercriminales se salen con la suya.
Esta historia trata sobre un grupo de emprendedores que consiguieron una fortuna aprovechándose de gente en línea.
(INTRODUCCIÓN): Estas son historias reales del lado oscuro de internet. Esto es Darknet Diaries, en español. (FINALIZA INTRODUCCIÓN)
JACK: En Julio del 2014, Hold Security, una pequeña empresa especializada en ciberseguridad e inteligencia descubrió algo increíble. Ellos monitoreaban la dark web buscando actividad que pudiera poner en peligro a sus clientes, y esta vez, presentaron al New York Times un artículo en el que explicaban haber encontrado una base de datos de credenciales con más de 4.5 mil millones de usuarios y contraseñas. Es una cantidad abismal de credenciales. Bueno, al filtrar los duplicados, tenían unos 1200 millones de credenciales. Pero aún así es la cantidad más grande que se haya encontrado nunca.
El New York Times apostó por esta historia, y la publicó. La comunidad de ciberseguridad tenía sus dudas al respecto, y Hold Security no quería liberar nada de la información tampoco. Eventualmente, dijeron que por 120 dólares informarían a las compañías si hubieran credenciales de sus páginas web en esta base de datos. Extraño, ¿no? Encontrar la base de datos de credenciales más grande que se haya descubierto, no compartir nada de la información, y cobrar una tarifa simplemente por buscar su nombre para saber si habían sido expuestos. La revista Forbes entrevistó a Alex Holden, el CEO de Hold Security.
ALEX: Intentaré aclarar las críticas. Hay dos piezas en este rompecabezas. Principalmente tenemos 1200 millones de credenciales que pertenecen a unos 500 millones de correos electrónicos individuales. Estos individuos confiaron en diferentes páginas web para resguardar sus datos personales. Sus credenciales estaban resguardadas en estas páginas web. Y sin haber hecho nada mal desde el punto de vista individual, estos– esta información fue robada por hackers. Estos individuos son las víctimas finales de este crimen.
JACK: Un tiempo después, Hold Security publicó un resumen de la base de datos. Dijeron que tenían información de más de 420.000 páginas web, algunas de ellas en la lista de Fortune 500. Tenían un listado de compañías que habían sido atacadas, y llamaron al grupo criminal “CiberVor“, que significa Ciber Ladrón en Ruso.
420.000 páginas web son una gran proporción de la world wide web. Y en este punto, lo cierto es que este robo va sonando cada vez más ridículo. No tiene sentido.
Imagina que eres un empleado de seguridad informática en JPMorgan Chase, uno de los bancos más importantes de Estados Unidos, top 5 del mundo. Este banco domina el sector financiero en inversiones y en operaciones bancarias. Eres uno de los 250.000 empleados de este banco, que está en 39 países distintos, y con 171 oficinas en todo el planeta.
Eres parte del equipo responsable de proteger la data del banco, que tiene unas ganancias anuales de 115 mil millones de dólares, de los cuales 10.000 millones se usan en tecnología, y 250 millones en ciberseguridad. Habrán unos 1000 empleados de informática contratados en JPMorgan Chase. No sé si ninguna otra empresa en el mundo hace un gasto así de grande en seguridad. No juegan con la protección de sus servidores, y si fueras parte del equipo de seguridad de este banco… ¿Entrarías a revisar si están entre las compañías atacadas? Seguramente sí. No importa si es real o no, tu compañía está haciendo una inversión inmensa en la seguridad de esta red.
Chequearías el reporte, y cualquier otro reporte que tenga que ver con la seguridad informática de JPMorgan Chase.
Y así fue, un analista de seguridad informática de JPMorgan Chase revisó el reporte de Hold Security. Allí, mencionaban la página web de una carrera benéfica que patrocinaba JPMorgan Chase. Los empleados de JPMorgan se registraban en esta página web para participar en la carrera. La página la hospedaba Simmco Data Systems. Y Simmco también estaba en las mencionadas del reporte de Hold Security. Hmm….
Viendo que los empleados de JPMorgan Chase se habían registrado en esa página web, era más que posible que sus datos fueran robados, y puso al equipo de seguridad informática del banco a trabajar en el caso.
(MÚSICA) El equipo de JPMorgan contactó a Simmco Data Systems para investigar las alegaciones de Hold Security. Simmco rebuscó entre sus registros, y logró confirmar que la página web de la carrera benéfica había sido atacada. Habían robado el certificado SSL del sitio a través de varias IP diferentes, que habían estado indagando en la web sin ninguna razón legítima. Dos técnicos de JPMorgan se fueron desde Ohio a Michigan a las oficinas de Simmco Data Systems para buscar una copia de los datos forenses de sus servidores. Necesitaban confirmar qué se había expuesto a estos criminales, y analizar los indicadores.
Con los datos de Simmco, los ingenieros de JPMorgan Chase empezaron a investigar en sus propios servidores alguna actividad parecida, incluyendo las direcciones IP de los hackers. Buscaban pistas y signos de actividad sospechosa, y la encontraron. Las mismas 11 direcciones IP estuvieron indagando en los servidores de JPMorgan Chase, y algunos de los ataques habían sido efectivos.
El banco más grande de Estados Unidos había sido hackeado, y nadie se dio cuenta. Contactaron directamente con el FBI y entregaron las direcciones IP al Centro de Análisis de Información de Servicios Financieros, quienes se encargan de circular estos datos a otros bancos para verificar si hubieran sido hackeados también.
A este punto, JPMorgan Chase había estado trabajando en esta situación en silencio, mientras confirmaban lo que podría haber pasado, pero una violación de este calibre es muy difícil de mantener en secreto. No sabemos cómo entraron los hackers desde la página de la carrera benéfica a los servidores del banco… pero yo tengo varias teorías. Hackearon los servidores de Simmco Data Systems, y al entrar allí tendrían acceso a todos las páginas web que ellos hospedaban, y así consiguieron acceso a la página de la carrera.
Una vez dentro de esta web, tendrían acceso a los datos y credenciales de quienes se hubieran inscrito para participar. Y sabiendo que eran todos empleados de Chase, y que la mayoría de las personas reutiliza usuarios y contraseñas en múltiples páginas web, podrían haber conseguido acceso al servidor de JPMorgan Chase con alguna de esas credenciales. Esa es una teoría. Otra puede ser… que el hacker tuviera como objetivo un administrador de informática de JPMorgan Chase, y que a través de phishing o algún otro tipo de ataque consiguiera acceso a la computadora del administrador.
Si el hacker consigue eso, podrían haber robado las credenciales de los servidores, entrar, y hacer lo que le diera la gana. De todas formas, sabemos que entraron a los servidores con unas credenciales válidas, y superaron todas las barreras de entrada súper segura a la red de JPMorgan Chase. Una vez dentro, tendrían que… averiguar qué hacer, básicamente. Es como entrar en un banco, y no saber dónde tienen las cajas fuertes. Buscaban dentro de la red sin encontrar acceso a nada valioso. Había una base de datos antigua donde manejaban los datos de beneficios de los trabajadores. Aún estaba activo pero no se usaba demasiado.
Habiendo más de 250.000 empleados, había más de 500.000 computadores en el servidor.
No es fácil controlar más de 500.000 computadoras, y en este caso, ese servidor había sido descuidado. No se había actualizado en algún tiempo, no tenía los últimos parches de seguridad, ni tenía la autorización de entrada en dos pasos activada. Con eso, cada empleado hubiera necesitado un código de entrada con tiempo limitado para poder entrar.
Estos hackers encontraron el servidor, y usaron los datos que habían robado para entrar. Lo más probable es que de haber tenido activada la autorización en dos pasos no hubieran podido acceder a nada importante. Pero una vez que un hacker hábil entra a un servidor, querrá crear un acceso persistente, y aumentar sus privilegios de edición.
Deben asegurar el acceso por si en algún momento fallase la conexión, para poder entrar cuando quisieran. Crearon una entrada trasera a la red de JPMorgan Chase en este servidor, desde donde ellos podrían entrar sin ser detectados por el equipo de seguridad. Una vez hecho esto, tendrían que indagar en el servidor, buscando algo en particular. Lentamente avanzaban para encontrar los sistemas que querían atacar, y eran buenos en ello. Escondían sus pasos, hacían las cosas sin activar ninguna alarma, y sin que los detectase ningún antivirus. Y durante meses estos hackers se escurrían en el servidor, consiguiendo acceso a bases de datos y exportando información a sus propios servidores. Todo en silencio y siendo invisibles.
En total, habían entrado a más de 90 servidores de JPMorgan Chase, incluyendo bases de datos de sus clientes. Esto se hizo público el 27 de Agosto de 2014, cuando Michael Riley y Jordan Robertson reportaron el hackeo en un artículo de Bloomberg. Ahí hablaron sobre el acceso a los servidores de JPMorgan Chase por hackers rusos, una acusación que llamó la atención del sistema financiero estadounidense. Un ataque sistemático a las infraestructuras financieras del país, patrocinado por el Kremlin, atacando capas y capas de seguridad, y accediendo a datos importantes sin que nadie se diera cuenta.
No fue hasta que el banco registró el hecho frente a una comisión de seguridad el 2 de Octubre de ese año que tuvimos más información al respecto. Y resultó ser mucho peor de lo que pensábamos. (MÚSICA) Los hackers habían conseguido acceso a múltiples bases de datos de clientes, y robaron 82 millones de registros personales de los clientes de Chase. Estos registros fueron asociados a 76 millones de hogares, y siete millones de comercios, la gran mayoría dentro de los Estados Unidos. Para ponerlo en contexto, en 2014 habrían unos 127 millones de hogares en el país. Eso es un 60% de la población siendo atacada, y con su información expuesta. La idea de que fueran unos rusos financiados por el estado no era demasiado sorprendente.
De hecho, unos meses antes, los Estados Unidos habían sancionado a varias infraestructuras financieras de Rusia. Porque en 2014 fue cuando Putin decidió tomar la península de Crimea. Putin envió montones de soldados a la península Ucraniana para tomar el territorio a la fuerza, con banderas de Rusia y muchas armas de fuego, y siguieron avanzando para tomar control de las ciudades y el edificio del tribunal supremo, que sería como el parlamento de Crimea. Echaron al primer ministro, y eligieron uno nuevo… aunque las elecciones posiblemente fueran falsificadas. Fue la toma de territorio más evidente en Europa desde la Segunda Guerra Mundial. Y la invasión de Crimea desató una controversia mundial.
Los Estados Unidos, La Unión Europea, y obviamente Ucrania repudiaban las acciones y estrategias de Rusia, diciendo que Putin había violado múltiples leyes locales e internacionales. Las sanciones amenazaban con volcar definitivamente la frágil economía rusa. Estados Unidos y la Unión Europea pretendían poner a Putin en una posición vulnerable para entregar la región de vuelta a Ucrania, pero Putin no lo aceptó. Denunció a ambas de imponer estas sanciones como otro ejemplo de la violenta política externa de Estados Unidos, y advirtió que Rusia aplicaría medidas de represalia.
Escuchemos un clip la CNN hablando al respecto:
ALISYN: El FBI está investigando una serie de ciberataques a varias bancas estadounidenses, aparentemente provenientes de Rusia. Los hackers habrían conseguido acceso a información sensible de múltiples instituciones financieras, incluyendo el gigante JPMorgan Chase. ¿Podría ser esto un ataque en represalia? Christine Romans nos contará más. ¿Fue un ataque en represalia?
CHRISTINE: Bueno, eso es lo que tendremos que averiguar en esta investigación, Alisyn. Los investigadores nos comentaron que la localización del hacker aún no está clara, pero viendo el nivel de sofisticación del ataque, la comunidad de ciberseguridad afirma que la investigación debería de centrarse en Rusia. Los hackers rusos han sido múltiples veces objetivos del FBI, y el momento del ataque se alinea perfectamente con las sanciones aplicadas por los Estados Unidos hacia Rusia. Esa es otra gran pregunta, ¿qué motivación podrían tener?
Aún no sabemos si el ataque fue motivado por razones políticas o financieras, o si era una especie de espionaje. Los bancos tienen una seguridad muy fuerte, y atacarlos, consiguiendo tantos objetivos e información, no es una tarea fácil.
JPMorgan Chase ha respondido diciendo que empresas de su calibre experimentan ataques de este estilo prácticamente a diario, y que tienen medidas de protección. Los oficiales del FBI siguen investigando el caso.
JACK: (MÚSICA) Para JPMorgan Chase, el ataque vino además en el culmen de un año terrible para su empresa. En los meses pasados habían perdido a muchos de sus miembros de equipo. En 2013, su jefe de información renunció para aceptar una posición como CEO en First Data, una empresa de procesamiento de pagos. Y casi a la vez habían renunciado otros 5 miembros senior del equipo de Morgan Chase, incluyendo al jefe de seguridad de su equipo de informática. A principios de 2014, entró un nuevo jefe de seguridad: James Cummings. Él ayudó a reclutar al nuevo Jefe de Información: Gregory Rattray.
Cuando ocurrió el hackeo, en Julio de ese año, los jefes del equipo de informática tendrían apenas seis meses en el cargo. Cumming y Rattray eran veteranos de las fuerzas aéreas, y estaban convencidos de que había sido ejecutado por rusos financiados por el estado.
Informaban que el ataque representaba una amenaza a la seguridad nacional de los Estados Unidos. Debo preguntarme si, quizás, su entrenamiento y experiencia militar habrían influenciado esta interpretación. Teniendo en cuenta que como militares estarían más acostumbrados a ataques del estado que otra cosa… Y no es que el ataque no pudiera ser lo que decían Cummings y Rattray, sino que la investigación del FBI apuntaba en otra dirección. Tenían a varios especialistas investigando el evento. La unidad de cibercriminales, el servicio secreto, homeland security, todos investigando juntos el mismo ataque.
Y todo ese análisis no fue suficiente para convencer al FBI que el ataque había sido planificado por un estado, ni que fuera una amenaza para la seguridad nacional.
Eso potenció un drama político muy extraño. Y es que hay un sistema que se supone que debía haber capturado la información robada en un hack así. Piensa… en un sistema de cámaras de seguridad, que puedes retroceder y revisar, sabiendo que algo había sucedido. El problema es que, según Bloomberg, este sistema no tenía suficiente almacenamiento para registrar hasta el momento del ataque. Aunque intentaron recolectar la información dada, ya no existía. Además, quizás por el drama político sobre quién había ejecutado el ataque, JPMorgan Chase no quería entregar la información que tenían al FBI. Se nos estaba saliendo de las manos, y nada de este drama estaba haciendo que este problema se solucionara, y que los millones de clientes de Chase tuvieran alguna respuesta.
[MÚSICA] Dos semanas después de descubrir el ataque, el Director Asistente de la División de Cibercrímenes del FBI, Joseph Demarest, tuvo una llamada en conferencia con el Jefe de Operaciones de Chase, Matt Zames, además de James Cummings y Gregory Rattray. Estos dos estaban seguros de que el ataque era una amenaza a la seguridad nacional. Y el hecho es que si esto fuera así, el Departamento de Justicia les excusaría de la obligación de informar a los clientes sobre el ataque. La idea de esto es que, si realmente fuera lo que decían, el ataque debía mantenerse lo más secreto posible mientras se investigaba.
Al final, el FBI apuntó que era más probable que el ataque hubiera sido gestionado por un grupo de criminales con habilidades extraordinarias, a que un estado hubiera financiado un evento de ese estilo. JPMorgan Chase y el FBI declararon una tregua, y el banco entregó la data que había recolectado. Puff…. Qué difícil lo pusieron, ¿no? Jordan Robertson, el periodista de Bloomberg, habló sobre lo que ocurrió entre JPMorgan y el FBI.
JORDAN: Una de las preguntas que nos hicimos hace ocho meses, cuando ocurrió el ataque, fue por qué había tanta diferencia en las historias de la gente que estaba investigando el ataque desde el banco, hablando de que estaba involucrado el gobierno Ruso, a diferencia de la investigación del FBI que decía que parecía ajustarse más a un ataque criminal. La respuesta es que, sí, el banco estaba reclutando a ex-agentes militares, que vienen con una idea preconcebida de este tipo de ataques. Hay una diferencia fundamental entre los ataques a infraestructuras militares con respecto a un ataque del sector privado. El sector privado generalmente va más hacia los beneficios económicos, y eso avivó la investigación del banco.
PRESENTADOR: Interesante la manera de afrontarlo de parte de un equipo militar. Eso ha traído problemas, Jordan, cierto? Incluyendo algunos choques internos, pero también con el FBI, ¿no?
JORDAN:Claro. Lo que pasa es que si contratas personal muy bueno en ataques informáticos, buenos en hackeo de servidores, es muy distinto a defender un servidor, y luego la comunicación con las fuerzas de la ley es otra cosa también. Vimos que el banco había chocado en varias ocasiones con el FBI y el Servicio secreto en temas de divulgar información de la investigación. De hecho el servicio secreto amenazó con llevar al juzgado esos datos, porque no estaban llegando en el tiempo esperado. Un agente del FBI tuvo que intervenir para facilitar la información más rápidamente, pero sí, hubo varios choques, en varios niveles de la cadena, y todo esto viene de la diferencia entre el sector privado y el militar.
JACK: El FBI estaba intentando localizar a los hackers, usando las direcciones IP que les dieron JPMorgan Chase y Simmco. Los hackers habían eliminado los archivos log, las migajas de pan que revelarían sus actividades en el servidor, así que no era tarea sencilla. Habían comentado en algún momento que los hackers se comunicaban en ruso, pero no sé si tendrían alguna prueba de ello.
Ahora… ¿Qué nos dicen las direcciones IP? Los investigadores siguieron buscando, y las ubicaron en varias partes del mundo. Habían lanzado ataques desde Rusia, Egipto, Suráfrica, Brasil, y la República Checa.
Además, todas llevan a proveedores de hosting que alquilaban servidores a quien lo pidiera. Una muy buena manera de esconder tus ataques… si eres un criminal. Es que claro, no querrás hacer un ataque desde tu oficina. Entonces alquilas un servidor del otro lado del planeta y ejecutas el ataque desde allí. Este grupo tenía un servidor en Egipto desde donde lanzó varios de esos ataques, y de hecho, EL DÍA que se anunció el ataque, dejaron de usar ese servidor y cancelaron la cuenta. Quien estuviera detrás de ello, seguramente estaría al tanto de las noticias y sabía que estaban buscándolo.
Y las investigaciones continuaron, con reportes de otras entidades financieras en Estados Unidos, dando más contexto sobre lo que había pasado. Resulta que JPMorgan Chase no fue el único objetivo. En Octubre de 2014, se estimaban unas 12 o 13 entidades bancarias atacadas por el mismo grupo. Por lo que veo, ninguna se pronunció oficialmente al respecto, pero sí que hubo reportes donde se veían las mismas direcciones IP en los servidores de Fidelity Investments, ADP, HSBC, Citigroup y Bank of the West.
La industria financiera entraba en modo alerta. En algunos solo entraban y revisaban, pero otros encontraron pistas de que habían robado algunos datos. Emily Glazer del Wall Street Journal dijo esto al respecto:
EMILY: Sí, ya sabemos que Fidelity e E-Trader están en la lista de los trece. Ayer habíamos mencionado a Citigroup, HSBC, ADP el software de pago de nóminas, y el prestamista Regions Financial entre el grupo con conexiones al ataque a JPMorgan Chase. Todo se está moviendo en este momento, y el FBI ya está en el lugar de los hechos, las oficinas de JPMorgan, junto al Servicio Secreto, la NSA, Benjamin Lawsky el supervisor de seguridad financiera de New York, además de el Jurado del Distrito Sur de New York. Hay muchos reguladores e investigadores que están bien examinando o investigando esto.
JACK: En 2015, siete meses después del ataque, JPMorganChase seguía con las investigaciones. Internamente se llamaba Rio Investigation. Contrataron a expertos de fuera de la empresa, y algunos ejecutivos técnicos para hacer una junta de control. La idea era reunirse cada dos semanas para analizar cómo afectaría el ataque a JPMorgan y sus clientes, además de asegurar que los hackers no volverían a entrar. Y es que ese año, fue un año muy importante en el mundo de los ataques informáticos. A Target, el megamercado americano, le robaron 40 millones de números de tarjetas de crédito a finales del 2013, y a eBay lo atacaron en mayo de 2014.
En septiembre de 2014, mientras JPMorgan Chase tenía su Rio Investigation, descubrieron que habían hackeado también a Home Depot. Un montón de datos de tarjetas de crédito de sus clientes había sido publicada en la dark web. Se pensó que el ataque a Target y a Home Depot habría sido por el mismo grupo, pero no sabían realmente quiénes eran.
Y la realidad es… que muchos de estos hackers, trabajando en esta escala, nunca son atrapados. Pero a mediados del 2015, sucedieron cosas extrañas en la Rio Investigation. El 21 de Julio, la policía Israelí coordinó dos arrestos bajo órdenes del FBI. Recordemos esa fecha. 21 de Julio de 2015.
La policía llegó sin esperarlo a la casa de Gery Shalon, de 31 años, y de Ziv Orenstein, de 40. Ambas personas, arrestadas y acusadas de fraude fiscal, o manipulación ilegal del mercado. Gery Shalon es una persona extravagante. Vivía en una mansión de seis millones de dólares en un barrio lujoso de Tel Aviv. Como decir el Beverly Hills de Israel, donde viven los ricos y famosos. Su armario lleno de trajes y zapatos caros, y medio millón de dólares en efectivo. Ziv Orenstein vivía en Bat Hefer. También millonario, pero un poco más low-key.
[MÚSICA] Ambos eran ciudadanos Israelíes, que en 2009 habían empezado una empresa de marketing llamada Webologic. Gery era el gerente, y aunque Ziv no estaba registrado en los libros de la empresa, Wall Street Journal reportó que tendrían a unos 30 empleados, y que Ziv era realmente quien controlaba ese corral. Sobre la investigación de fraude, la policía había decomisado todos los aparatos electrónicos de las casas de Gery y Ziv, y las oficinas de Webologic. Ah, y había una tercera persona. Joshua Samuel Aaron de 31 años también estaba siendo investigado, pero al llegar a su casa el día de la redada, él no estaba allí. Había estado en Rusia, pero se supone que debía de haber llegado a Tel Aviv para entonces, y no había rastro de él.
La policía reporta al FBI que no habían encontrado a Joshua, así que lo introducen en la lista de personas buscadas por el FBI. Y ojo… El mismo día del arresto de Gery y Ziv en Israel, el FBI coordinó una redada en Florida, arrestando a Anthony Murgio y Yuri Lebedev, por tener un exchange de Bitcoin ilegal llamado Coin.mx. Y ¿qué tiene que ver esto con los ataques a los bancos americanos? Pues el mismo 21 de Julio, Preet Bharara, el Jurado del Distrito Sur de Nueva York, abrió una acusación contra Gery, Ziv y Joshua. Bloomberg y el New York Times publicaron una supuesta filtración interna del FBI que asociaba a Joshua y a Anthony con el ataque a JPMorgan Chase.
[MÚSICA] La filtración mencionaba evidencias contra Joshua, diciendo que había entrado en los servidores que se usaron para el ataque. Y ese mismo día, informaron también sobre lo que habían robado. Porque claro, estamos hablando de que entraron a más de 12 instituciones financieras… Tendría que ser por dinero, no? Pues no. Quiero decir, no directamente. Hay varias maneras de robar dinero. Un banco como JPMorgan Chase tiene muchísimo dinero en sus cuentas. Podrían haber entrado y movido el dinero de una a otra fácilmente. Pero también tienes otras opciones, como tarjetas de regalo de Chase. O las tarjetas pre-pagadas. Manipular los números para darles puntos en sus tarjetas.
Imagina que se ponen mil millones de puntos en su tarjeta de crédito. Los convierten en efectivo, y así van sacándolo poco a poco. O a lo mejor, mandan a un montón de cuentas a comprar un stock en concreto, y así aumentar su valor. Se pueden hacer muchísimas cosas estando dentro del servidor de un banco…. Pero lo único que hicieron fue robar los datos de clientes. Específicamente sus correos electrónicos. Y es que no lo entiendo.
Tanto problema, tanta cosa… Entrar en el servidor más protegido de los Estados Unidos, ¿para robarte 83 millones de correos electrónicos? Tiene que haber algo más. Es todo muy confuso. Tendrían que haber arrestado a tres personas en Israel: Gery, Ziv y Joshua. Atraparon a dos, pero Joshua no estaba en su casa… Y al mismo tiempo arrestan a dos en Florida, Anthony y Yuri.
Los dos israelíes con cargos de fraude, y los de Florida arrestados por conexión con el caso de JPMorgan Chase, y algo sobre un exchange de Bitcoin. Y finalmente, varios periodistas declaran que los 5 estaban involucrados con el ataque. ¿Eran hackers? ¿O estafadores? ¿Qué hizo cada uno?
Resulta que los federales tenían una investigación abierta contra estos personajes poco después del ataque a JPMorgan. Los datos forenses habían atado a Joshua al caso, porque habían logs que apuntaban a su dirección IP, pero no sabían qué tan involucrado estaba, y sabían que no estaba solo. Así que lo investigaron a fondo para ver con quién se asociaba.
Así descubrieron a Anthony, Gery y Ziv. Era muy sospechoso todo. (MÚSICA) Joshua fue el principal sospechoso, que llevó a los investigadores a los demás. Era ciudadano americano, y creció en Potomac, Maryland. Estudió Negocios en la Florida State University en 2002, que es donde conoció a Anthony Murgio. Allí se hicieron muy amigos, y buscaron maneras de hacer dinero mientras estudiaban. Crearon un negocio escribiendo anuncios para Google Ads, y ganaban dinero de los enlaces afiliados. Y no les fue nada mal, consiguieron otros compañeros estudiantes para trabajar con ellos, y estaban haciendo miles de dólares al mes. Nada mal para unos estudiantes, en realidad.
Joshua se salió del curso en 2005, pero quedó en contacto con Anthony. Y de hecho la vida de Anthony también fue una locura, con muchísima aventura y cosas inesperadas, pero no cuadra realmente para este episodio, aunque es algo que se debería contar.
Volviendo a Joshua, el fugitivo. En 2013 se asocia con una persona que tenía cierta historia de fraude en el mercado de la bolsa.
Parece que a este tipo lo habían vetado por las autoridades de regulación de la industria financiera, por haber hecho negocios con acciones sin valor. Parecido a un Pump-and-dump, comprando un stock desconocido, inflar su precio, y cuando esté en su punto más alto, vender todo y ganar mucho dinero. A este socio de Joshua lo atraparon haciendo esto, y entonces Joshua se mudó a Israel. Ahí conoció a Gery Shalon. En 2014 tenían esta empresa, Webologic, desde Israel. Pero los federales no creían que fueran Gery, Joshua ni Ziv quienes perpetraron el ataque.
Eso sí, parece que trabajan con quien los estuviera haciendo. Cuando investigaron a los tres, y vieron que tenían fraudes y estafas hasta el cuello, pudieron asociarlos a la trama de los hackeos. En Octubre de ese año los federales habían descartado del todo el involucramiento de Rusia en todo esto. No fueron los rusos. Fueron estos estafadores y fraudes, creando todo tipo de tramas por debajo de la mesa.
(MÚSICA) Veamos cómo fue la acusación de Preet Bharara, el 21 de Julio de 2015. Fue una demanda de la SEC, la comisión de intercambios y seguridad, la agencia federal americana para proteger las leyes de seguridad.
La demanda contra Gery, Ziv y Joshua vino por seis estafas que habían ejecutado en los últimos 4 años, e incluía el dinero que habían extraído de ellas. La primera fue así: compraban acciones de una compañía llamada Southern Home Medical Equipment, una compañía de Carolina del Sur que proveía servicios de salud en todo el país. En mayo de 2011 habían comprado acciones por 1.7 centavos cada una. Lanzaron su propia campaña de marketing para esta empresa, escribiendo artículos sobre ella, lo genial que trabajaban, y afirmando que la empresa crecería hasta la luna.
Gery sabía cómo funcionaba el mercado de la bolsa. Joshua era el hombre del mercadeo, especialista en venderte lo que fuera. Subieron el precio de Southern Home Medical Equipment a 33 centavos, y vendieron todas las acciones. Su valor había subido más de 1800% en seis días. Y el problema es que el marketing que habían hecho era todo mentira, habían falsificado números y noticias sobre la empresa para inflar su valor en el mercado. Y por eso este tipo de manipulación es ilegal. Si has visto El Lobo de Wall Street lo reconocerás, porque fue un esquema parecido.
JORDAN: La Comisión de Intercambios y Seguridad envió a dos abogados a revisar nuestros archivos. Les dejé una sala de conferencias que tenía un micrófono escondido y subí el aire al máximo para que se sintiera como la Antártica. Cuando estaban buscando las pistas que necesitaban, iba a soltarles algo sorprendente. Les iba a ofrecer una IPO. Es una oferta inicial pública, el primer momento en que una acción se ofrece al público general. Como la firma que ofrece esta compañía nosotros mismos poníamos el precio, y vendíamos las acciones a nuestros amigos. Mira, ¿sabes qué? Sé que no me sigues. No pasa nada. No importa tanto. Lo importante es si esto era legal, y no, no lo era. Pero estábamos ganando muchísimo dinero.
JACK: Gery, Joshua y Ziv manipulaban el mercado de bolsa, y conseguían que el público comprara acciones con información falsa. Estas estafas se llaman Pump-and-dump, los estafadores suben rápido el precio, y lo venden en cuanto esté alto para ganar. Y lo hicieron de esta forma:
Primero, falsificaban documentos para presentarse como corredores de bolsa. Ya empezamos mal. Los corredores son intermediarios entre los inversores, y el mercado. Ayudan a los inversores a elegir qué acciones comprar, y cuándo, y buscan buenas inversiones para sus clientes. En estos días, todo es digital y online, así que Gery, Joshua y Ziv hacían campañas de marketing con correos masivos, redes sociales y páginas web para informar a los inversores qué comprar.
Estas herramientas daban la impresión de que Gery, Joshua y Ziv sabían de lo que hablaban, y generaba confianza en los inversores. A veces falsificaban las fechas en algunos artículos para pretender que habían predicho el aumento en algunas de estas acciones. Las acusaciones apuntaban a un montón de estafas clásicas. Empezando en mayo de 2011 habían utilizado 6 empresas pequeñas para ejecutar las estafas, una tras otra, con estrategias archiconocidas. Compraban acciones a menos de 5 dólares, y las vendían por muchísimo más unos días después, aprovechándose de estos artículos y webs falsas. En 2011, con solo 3 de estas empresas, habían generado 460.000 dólares.
Pero no era suficiente con eso. En febrero de 2012, eligieron a Mustang Alliance, que es una corporación de minería. Compraron dos millones de acciones en una semana, subieron el precio más de un 65%, y vendieron rápidamente por un beneficio de 2.2 millones de dólares. En un par de años habían conseguido casi 4 millones solo con estas estafas.
Y este no era su único emprendimiento. Gery era el Jefe de Operaciones y CEO de Webologic. Él tomaba muchas decisiones, y había encontrado un par de personas expertas en promoción de acciones en bolsa. Estas personas cazaban compañías, y conseguían las más fáciles para ejecutar un Pump-and-dump.
Pero por si fuera poco, no sé si saben que hay una gran diferencia entre las empresas públicas y las empresas privadas. Tiene que ver con quién es el dueño de la compañía. Una empresa privada es de un grupo de personas, un inversor privado, o de sus fundadores. Una pública, sin embargo, es una empresa que ha vendido acciones a través de un Stock Exchange. Parte de esta empresa, por ende, es de las personas que hayan comprado dichas acciones. De hecho las empresas privadas tienen complicado el participar en el mercado de acciones.
Es un proceso que toma muchos años. Incluso para empresas legítimas con un crecimiento muy rápido, tienen que aplicar y pasar por una auditoría para poder participar en el Stock Exchange. Y cuando finalmente ocurre, lo primero que deben hacer es un IPO, una oferta pública inicial. A veces, Gery encontraba empresas privadas que tenían buen prospecto para ser promovidas…. Y creó un sistema para ayudar a estas empresas a entrar en el mercado de acciones público, para luego hacer un pump-and-dump con ellas.
A través de los años, Gery había creado un montón de empresas ficticias. Empresas sin empleados, sin beneficios, sin oficinas. Estas empresas existían únicamente en papel, y Gery hacía todo lo necesario para llevarlas al mercado de acciones público, cosa que podría haberle tomado años.
Eso sí, una vez estas empresas ficticias estaban en el mercado, Gery se hacía pasar por un corredor de bolsa oficial, y ofrecía a empresas privadas unirse a estas, y así ayudaría a aligerar el peso de la burocracia y entrar rápidamente al mercado bursátil. Todo es súper positivo para Gery, porque claro, él vendía su empresa ficticia a esta empresa por, no sé, miles, o cientos de miles de dólares, e incluso algunas acciones prepagadas para él y sus compañeros. Ya estaba ganando dinero incluso antes de empezar con la estafa como tal.
Entonces, vendía su empresa falsa, la empresa privada se unía con la misma, y entonces entraba directamente al mercado, todo con el pretexto de ser un corredor de bolsa con ganas de ayudar a los pequeños empresarios a conseguir sus metas. Una vez hecho esto, empezaba la maquinaria de marketing para conseguir un boom en la empresa. A eso se le llama PUMP. Y cuando estaba apunto de caer por su propio peso, Gery, Ziv, y Joshua… todos vendían sus acciones. El dump. Si Gery era el CEO de la operación de estafa, Ziv sería el Manager e Informático.
Ziv compraba dominios, y creaba páginas web con estética súper legítima sobre el mercado bursátil. Él mantenía las cuentas de redes, y manejaba todos los documentos falsos. Controlaba todas las piezas del rompecabezas.
Mientras que Joshua era el encargado de comunicaciones y marketing. Escribía los artículos y los materiales promocionales para las distintas empresas. Y con este sistema montado, y todas las piezas organizadas, simplemente tenían que bombardear a personas interesadas en el mundo de las inversiones para que compraran lo que ellos querían, y luego vender en el punto justo. Ahora…. Claro, esto no tiene nada que ver con lo de JPMorgan Chase, ¿no? Perdón. Ahora voy a ello.
Verás… mientras estos tipos hacían cosas en el Stock Exchange y publicaban su marketing para las empresas elegidas, también utilizaban los correos electrónicos. Enviaban en masa correos a personas, vendiéndoles oportunidades, inversiones a pequeña escala que crecerían exponencialmente en pocas semanas. Generando sensaciones de ansiedad, el llamado FOMO, (Fear of Missing Out, o miedo a perder oportunidades), y con cierta legitimidad en la manera de redactar y adornar las cosas. Seguramente habrás visto alguno de estos correos. Yo por lo menos he recibido miles.
Gery y su equipo compraban listas de correos a entidades poco confiables, y enviaban correos spam en masa a todo el mundo. Pero en algún momento decidieron profesionalizarlo, o al menos no externalizar el proceso. (MÚSICA) Si conseguían listas de correos de gente que realmente estuvieran en contacto con el mercado bursátil, seguramente mejorarían sus resultados.
¿Quién mejor para promocionar tips, que la propia gente que está en la industria? Los inversores siempre están buscando las mejores acciones, ¿por qué no comprar estas que les enviaban en correos directamente a ellos? Y ahí entra en acción el caso de JPMorgan Chase.
Parecía que había sido todo planificado únicamente para robar las listas de correos electrónicos de los clientes del banco, todo para hacer más efectiva la estrategia de marketing del pump-and-dump. Todo para enviarles correos spam con tips para el mercado de acciones. De los crímenes más absurdos que hayan podido existir. Unos estafadores, digamos, “normales“ habían hackeado a todas las entidades financieras de Estados Unidos para hacer más efectivas sus estafas clásicas. Es increíble. Aunque su actividad criminal fuera más allá de la manipulación del mercado.
El día que arrestaron a Gery y Ziv, el 21 de Julio del 2015, un periódico israelí reportaba otra acusación en contra de los dos. Tenía que ver con una operación online de apuestas ilegales, una operación gigantesca, incluso más que el fraude bursátil que tenían. Cuando salió el artículo, los foros de apuestas online se volvieron locos. Gery y Ziv manejaban los casinos online Affactive y RevenueJet, unas páginas bien conocidas, aunque un poco sospechosas. Tenían en su róster casinos de compañías como Netad Management y Milore Limited, con varias docenas de webs con apuestas que tenían cierta fama de ser estafas, de hecho habían reviews en internet advirtiendo de estas páginas que controlaban Gery y Ziv.
En 2010, Casinomeister le dio el premio a Peor Empresa de Casinos a Affactive, mencionando su pésimo servicio al cliente, y diciendo que no pagaban las ganancias a los jugadores. Estas páginas web, a su vez, utilizaban un software de apuestas llamado Rival y RTG. Ellos aportaban su software de juegos a casinos independientes, y eran líderes en su área, así que daba credibilidad a las webs de Affactive y Revenue Jet. Y para jugar, tienes que meter dinero. Pero cuando ganabas… Ahí entraban Gery y Ziv para manipular y engañar.
[MÚSICA] Empezaban a retrasar el pago de una forma u otra. Por motivos de seguridad, tardarían 90 días en hacer el procedimiento de pago. Una vez pasado el tiempo, les decían que había sido cancelado por no haber entrado a jugar en las últimas semanas. A veces pagaban una parte de lo acordado, para darles beneficio de la duda… Pero nunca completaban el pago. Y los jugadores, después de un tiempo, se rendían y lo daban por perdido, simplemente seguían jugando en otros sitios, o incluso utilizando las ganancias recibidas para seguir jugando en la misma web. Y si no pagas las ganancias a los jugadores, todo es beneficio para ti.
Y es que, igual que el hackeo a JPMorgan Chase, esta estafa no tenía ningún sentido. Si ya las casas de apuestas están pensadas para que el jugador SIEMPRE pierda, sin importar si hay estafa o no… La casa SIEMPRE gana. Entonces, además de engañar, engañas. La ambición es impresionante. Y aún peor, justo después de los arrestos, la red de casinos de Netad Management colapsó. Dejó de funcionar del todo. No cargaban las webs, y la Asociación de Portales de Apuestas Online recibió un aviso de que Affactive cerraría sus puertas de manera inmediata.
En cuanto salieron las acusaciones, boom. Su imperio de casinos online se fue a la puta.
[MÚSICA] Gery y Ziv estaban en custodia en Israel, mientras que los Estados Unidos intentaba extraditarlos por los cargos de fraude. Aún no conseguían a Joshua, y su nombre había aparecido en la lista de los más buscados del FBI. Pero todavía no sabíamos quién había ejecutado el hack a los bancos… doce entidades financieras mega resguardadas, ¿hackeadas por unos estafadores? No tenía sentido. Serían muy buenos en lo que hacían, pero esto era otro nivel. Habían conseguido los correos, pero ¿cómo? Quien fuera que lo hiciera, sabía lo que hacía.
¿Quién? ¿Quién pudo hacer algo de ese nivel? Un año después de descubrir el caso de JPMorgan Chase, el FBI informó a todas las entidades financieras afectadas sobre el ataque a sus servidores, y tuvieron que avisar a todos sus clientes sobre lo dicho. En octubre de 2015 E-Trade envió una carta a su base de usuarios informándoles que sus datos habían sido comprometidos, que habían robado la información de más de 31.000 clientes. Scottrade, otra empresa del mercado bursátil, reveló que también habían sido atacados, pero a ellos les habían robado información de más de 4.6 millones de personas.
El Dow Jones también. No son una institución financiera como un banco o un Stock Exchange, pero tienen muchísima credibilidad en sus artículos de divulgación de información del mercado, más de 137 años en la industria. Publicaban en el Wall Street Journal, en MarketWatch y en Barrons. Y también informaron a su base de usuarios en Octubre del 2015. Explicaban que los hackers posiblemente estuvieran dentro de los servidores por más de 3 años, pero que habían encontrado evidencia solo de 3500 robos de contactos o información de pagos.
La información de direcciones IP y el tipo de malware encontrado apuntaban a las autoridades a pensar que todo había sido ejecutado por el mismo grupo de hackers. Un mes después, salió a la luz toda la evidencia. El 10 de Noviembre de 2015, Preet Bharara, el Jurado del Distrito Sur de Nueva York, desveló una acusación mayor en contra de Gery, Ziv y Joshua. Una bomba.
PREET: Buenas tardes. Mi nombre es Preet Bharara, Jurado del Distrito Sur de Nueva York para los Estados Unidos de América. Hoy anunciamos cargos criminales en uno de los mayores casos de ciber hackeo que jamás hayamos encontrado. Estos cargos involucran la intrusión durante años a doce compañías diferentes, siete instituciones financieras, además de dos distribuidoras, dos empresas de software y una empresa de inteligencia de riesgos de mercado. En cualquier medida, las intrusiones a estas firmas han sido de una escala impresionante.
Los acusados presuntamente robaron información de más de 100 millones de clientes, incluyendo 83 millones de un único banco afectado, el mayor robo a una institución financiera. El banco afectado fue JPMorgan Chase, como ellos mismos han divulgado. Para esconder sus acciones, los acusados operaban a través de más de 75 empresas falsas, y más de 2200 documentos fraudulentos, incluyendo 30 pasaportes falsos de 17 países diferentes. La buena noticia es que el FBI y el Servicio Secreto han descifrado el caso y buscamos probarlo frente al juzgado.
JACK: [MÚSICA] En este punto, la evidencia era impresionante. Estos tipos habían estado operando una organización criminal internacional online de alto calibre. Esta nueva acusación en contra ponía sobre la mesa 23 cargos de fraude informático, hackeo, lavado de dinero, robo de identidades, y muchísimas cosas más. Este grupo había operado todo este sistema interconectado de esquemas ilegales; estafa sobre estafa sobre estafa. Habían generado miles de millones de dólares. Lo que habían descubierto los federales era INMENSO. Era increíble, una locura. Pero un momento… Vamos a hablar de dinero. Porque eso era lo que le interesaba a Gery, no? Quería hacerse pasar por un empresario exitoso viviendo en su mansión de Tel Aviv con todos los lujos…
Y en realidad, supongo que sí que lo era. Un empresario exitoso. Porque además tendría algunos negocios que no eran ilegales, que también generaban ingresos. Pero para vivir la vida que quería vivir, siempre estaba buscando el siguiente paso. Y todas estas estafas… El casino online, el fraude bursátil, los hackeos… Todo esto generaba millones a Gery, Ziv y Joshua, un dinero que no podían meter en un banco. Eso atraería la atención de las autoridades… Los bancos habrían tenido que reportar esos ingresos por sus políticas, así que tenían que encontrar maneras de lavar ese dinero para utilizarlo.
[MÚSICA] ¿Recuerdas las empresas falsas que creaba Gery? Las que utilizaban para unirse a empresas privadas para poder entrar en el mercado público. Pues les venían increíble para lavados de dinero. Gery y Ziv movían el dinero de arriba a abajo, y transferían millones de dólares de los casinos a cuentas en Chipre, luego por entre todas las empresas falsas. Este proceso era ya un sistema casi científico. Lo justificaban con las empresas como transacciones por bienes y servicios a sus supuestos clientes. Y luego se pagaban a ellos mismos por haber ofrecido estos bienes y servicios.
Así parecía que las empresas privadas eran quienes facturaban y pagaban a sus proveedores oficiales, y creaba un registro dentro de las empresas que daba legitimidad para las auditorías. Y al final tenían dinero limpio.
Gery tenía 75 empresas falsas. A su vez, él, Ziv y Joshua tenían múltiples cuentas bancarias en varios países. Obviamente ninguna de ellas tenía sus nombres reales, los tres tenían alias, y 30 pasaportes falsos para usar. Y es que mantener organizadas todas estas compañías, nombres, cuentas y documentos tenía que ser un trabajo de tiempo completo ya de por sí.
Impresionante cómo manejaban todas estas piezas móviles. Antes de que los atraparan, seguramente parecía que valía muchísimo la pena, claro… En 2011, el año en que empezaron con los pump-and-dump, Gery había creado dos procesadores de pagos online llamados IDPay y Tudor. Podría decirse que eran versiones turbias de Paypal. Gery las usaba en sus páginas de casino para que los clientes metieran dinero en sus cuentas, eran los intermediarios entre el banco de los clientes, y el banco del casino. Todas las transacciones eran ilegales, así que tenían que esconder ese dinero, y luego “legalizarlo“.
Gery y Ziv abrieron cuentas de banco en varios países con documentación falsa. Enviaban el dinero a través de IDPay y Todur. Las compañías de tarjetas de crédito tienen políticas en contra de las transacciones con fines ilegales, así que tenían que modificar los asuntos para que parecieran páginas de productos para mascotas, o planificación de bodas, etc. Y si conseguían contactos de autoridades en bancos, les sobornaban para hacer la vista gorda. Hacían todo lo posible por mantener su negocio fuera de la mira. Los usuarios del casino no tenían ni idea de todo esto, claramente.
Desde su perspectiva, seguramente todo parecía normal. Gery tenía amigos, también criminales, que necesitaban de los servicios de lavado de dinero que tenía Gery sistematizado. Tenía amigos que vendían malware, software antivirus falso, medicamentos… Lo que fuera, si necesitaban un procesador de pagos, iban al siempre confiable IDPay o a Todur. Y como buen procesador de pagos, claro, se llevaba su parte de cada transacción. Pero a veces las compañías de créditos sospechaban…
Cuando eso pasaba, le ponían multas, o penalizaciones hacia las instituciones financieras de Gery. Él simplemente pagaba lo que tenía que pagar, y continuaba en donde podía continuar.
Era un inconveniente menor dentro del negocio. Gajes del oficio. Si eran interrogados, se hacían los sorprendidos, alegando que no tenían ni idea de que las transacciones eran por bienes y servicios ilegales. Si un banco sospechaba, y cerraba alguna cuenta de Gery, buscaba otro sitio y abría una cuenta nueva. Era un proceso constante y siempre móvil, siempre buscando la manera de hacer funcionar el esquema, con mercados falsos, páginas web, nombres y cuentas que parecieran legítimas. Y funcionaba.
En 2012, Gery nos volvía a impresionar. Había una empresa llamada G2 Web Services que era como un vigilante de transacciones online, para asegurar que no fueran fraudulentas. El staff de G2 hacía pagos a través de procesadores de pagos y se aseguraban que funcionaran correctamente.
Gery usaba IDPay y Todur para sus transacciones ilegales todo el tiempo, y no quería que la G2 marcara como fraudulento su servicio. Así que contrató a un hacker para que buscara la información de las tarjetas de crédito de G2, y así podría ponerlas en una “lista negra“, evitando que pudieran hacer las pruebas necesarias. Qué descaro. Hackear una empresa de vigilancia para que no pudieran vigilarte. Es que es ridículo.
En 2013, dos años después de su creación, Brian Krebs publicó un reporte sobre actividad potencialmente sospechosa en IDPay.
Una fuente había encontrado a IDPay en varias páginas web de antivirus falsos. Páginas como bloqueaalespía.com, malwaredefender.com, guardiapersonal.com, y otros cincuenta dominios más, todos falsos. Krebs investigó IDPay, y no consiguió nada de información al respecto. No había registro de la existencia de la empresa. Dedujo que estas páginas instalaban malware en las computadoras de las víctimas, y luego requerían un pago para eliminarlo. Y usaban IDPay, porque otros procesadores de pagos nunca aceptarían ese tipo de transacciones.
Podemos agregar entonces las estafas de falsos antivirus a la larga lista de crímenes que cometieron Gery y sus amigos. Uno de los clientes de IDPay se llamaba rxpartners.com, una web de afiliados a farmacias ilegales. Podías entrar y afiliarte a una farmacia ilegal, y ganar dinero por promocionarla y conseguir clicks y compras. En 2013 nadie sabía que Gery estaba asociado a IDPay ni a los hackeos y estafas de las que hemos hablado. Gery se concentraba en no ser detectado por empresas antifraudes como G2 Web Services, pero no se preocupaba por los agentes federales… ¿Cómo lo consiguieron los agentes federales?
[MÚSICA] Un mes antes de su arresto, un agente encubierto entró a uno de los casinos de Gery y depositó algo de dinero con su tarjeta de crédito. Cuando chequeó las transacciones, había aparecido como una compra a houseofpets.com, casa de mascotas, que ni siquiera era una web real. Esto fue una pista importante que llevó a una investigación mayor, y eventualmente hasta Gery, Ziv y Joshua. Pero fue el hackeo a JPMorgan Chase lo que los derrumbó.
Ojo… habían robado más de 86 millones de datos sin haber saltado ninguna alarma. JPMorgan Chase no había detectado la intrusión, todo estaba diseñado con extremo cuidado, y los hackers lo habían ejecutado magistralmente.
Se dieron cuenta del robo cuando Hold Security publicó su reporte, que mencionaba haber encontrado las bases de datos en venta en la darkweb, incluyendo empresas como Simmco Data. Y uniendo cabos, JPMorgan Chase confirmó que ellos habían sido víctimas del hack. No se suponía que lo averiguaran, así que una vez que se publicó fue que empezaron a cubrir sus pasos. El servidor de alquiler en Egipto, por ejemplo. Lo cerraron porque sabían que los estaban buscando. Pero JPMorgan no fue el primer objetivo, se habían salido con la suya con otras seis entidades financieras antes de eso. El mismo día que se les acusó de los 23 cargos en contra, una tercera acusación fue desvelada en Atlanta.
Esta se centraba en los hackeos, y explicaba más al detalle cómo habían ocurrido. Los agentes habían confirmado que Gery estaba involucrado, y que Joshua lo había ayudado. También sabían que ni Gery ni Joshua eran hackers con estas habilidades, así que la acusación mencionaba a un tercer involucrado desconocido, llamado John Doe. El hacker misterioso.
Entonces… con esta acusación, supimos que E-Trade y Scottrade habían sido vulneradas. Primero entró como un usuario normal a E-Trade, y algo encontró, no sé qué, que le permitió entrar al servidor de los desarrolladores. Pero no se robó nada.
Pasado un año, y Gery le informa al hacker sobre el plan de robar las bases de datos de usuarios, y le da acceso al hacker a varios servidores de alquiler en todo el mundo. En Sudáfrica, Rumania, y la República Checa. No eran a prueba de balas, pero estaban registrados anónimamente. Y con todo listo para el ataque, Scottrade fue la primera víctima.
(MÚSICA) El 8 de septiembre de 2013, el hacker reportó un problema. Había encontrado un antivirus en Scottrade que le impedía entrar más allá de la computadora de un empleado, y este no tenía acceso como administrador. Así que por dos meses estuvo intentando entrar sin éxito.
El 22 de noviembre, el hacker pidió un usuario normal para entrar en Scottrade, y Gery y Joshua se lo proporcionaron. Así, encontró más vulnerabilidades en el sistema, y logró explotarlas para entrar en sus servidores. Y al siguiente día encontró las bases de datos.
Las revisó, y encontró nombres, números de teléfono y direcciones de correo electrónico. BINGO. Justo lo que estaba buscando. Hizo un conteo rápido de las entradas y…
SEIS. MILLONES. DE DATOS DE USUARIOS. Gery estaba muy emocionado, y le pidió al hacker todas las direcciones de correo. Pero mirando bien, se dio cuenta de que había otro usuario administrador logueado en el servidor, y estaba ejecutando comandos. Se puso muy nervioso. Necesitaba descargar esa base de datos, y la tenía justo enfrente, pero tenía que hacerlo sigilosamente. No podía llamar la atención del admin.
Si se diera cuenta de que había ocurrido algo extraño, lo hubieran expulsado de inmediato. Así que esperó a que el administrador se desconectara, y rápidamente descargó todos los datos a un servidor controlado, cubrió todas las pistas, y se desconectó del servidor de Scottrade.
Le dio a Gery la contraseña y la localización de la base de datos, y el 25 de Noviembre, Gery envió al hacker un reporte de lo encontrado. Tenían cuatro millones de datos de clientes individuales de Scottrade, de los cuales 100.000 eran residentes de Georgia.
Dos días después, el hacker añadió más información al mismo servidor. El 27 de Noviembre, tenían los 6 millones de Scottrade. Y sin perder tiempo, saltaron a E-Trade al día siguiente. Entraron con un ataque bruto, a un servidor de videoconferencias de su red. Una vez que entró, busco una entrada persistente, se concedió acceso privilegiado, y empezó a buscar las bases de datos de usuarios. En cuatro días, había entrado en otro servidor de E-Trade e instalado un software malicioso. Cuatro días más, y consiguió acceso a servidores internos, y a la plataforma de los administradores. El objetivo.
En esos servidores estarían todas las bases de clientes de E-Trade, y empezó a copiarlas en los servidores alquilados. El software que había instalado seguía copiando y exportando datos durante días. Eventualmente, habían conseguido 15 millones de datos de usuarios.
Para el 16 de Diciembre, uno de los socios de Gery ya había limpiado todos los servidores y había hecho copias y unificado las bases de datos de E-Trade y Scottrade. Justo lo que necesitaba Gery, datos de contacto a millones de potenciales inversores.
Durante cuatro meses, el hacker había entrado y salido de múltiples servidores de E-Trade y Scottrade, sin levantar ninguna alarma. Sin que lo detectasen los sistemas de seguridad. Pero E-Trade empezó a sospechar de que habían sido atacados… Lanzaron una investigación interna, e incluso involucraron agentes de la ley, pero no consiguieron nada. No había evidencia de ningún tipo de robo. No habían registros de copias, porque el hacker los había ocultado muy bien, así que perdió fuelle poco a poco…. Pero no se habían equivocado.
[MÚSICA] Mientras E-Trade y Scottrade eran hackeados, los casinos de Gery estaban generando una cantidad considerable de dinero. Tenía al menos 12 casinos online, que en octubre de 2013 habían generado 78 millones de dólares. Gery y Ziv tenían a 270 empleados en call centers de Ucrania y Hungría. Estos, respondían a las inquietudes de sus clientes y también ayudaban a marearlos cuando pedían retirar su dinero. Querían tener cada vez más jugadores en sus casinos.
Y para ayudar, Gery llamó a su hacker. Cuando una persona quiere apostar online, normalmente empieza desde Google… Hace una búsqueda sencilla, y visita uno de los primeros sitios que aparezcan. Si sale primero, seguramente sea popular y fiable. Y sabiendo esto, Gery quería mejorar su posicionamiento web. Y muchas cosas influyen en este ranking.
Se llama SEO, optimización de motores de búsqueda por sus siglas en inglés. Es un poco misterioso. Usan un algoritmo, pero no es transparente, y generalmente se asume que teniendo más enlaces a tu web, mejoraría tu posición. Mucho del SEO se basa en que si más sitios web apuntan a tu página, tu página será más popular. Y Gery buscó un ingrediente secreto para conseguirlo… HANS: EL INGREDIENTE SECRETO ES… CRIMEN. JACK: Pidió ayuda al hacker, y empezó a buscar la manera de crear cientos de enlaces que apuntasen a los casinos de Gery. Empezó a hackear diferentes blogs en wordpress que estuvieran abandonados, miles de sitios que no habían sido actualizados en años, con plugins antiguos, software sin actualizar, y efectivamente, muchas vulnerabilidades. Entró en ellos, y dejó enlaces a las páginas de los casinos. Comparado con hackear bancos, esto era nada.
Hecho esto, había creado posts mencionando las webs de Gery, diciendo que eran el mejor sitio de apuestas de internet. Y una vez re-indexados, el posicionamiento SEO de los casinos era muchísimo mejor. Si buscabas “mejores casinos online“ o “juegos de apuestas“, empezaban a salir blogs que habían sido modificados. Y es que así funciona, la gente siempre da click al primer enlace que salga en Google, y esto generó mucho tráfico a los casinos de Gery. Pero eso no es todo.
Gery siempre estaba en control de todo, así que le pagó al hacker para entrar a las páginas de la competencia. Le pagaba para que atacara a otros sitios de apuestas que le molestasen. Utilizaba un botnet para interrumpir las conexiones a esos servicios de apuestas, y cuando los clientes no podían entrar, muchas veces buscaban una alternativa. Además, investigaba qué software de juegos utilizaba la competencia, y conseguía acceso a sus monitores de software para saber qué hacían y decían.
También mandó a hackear los correos electrónicos de los ejecutivos en esas compañías de software, para tener información directa sobre los contratos y descuentos que hacían a algunos casinos. Así se mantenían un paso por delante de las ofertas. Y si hubiera algo que pudiera comprometer su posición, ya estaba avisado. Estaba acostumbrado a salirse con la suya con técnicas engañosas. Hasta que en Julio de 2015 arrestaron a Gery y a Ziv, y cuando anunciaron sus cargos en noviembre, pues… estaba todo mucho más calmado.
Federales, y fiscales, trabajaban en el caso. Lo primero, que trajeran extraditados a Gery y a Ziv. Este proceso puede ser largo, incluso un año hasta que los trajesen. No fue hasta Junio del 2016 cuando llegaron a una prisión en Manhattan. El 9 de Junio se presentaron frente al juzgado en la Corte Federal de Manhattan, y ambos se declararon inocentes en todos los cargos. Pero Joshua aún no aparecía… Estaba en algún lugar del mundo donde el FBI aún no había buscado. Pensaron que podría estar escondido en Rusia, y como comprenderán, es difícil para el FBI entrar en Rusia. ¡Pero Joshua les hizo un favor!
Resulta que el señor estuvo en Moscú todo el tiempo. Y resulta que el 14 de Diciembre de 2016, su abogado llamó a los federales, para decirles que Joshua llegaría pronto al aeropuerto de JFK en Nueva York, y que había decidido entregarse.
Y así fue, Joshua llegó a New York, y lo arrestaron al pisar tierra. Joshua… se había metido en un problemón con los Rusos. Había entrado allí desde Ucrania, el 23 de Mayo de 2015. Y es que para mantener tu visa en Rusia, tienes que salir y volver a entrar al país cada 6 meses. Y de manera aleatoria, la policía de inmigración de Rusia llegó a su apartamento en Moscú para chequear sus documentos.
Claro. Lo metieron preso. El 20 de mayo de 2016, un juez lo multó con el equivalente a 80 dólares y le ordenó la salida inmediata de Rusia. Qué tensión, ¿no? Si te mueves, te meten preso y te están obligando a irte. Joshua pidió estatus como refugiado para poder quedarse, pero mientras esperaba respuesta del juzgado, sus abogados lo convencieron de que lo mejor sería entregarse, porque vivir el resto de su vida escondiéndose en Moscú…. Uf. Lo curioso es que cuando el estado ruso se enteró que lo buscaba el FBI, ¡le ofrecieron asilo político!
Para algo podría ser bueno, ¿no? Política, palancas diplomáticas… Pero Joshua ya se había decidido a entregarse, así que rechazó la oferta de asilo. Aunque los rusos no lo dejaron ir tan fácil, estuvo en un centro de inmigración en Rusia hasta que sus abogados negociaron su custodia entre los federales y los rusos. Finalmente, tras seis meses, llega a JFK en Diciembre de 2016 y es arrestado. Para ese momento, Gery ya tendría 2 años en la cárcel, habiéndose declarado inocente, y con un largo caso en el juzgado.
Él era la mente criminal. Tenía contactos, y mucho conocimiento sobre cómo operar. Además de que sabía bastante de cibercrimen y estaba en sus redes. Los federales sabían que les podría ser valioso, así que le ofrecieron algunos tratos a cambio de ayuda. Por ejemplo, liberarlo si se declarase culpable, y se hiciera informante del FBI.
El 22 de Mayo del 2017 salió una noticia importante en el periódico The Calcalist de Israel. Gery había pagado una cifra de 403 millones de dólares en concepto de ‘incautaciones‘ a las autoridades estadounidenses. Esto le liberaba de tres procesos criminales contra él, además de una demanda por lo civil. Suena a mucho, pero sabían que había ganado más de 2 mil millones.
Gery aún tenía muchísimo dinero en el bolsillo. Y entregarlo todo significaría tener que darles una larga lista de países, cuentas y nombres distintos al FBI. 81 para ser exactos. Algunas en Suiza, con más de 100 millones de dólares. Otras en Chipre, Georgia, Luxemburgo, Letonia… En todas partes. Con millones de dólares. Además de todo el efectivo, joyas, y su mansión de 6 millones en Tel Aviv.
Y no se los estaba poniendo fácil, Gery. Para ese acuerdo tuvieron que negociar 6 firmas de abogados, 5 en Estados Unidos y una en Israel.
Y Gery terminó pagando los 400 millones por sus ganancias ilegítimas, pero salió de prisión, y además les dio algo más a los federales: un hacker, parece. Un ruso de 38 años de edad llamado Peter Levashov. Nacido en San Petersburgo, había creado el botnet Kelihos, que infectó a más de 100.000 computadoras. Enviaba cantidades masivas de spam desde las computadoras afectadas. Un servicio, que claro, Gery había contratado para sus negocios.
Lo arrestaron, a Peter, el 9 de Abril del 2017 en Barcelona, España. Estaba de vacaciones con su familia. Lo acusaban de operar el botnet Kelihos, y se declaró culpable en septiembre de 2018.
Los cargos eran distribución de correo electrónico falso, promocionar fármacos de contrabando, y otros fraudes… del estilo pump-and-dump. No se sabe bien qué le dijo Gery a los federales sobre Peter, si lo había delatado sin más… Quizás la pregunta importante sería… ¿Era Peter el hacker misterioso de Gery? Yo pensaba que sí, pero resultó que no.
(MÚSICA) En diciembre de 2017 llegaron algunos agentes a Georgia, el país. Habían ido a la capital con órdenes de arrestar a Andrei Tyurin, de 35 años.
Andrei es ruso, pero Estados Unidos lo había estado buscando, y sabían que viajaba a Georgia desde Moscú. Así que lo recogerían antes de que desapareciera. Era un reconocido hacker, de alto, alto nivel. Creían que éste era el misterioso hacker, el que había ayudado a Gery en tantos crímenes y estafas durante años. Y en cuanto pisó tierra fuera de Rusia, los agentes americanos lo arrestaron. A Rusia no le gusta entregar a sus hackers, pero no podían hacer mucho en Georgia. Así que lo extraditaron.
Algunos hackers rusos juegan a doble cara. Son freelance, así que aceptan trabajo de quien les pague su valor. Pero ¿por qué no sacarle más dinero a la información, ya que están? Ellos la descubren, la leen, y la descargan. Claro, le suben una copia al cliente que ha pagado. Pero la copia de ellos sigue siendo igual de valiosa, así que si alguien estuviera interesado, sobre una altamente protegida inteligencia Americana, alguien como el gobierno ruso…
El FBI había descartado que el hack a JPMorgan Chase fuera ejecutado u organizado por el estado Ruso. Pero nada detenía a Andrei de conseguir la protección del FSB, que es el órgano de inteligencia ruso.
No fue confirmado, pero se dice que la FSB reclutó a Andrei. Parte de la evidencia sugiere que tenía algún cargo alto en la misma.
En cualquier caso, les tomó más de un año llevarse finalmente a Andrei a una prisión federal. Una cosa sobre los juzgados americanos es que cuando llegó este caso, un juzgado federal es quien se encarga, pero cuando Trump entró al poder, mandó a renunciar a los 46 jurados federales de la administración de Obama.
Preet Bharara, el Jurado del Distrito Sur de Nueva York, había coincidido con Trump días antes, así que no renunció directamente. Pero al día siguiente fue despedido, y el cargo fue asignado a Geoffrey Berman. El 7 de Septiembre de 2018, Geoffrey anuncia que Andrei finalmente había sido extraditado a Nueva York. Un éxito, extraditar a un hacker ruso a la prisión federal por cibercrimen, no se hace todos los días. Pero igual unos meses después Trump despidió también a Geoffrey Berman. Supongo que no le gustaría cuando empezó a investigar a su abogado personal, Rudy Giuliani. Algo sobre sospechas de actividad criminal…
Trump asignó el cargo a Jay Clayton. Nunca había sido fiscal federal, pero era el director de la Comisión de Intercambio y Seguridad. El caso de Andrei había llegado a 3 juzgados distintos, con 10 cargos de hackeo, conspiración, fraude y robo de identidad, todo respecto a las empresas de Gery únicamente. Y aún así, el día que llegó a Nueva York, se declaró inocente de los cargos. No quiso admitir nada. El 25 de septiembre hizo una declaración inicial en la conferencia previa al juicio.
La fiscalía presentó la evidencia con un traductor oficial ruso. La mayor parte estaba en ese idioma, y era irrecusable. Más de 3500 páginas de chats entre él y Gery hablando sobre los planes y las estafas. Más de dos terabytes de información, además de la evidencia en las computadoras de Gery y Ziv en Israel. Tenían la data de las empresas, los registros, y otros tres terabytes con información sobre el ataque a JPMorgan Chase. Nada que se pudiese imprimir físicamente.
Mucha, mucha evidencia, en datos muchas veces complejos. Los fiscales no son muy buenos en informática, pero los abogados defensores tampoco. Había que transformar todo esto en información inteligible, así que trabajaron juntos en eso, mientras que las fechas de juicios y conferencias se posponían. Más de un año de eso, hasta que el caso terminó repentinamente. Porque el 23 de septiembre de 2019, Andrei se declaró culpable de todos los cargos. Estafas, hackeo, apuestas ilegales, conspiración y fraude fiscal.
Había admitido entrar ilegalmente a ocho instituciones financieras entre junio de 2012 y agosto de 2014. A ojos del público, esta era la primera condena oficial de todo el caso. Afirmaban sus abogados que las mentes criminales le habían dado a Andrei las instrucciones sobre qué hacer.
Declarándose culpable, finalmente no hubo juicio. Le asignaron 12 años en prisión el 7 de enero de 2021. Había ganado más de 19 millones de dólares solo de esta actividad.
Se cree que Gery está viviendo en algún lugar de los Estados Unidos, fuera de prisión. No le dejan salir del país hasta que pague las incautaciones declaradas por el FBI. Pero bueno… no hay mucha información sobre el caso. Creo que siendo informante del FBI, mantienen su caso más en privado. No hay muchas formas de averiguarlo. Ah, pero a Ziv sí que lo condenaron, aunque aún no le dan su sentencia. Y como aún no hay información respecto a ninguno de los casos, lo más probable es que estén trabajando con las autoridades como informantes.
Información a cambio de protección y cierta ayuda en sus casos. Pero nunca lo sabremos, a menos de que liberen los casos. Fue una locura, e hicieron muchísimo dinero, con estafas sobre estafas, nivel tras nivel. Todo el cuento tiene un montón de giros, y es muy complejo si lo ves desde el final. Planes, fraudes, lavado de dinero, por empresarios estafadores que luego involucraron hackers… La red de personas y recursos de Gery era interminable.
El hack a JPMorgan no fue aleatorio. Fue ejecutado por una persona con un ansia insaciable de tener siempre más. Más hackeos, más datos, más estafas, más dinero. Hay cierto glamour en la historia de Gery Shalon, dinero, relojes, mansiones, pero también hay mucha desesperación. ¿Qué más podía necesitar? ¿No era suficiente los cientos de millones de dólares que tenía? Nada parecía satisfacerlo, y al final, la ambición llevó a la destrucción de su propio imperio. (OUTRO): [MÚSICA DE OUTRO] Si te gusta Darknet Diaries, apóyanos en Patreon. Entra en patreon.com/darknetdiaries y únete al grupo de gente increíble que mantiene este servidor a flote. Me contó uno de ustedes que estuvo 8 horas escuchando episodios del show en un viaje en carro. Lo gracioso es que el plan era buscar pan en la esquina, pero como era tan entretenido, siguió manejando.
Si te consideras una persona de ese nivel, considera apoyar la creación de este show en patreon.com/darknetdiaries. Contenido especial, y un feed sin publicidad. Este programa fue creado por Jack Rhysider, traducido y narrado en español por Armando D. Hernández, producido por Talkoo Films.
[FINALIZA MÚSICA] [FIN DE LA GRABACIÓN]