Cinco millones si ha visto a este ruso: así opera el ciberdelincuente más rico y buscado
  1. Tecnología
Lamborghinis Huracán y cachorros de león

Cinco millones si ha visto a este ruso: así opera el ciberdelincuente más rico y buscado

Es el supuesto cerebro del 'hackeo' que ha dejado a Garmin fuera de juego 4 días. Desde 2007 ha robado cientos de millones de dólares y se ha convertido en el cibercriminal más buscado

Foto: Cinco millones si ha visto a este ruso: así opera el ciberdelincuente más rico y buscado
Cinco millones si ha visto a este ruso: así opera el ciberdelincuente más rico y buscado

Se llama Maksim Yakubets, tiene 33 años, doble nacionalidad rusa y ucraniana y es uno de los cibercriminales más buscados del mundo. Su último delito es muy probable que te haya afectado: tumbar los servicios de Garmin durante cuatro días. Si usas alguno de sus GPS o el servicio Garmin Connect (al que acceden casi todos sus aparatos, desde relojes deportivos a navegadores del coche), habrás comprobado cómo ha quedado inutilizado desde el pasado jueves 23. Todas las pistas apuntan a Yakubets y al grupo de ciberdelincuentes que lidera, Evil Corp, como culpables del hundimiento de Garmin. Pero es solo el último golpe de un 'hacker' al que EEUU acusa de haber robado más de 100 millones de dólares a bancos y consumidores durante años y al que ya ha puesto precio a su cabeza: cinco millones de dólares a cualquiera que ofreza información que lleve a su arresto.

El 'hackeo' a Garmin pasará a la historia de los ciberdelitos como uno de los más devastadores de los últimos años. Y no solo por el caos que ha generado en la compañía durante una semana (Garmin Connect ya ha vuelto a funcionar pero de forma limitada) o por el monto del rescate que Evil Corp exigía (10 millones de dólares, que Garmin no habría pagado), también, y sobre todo, porque evidencia algo mucho más preocupante, que las compañías de 'gadgets' deportivos y localización tienen medidas de seguridad muy deficientes. Solo hace falta recordar el escándalo de Strava en 2018 revelando por error las ubicaciones secretas de bases militares en EEUU. En otras palabras: tus datos de ubicación diaria, tus hábitos más personales, pueden caer en cualquier momento en manos de ciberdelincuentes como Yakubets.

Foto: Dridex, el troyano más temido que roba tu cuenta corriente vuelve a la carga

Eso es exactamente lo que su grupo, Evil Corp, ha logrado con éxito en el caso de Garmin usando un 'ransomware' llamado WastedLocker. Se trata de un programa creado por ellos mismos y detectado por primera vez en mayo de este año. Es altamente sofisticado y personalizado para cada ataque y usa como eslabón débil a los empleados que están en teletrabajo, ahora millones de personas en todo el mundo por la pandemia del coronavirus.

Evil Corp primero infecta con 'malware' webs de noticias y blogs. Cuando un empleado que trabaja desde casa las visita, generalmente con peores medidas de seguridad que si estuviera conectado en la oficina con un ordenador de la empresa, su equipo se infecta. El 'malware' analiza si ese ordenador está conectado a una red corporativa y hasta qué nivel. Cuando encuentra uno que tiene permisos amplios, bingo, es entonces cuando los 'hackers' se cuelan hasta la cocina y lanzan el segundo ataque: despliegan WastedLocker para cifrar y 'secuestrar' los sistemas internos de una compañía.

Fotos de Maksim Yakubets difundidas por el FBI.
Fotos de Maksim Yakubets difundidas por el FBI.

"Evil Corp es muy selectivo en términos de la infraestructura que seleccionan para atacar. Generalmente, lanzan su 'ranswomare' sobre servidores de archivos, de bases de datos, máquinas virtuales y entornos en la nube. Esto aumenta el tiempo de recuperación de la víctima, ya que en algunos casos las copias de seguridad no están disponibles", explicaba recientemente Stefano Antenucci, especialista en ciberseguridad de la firma NCC Group.

Tras el ataque ya no es posible acceder a servidores ni archivos. Todos están modificados y cifrados. En lugar de secuestrar los ordenadores de los usuarios (como ocurrió con WannaCry), WastedLocker cifra los servidores de datos y 'backups', es decir, el corazón de la infraestructura, de forma que solo queda una opción para evitar que la infección se extienda: apagar todos los sistemas. Fue lo que Garmin se vio obligada a hacer y lo que la dejó fuera de juego cuatro días. La forma de lucrarse con esta operativa es sencilla: exigir grandes sumas de dinero para liberar los archivos. A veces lo consiguen, a veces no. Pero cuando lo logran los pagos son millonarios.

Yakubets y su banda, entre los que se encuentran Evgeniy "Slavik" Bogachev, sobre el que pesa otra recompensa del FBI de 3 millones de dólares, llevan en el punto de mira desde al menos 2006, cuando se le comenzó a identificar en varios foros online por su 'nick' 'aqua'. Fue entonces cuando se gestó su primer gran golpe: el 'malware' Zeus, uno de los más efectivos de los últimos 20 años, capaz de infectar un ordenador, robar tus contraseñas bancarias y realizar transferencias de forma automática a una 'mula' (un intermediario que luego transfiere el dinero a los capos). El rol de Yakubets desde 2007, según el FBI, se limitaba a reclutar a estas mulas. Solo en EEUU, Zeus logró robar más de 70 millones de dólares antes de que las autoridades estadounidenses desmantelaran la red.

Evgeniy 'Slavik' Bogachev, socio de Maksim Yakubets.
Evgeniy 'Slavik' Bogachev, socio de Maksim Yakubets.

El brutal éxito de Zeus hizo que Yakubets quisiera saltar de mero espectador a líder de una red similar. No tardó mucho tiempo. Reclutó a 20 ciberdelincuentes y crearon otro troyano que ha marcado otra época, Dridex, también conocido como Bugat y Cridex. Con él ha robado más de 100 millones de dólares en varios años, según cifras del Departamento de Justicia estadounidense. Y subiendo.

Dridex es un troyano muy sofisticado parecido a Zeus que se envía en oleadas de correo electrónico no solicitado que distan mucho de ser el típico spam cutre. Los mensajes llevan nombres y apellidos correctos y se mandan desde proveedores legítimos, lo que significa que no serán marcados como 'spam'. El virus viaja en una factura adjunta en formato Word que pide que se activen las Macros para verla. O en un .zip que lleva un Javascript dentro. Si se abren estos ficheros, el código malicioso entra en el ordenador y se pasea como Pedro por su casa, mirando qué programas tenemos instalados. Abre una comunicación con los malos y les informa de si está en un ordenador particular o de una empresa. Si está en una empresa, le mandarán programas para espionaje y robo industrial. Si está en un ordenador particular, le instalan Dridex.

El ordenador infectado pasa a formar parte de un 'botnet', una red con miles o millones de ordenadores bajo el control de los delincuentes. Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco. Entonces, nos muestra una simulación de la web en el navegador y, cuando escribimos las credenciales para entrar, creyendo que estamos en el portal del banco, las graba. Este es el punto de no retorno. Cuando Dridex tiene nuestros datos, ya no nos necesita, es todo automático: mira cuánto dinero hay en la cuenta, calcula un tanto por ciento y realiza una transferencia por este monto a la cuenta de una "mula".

Andrey Plotnitskiy, otro de los miembros de Evil Corp, según las autoridades de EEUU y UK. (Foto: National Crime Agency)
Andrey Plotnitskiy, otro de los miembros de Evil Corp, según las autoridades de EEUU y UK. (Foto: National Crime Agency)

Dridex golpeó en varias oleadas, principalmente en 2015 y luego en 2017, cuando afectó al menos a tres bancos españoles (y sus clientes) cuyos nombres nunca llegaron a conocerse. Operaciones internacionales conjuntas del FBI, autoridades europeas y diversas empresas lograron tumbar varias redes de bots de Dridex, pero nunca eliminar el troyano por completo, que sigue circulando. Su éxito fue tal que Yakubets y sus compinches decidieron hasta franquiciarlo: según la National Crime Agency británica, el 'hacker' ruso dio acceso al programa a un socio en Reino Unido a cambio de un pago inicial de 100.000 dólares, además del 50% de todos los ingresos, con una cantidad fíja mínima semanal de 50.000 dólares.

Con semejantes cifras no tardaron en llegar las fotos y detalles del obsceno tren de vida de los cibercriminales: colecciones de coches de lujo (un Lamborghini Huracan tuneado con matrícula personalizada que reza "ladrón" - este modelo cuesta desde 250.000 dólares sin personalización-, además de un Nissan GT-R, un Audi R8, y un Dodge Challenger), imágenes de sus socios mostrando montañas de dinero en efectivo, de su boda en 2017 en la que se gastó más de un cuarto de millón de euros o de su última mascota, un cachorro de león.

Yakubets de momento vive en Rusia y no podrá salir de allí, en el mismo instante en que ponga un pie fuera de su país sería detenido y extraditado a EEUU. Y no, no hay posibilidad de que las autoridades rusas le lleven ante la justicia. En un comunicado a finales del año pasado, el Departamento del Tesoro de EEUU aseguró que el 'hacker' había pasado a colaborar directamente con el gobierno ruso, en concreto con el Servicio Federal de Seguridad (FSB, en sus siglas en inglés), una de las principales agencias de seguridad del país. De robar millones a espiar para Putin. O ambas cosas a la vez.

Ciberseguridad
El redactor recomienda