A la caza del mayor ciberladrón

Al principio no robaba por dinero, sino por desafíos a sí mismo, a su capacidad para piratear en la Red. El FBI le detuvo y él, para evitar el juicio, aceptó colaborar con el Gobierno de EE UU para perseguir grandes delitos informáticos. Pero la bola fue creciendo. Ya no podía parar. Montó una red de cómplices y se convirtió en el mayor ciberladrón de la historia de EE UU. Albert Gonzalez y su banda de ‘hackers’ tuvieron acceso a 180 millones de cuentas de tarjetas de crédito. En 2008 fue detenido. El pasado marzo fue condenado a permanecer en prisión hasta 2025. Esta es la historia, paso a paso, de cómo actuaba y cómo cayó en la red.

*************************************************************************************
Una noche de julio de 2003, cerca de la medianoche, un agente del departamento de policía de Nueva York que investigaba una serie de robos de coches en un distrito de Manhattan siguió a un hombre joven con aspecto sospechoso hasta un cajero situado a la entrada de un banco. El agente observó cómo el hombre sacaba una tarjeta de crédito de su bolsillo y retiraba cientos de dólares en efectivo. Después sacó otra tarjeta y realizó la misma operación. Y otra vez. Y una vez más. El tipo no estaba robando coches, pero el policía se imaginó que estaba robando algo.

El joven estaba en efecto realizando una operación de "retirada de efectivo", tal como más tarde admitiría. Había programado un montón de tarjetas de crédito sin datos con números de tarjetas robados y estaba sacando todo el dinero que podía de cada cuenta. Lo había hecho unos minutos antes de las 12 de la noche, hora límite diaria para retirar dinero y el momento en que el cajero puede dar el doble de dinero con otra retirada en efectivo unos minutos más tarde. El policía le preguntó su nombre y aunque el hombre tenía varios alias en Internet, le dio el suyo verdadero. "Albert Gonzalez", contestó.

Albert Gonzalez fue detenido y rápidamente conducido hasta la oficina del fiscal de Nueva Jersey en Newark, quien, junto con agentes del destacamento oficial de delitos informáticos del FBI, estaba investigando sin mucho éxito el fraude de tarjetas de crédito y débito en los cajeros automáticos de la zona. Gonzalez fue interrogado y pronto se descubrió que era un tipo pecualiar. No solamente poseía los datos de millones de cuentas de tarjetas almacenados en el ordenador de su apartamento en Nueva Jersey, sino que además tenía un truco para explicar online su experiencia como defraudador de tarjetas de crédito.

Tal como descubrirían los agentes del orden público, Gonzalez era un prometedor intermediario de shadowcrew.com, un ciberbazar de programas piratas que se expandió a principios del año 2000 durante el boom del comercio en Internet. Shadowcrew tenía cientos de miembros en Estados Unidos, Europa y Asia. Según me explicó un fiscal federal, era "una especie de eBay, monster.com y MySpace, pero dedicada al delito informático".

Tras un par de interrogatorios, Gonzalez aceptó ayudar al Gobierno y así evitar un proceso judicial. "Tenía 22 años y estaba asustado", me comentó más tarde. Gonzalez se convirtió en el confidente de delitos informáticos más valioso que el Gobierno de EE UU haya tenido jamás. Su ayuda permitió a la policía acusar a más de una docena de miembros de Shadowcrew, por lo que los agentes asignados a Gonzalez, empleados del FBI, le convencieron para que por su propia seguridad se trasladara a vivir a Miami, su ciudad natal. Después de prestar su ayuda en otra investigación, a principios de 2006 se convirtió en un confidente a sueldo del FBI en Miami. El hombre del FBI que mejor llegó a conocer a Gonzalez, el agente Michael (apodo de su verdadero nombre), fue trasladado a Miami y trabajó con Gonzalez en una serie de investigaciones en las que realizaron un trabajo tan extraordinario que la agencia le pidió que participara en seminarios y conferencias. "Parecía que estaba intentando hacer lo correcto", comentaba Michael.

Y sin embargo no era así. Durante los muchos años que trabajó para el Gobierno, Gonzalez, su banda de hackers y otros seguidores tuvieron acceso aproximadamente a 180 millones de cuentas de tarjetas de pago que estaban guardadas en la base de datos de clientes de algunas de las empresas norteamericanas más conocidas.

En la sentencia dictada el pasado marzo en la que fue condenado a dos penas simultáneas de 20 años, la mayor sentencia jamás dictada a un norteamericano por un delito informático, el juez dijo: "Lo que me pareció terrible fue que usted engañó a la agencia del Gobierno con la que al mismo tiempo estaba colaborando, por lo que usted era un agente doble".

Gonzalez compró su primer ordenador cuando tenía 12 años. A los 14 entró ilegalmente en los ordenadores de la NASA, con lo que consiguió que los agentes del FBI fueran a visitarle a su colegio en Miami. Pero Gonzalez no se amilanó. Organizó un grupo de black hats –un tipo de hackers con tendencia a ir contra la autoridad– y consiguió cierta fama. Entonces abandonó sus estudios universitarios en la Universidad del Condado de Miami en el primer curso. Él mismo había aprendido, leyendo manuales de software, cómo atacar los ordenadores de los proveedores de servicios de Internet para conseguir banda ancha gratis. Se dio cuenta de que aún podía ir más lejos y obtuvo los nombres y claves de acceso de directores y ejecutivos.

El mejor amigo de Gonzalez, Stephen Watt, que se encuentra en estos momentos en la cárcel cumpliendo una condena de dos años por descifrar un programa de software que permitió a Gonzalez robar datos de tarjetas, describe a Gonzalez como "poseedor de una cualidad al estilo de Sherlock Holmes, producto de su buena educación".

Fue en 2003, justo después de haber aceptado convertirse en confidente, cuando Gonzalez ayudó al Departamento de Justicia y al FBI a preparar, en el transcurso de un año, una trampa ingeniosa para destapar Shadowcrew. Gonzalez era el cerebro de la Operación Firewall. Gracias a él, el Gobierno consiguió "poseer", según la jerga de los hackers, Shadowcrew. Compradores secretos se infiltraron en la red y siguieron el rastro de sus usuarios por todo el mundo; con el tiempo, los funcionarios incluso consiguieron transferir el sitio a un servidor seguro controlado por el FBI. Gonzalez convenció a los usuarios de Shadowcrew para que se comunicaran a través de una red privada virtual, un canal seguro que comunicaba a los ordenadores entre sí enviando mensajes codificados que él mismo introducía en el sitio. Esta red privada virtual tenía una característica especial: estaba intervenida por orden judicial.

Gonzalez trabajó con los agentes durante varios meses. La mayoría de ellos le llamaban Albert. Otros le conocían como Soup, por el nombre que había dado a su antigua pantalla, Soupnazi. "Haber pasado tanto tiempo con un confidente que estaba profundamente metido en una trama de delito informático fue una experiencia totalmente nueva para nosotros", explica un fiscal del Departamento de Justicia. "Fue una experiencia de las que dejan huella".

El 26 de octubre de 2004, Gonzalez fue trasladado a Washington, donde se estableció el centro de control de la Operación Firewall en las oficinas centrales del FBI. Consiguió sus objetivos en una sesión de chat. A las nueve de la noche, los agentes comenzaron a derribar puertas. Hacia la medianoche, 28 personas habían sido detenidas en ocho Estados norteamericanos y en seis países, la mayoría de ellas a escasos metros de sus ordenadores. Con el tiempo, otras 19 fueron acusadas. Según algunas informaciones, el Gobierno nunca antes había logrado llevar a cabo un caso tan importante y con tanto éxito contra el delito informático.

Un día después del asalto, los funcionarios del FBI pusieron en la página de inicio de Shadowcrew una fotografía de un matón jorobado, sin camisa, en la celda de una cárcel, con un tatuaje en el que se podía leer: "¡Póngase en contacto con su agente local del FBI de Estados Unidos… antes de que nosotros contactemos con usted!".

"La investigación resultó apasionante", me comentó un día Gonzalez mientras hablábamos sobre Shadowcrew. "Desenmascararles, conocer sus identidades. Sin embargo, cuando pienso en ello, me parece que fue bastante fácil. Cuando alguien confía en uno, puedes bajar la guardia".

Sin embargo, "tenía mala conciencia por todo lo que había pasado". "A diferencia de otros confidentes, tuve un dilema moral", me confesó también. En otra ocasión, cuando estaba hablando sobre el tema, Gonzalez me escribió una carta: "Me gustaría dejar una cosa bien clara… siempre he sido leal a la comunidad de los black hats".

Tras la Operación Firewall, Gonzalez volvió a Miami a finales de 2004. Por entonces estaba investigando sobre la vulnerabilidad de las redes inalámbricas en las empresas. Gonzalez estaba especialmente interesado en las posibilidades de una técnica conocida como wardriving. Los hackers, provistos de portátiles y antenas de radio de gran alcance, aparcan sus coches o furgonetas en los parkings de las grandes tiendas de ordenadores para detectar las redes wifi de las empresas más vulnerables.

Gonzalez contactó de nuevo con Christopher Scott –un viejo amigo de una red social en Internet, EFnet, frecuentada por black hats–, que estaba dispuesto a hacer un trabajo especial. Scott comenzó a intercambiar datos comerciales de la autopista 1 de Miami para buscar objetivos wardriving. Sus experimentos en BJ's Wholesole Club en Miami y en DSW tuvieron éxito. Robó cerca de 400.000 cuentas de tarjetas del primero y un millón del segundo. Le explicó a Gonzalez cómo lo había hecho y le pasó los números de tarjetas.

El verano siguiente, Scott aparcó su coche delante de una de las tiendas Marshall. Consiguió la ayuda de Jonathan James, un menor muy conocido entre los black hats de Miami por haber sido el primer joven norteamericano encarcelado por delitos informáticos. Scott pirateó la red wifi de Marshalls y, junto a James, comenzó a navegar dentro del sistema: capturaron nombres de usuario y claves de acceso, lo que permitió a Gonzalez entrar en la red; atacaron los servidores de la central de Marshalls en Framingham, Massachusetts y en TJX, una filial de la empresa, y localizaron los servidores que alojaban las operaciones con antiguas tarjetas de las tiendas.

A finales de 2006, Gonzalez, Scott y James tenían información de más de 40 millones de tarjetas. Utilizaron los mismos métodos para piratear los ordenadores de OfficeMax, Barnes & Noble, Target, Sports Authority y Boston Market, y probablemente de muchas otras empresas que nunca detectaron que sus equipos hubieran sido pirateados, o al menos no lo notificaron a las autoridades.

Al mismo tiempo que robaba datos de tarjetas bancarias, Gonzalez participaba en una organización internacional. Tomó contacto con un ucranio, Maksym Yastremskiy, que le vendió un conjunto de números de tarjetas de consumidores de Estados Unidos, América del Sur, Europa y Asia, y compartió las ganancias con él. Gonzalez contrató a otro amigo de EFnet, Jonathan Williams, para sacar dinero de todos los cajeros del país. Un amigo de Watt en Nueva York recogía los envíos de dinero en efectivo que Williams y Yastremskiy habían enviado. Entonces, el amigo de Watt enviaba el dinero a Miami o a un apartado de correos que James había creado con la colaboración de un intermediario. Gonzalez creó sociedades ficticias en Europa. Para cobrar y lavar el dinero abrió una cuenta e-gold y cuentas WebMoney difícilmente controlables. Por último, contactó con dos hackers del este de Europa a quienes solamente conocía por los nombres que mostraban en su pantalla, Annex y Grig, y que estaban dispuestos a entrar en los procesadores de datos de las tarjetas de crédito americanas, el centro neurálgico de las ventas al por menor. "Muchas veces me he preguntado por qué hice todo esto", me dijo recientemente Gonzalez desde la cárcel un día mientras hablábamos por teléfono. "Sobre todo lo hice por dinero. El dinero que ganaba en el FBI no era suficiente y yo lo necesitaba. Cuando me di cuenta, la bola de nieve ya se había formado y era difícil detenerla. Intenté dejarlo, pero no pude". Afirma que sus intenciones eran en parte buenas. Lo que realmente él quería era ayudar a Patrick Toey, un amigo íntimo y hacker que más tarde le ayudaría en otro trabajo.

A diferencia de Gonzalez y de Watt, Toey, de 25 años, tuvo una educación complicada. Tras abandonar sus estudios, tuvo que ayudar a su madre, a su hermano pequeño y a su hermana pirateando ordenadores. Gonzalez prestó su apartamento de Miami a Toey sin cobrarle ni un céntimo. La casa era de su propiedad, pero él prefería vivir en casa de sus padres. Dice que le encantaba cómo cocinaba su madre y jugar con su sobrino. Además, de esa forma tenía más facilidad para lavar el dinero.

A Gonzalez le entusiasmaban también los retos que le proporcionaba el delito informático. No es un programador que destaque por su talento, sino por la forma especial que tiene para introducirse en los sistemas y en las cuentas. A menudo tengo la impresión de que para Gonzalez el delito informático era como un recurso de apelación.

Pero lo cierto es que le gustaba robar. "La emoción siempre conseguía vencer cualquier sentimiento moral que pudiera sentir", me dijo. Y también le gustaba gastar. En parte, aunque no del todo, se puso a explicarme su plan en la operación "hazte rico o muere en el intento". No quiso decirme cuánto dinero había conseguido, pero está claro que está obteniendo beneficios de los millones de dólares que robó. Parte de ese dinero fue a parar a Toey, pero probablemente nada fue para Watt.

En la primavera de 2007, Gonzalez estaba cansado de trabajar para el FBI. "Siempre llegaba tarde", según la opinión del agente Michael, que habló con otros agentes sobre la posibilidad de controlar a Gonzalez. "No quería estar aquí". Además estaba cansado del wardriving. Buscaba nuevos desafíos.

González puso toda su atención en TJX, en parte porque almacenaban antiguas transacciones, pero se dio cuenta de que muchas de las tarjetas estaban caducadas. Necesitaba encontrar una manera de conseguir los números de tarjetas justo después de que los clientes las hubieran utilizado. Era posible. Consiguió averiguar cómo meterse en los terminales punto de venta de las tiendas y en los datáfonos de los supermercados, de las gasolineras, de los almacenes o de cualquier otro comercio donde se pudiera comprar algo.

Gonzalez y Toey recorrieron las tiendas de Miami para ver las marcas de los terminales con los que trabajaban. Gonzalez descargó manuales y esquemas de software. Antes de esto, Williams había visitado una tienda de OfficeMax cerca de Los Ángeles donde desenchufó un terminal y salió de la tienda con él. Algunos hackers que trabajaban con un contacto de Gonzalez en Estonia atacaron los ordenadores de la central de Micro Systems en Maryland, el mayor fabricante de sistemas de puntos de venta, y robaron software y una lista con los nombres y claves de acceso de los empleados y se la enviaron a Gonzalez.

Entonces, una vez que Toey le introdujo en el sistema, Gonzalez ya no tuvo que rastrear en las bases de datos para conseguir información valiosa. Podía acceder directamente a los servidores donde llegaban los datos de las tarjetas recién utilizadas, milésimas de segundos antes de que la información fuera enviada al banco para su aprobación. Realizó esta operación en JC Penney, en las tiendas de ropa Wet Seal y en Hannaford Brothers, una cadena de tiendas de alimentación. Su contacto en Estonia utilizó la misma técnica en Dave & Buster's. "Cada vez que un comercio pasaba una tarjeta, los datos quedaban registrados en nuestros ficheros", explica Toey. "Nadie podía hacer nada".

Unos días antes de la Navidad de 2006, los abogados de TJX llamaron alarmados al Departamento de Justicia y a Stephen Heymann, ayudante del fiscal de Estados Unidos en Massachusetts. Una empresa de tarjetas de crédito había contactado con la compañía, ya que, al parecer, habían descubierto el robo de un gran número de tarjetas que se habían utilizado en Marshalls y en T. J. Maxx. TJX había examinado sus servidores en Framingham y lo que habían descubierto era una catástrofe. Creían que durante casi un año y medio, "los datos de aproximadamente la mitad de las transacciones realizadas con tarjetas en comercios de Estados Unidos, Puerto Rico y Canadá" habían sido robados. Fue el mayor robo de datos de tarjetas en la historia de Estados Unidos y no había ninguna prueba de ello.

En 2007, los abogados de Dave & Buster's llamaron al FBI. Esta empresa también había sufrido ataques, pero su caso era diferente. Los ladrones se las habían ingeniado para acceder al sistema de puntos de venta. En verano, Heymann y Kim Peretti, fiscal jefe de delitos informáticos del Departamento de Justicia, tenían sobre su mesa una gran cantidad de datos, montones de posibles pruebas y ningún rastro sobre a quién tenían que perseguir. Desesperados, necesitaban encontrar una pista como fuera.

Y les llegó de la mano de los viejos amigos de Peretti en el destacamento oficial de delitos informáticos del FBI. Resultó que, durante dos años, un agente secreto de la oficina de San Diego había estado comprando a Yastremskiy tarjetas de memoria. El agente viajó a Tailandia y a Dubai para encontrarse con el ucranio y en Dubai copió el disco duro del portátil de Yastremskiy sin que este se diera cuenta. Especialistas en informática del FBI peinaron la copia del disco duro y descubrieron que Yastremskiy guardaba meticulosamente los documentos. Desde hacía años, había salvado y catalogado todas las listas de sus clientes y los mensajes que había recibido. En los registros encontraron a un compañero de chat que parecía ser su mayor proveedor de datos de tarjetas robadas. Sin embargo, todo lo que pudieron conseguir de esta persona fue un número de registro de mensajería instantánea, pero ninguna información personal.

Yastremskiy fue detenido en julio de 2007 en un club nocturno en Turquía. El FBI consiguió de él una prueba muy útil. Su proveedor anónimo le había pedido que le consiguiera un pasaporte falso. Según le había comentado, uno de sus proveedores había sido detenido y quería ayudarle sacándolo de EE UU. El problema: no sabía dónde había sido detenido.

Así que los agentes llamaron a cada una de las comisarías de policía y del fiscal del distrito de todo el país en las que hubieran realizado una detención similar o estuvieran trabajando en un caso parecido. La investigación les condujo a una cárcel de Carolina del Norte donde se encontraba Williams. Había sido detenido llevando encima 200.000 dólares en efectivo. Los agentes del FBI conectaron un pendrive que Williams llevaba en el momento de su detención y encontraron un fichero que contenía una fotografía de Gonzalez, un historial de crédito y la dirección de su hermana María en Miami. "El archivo era una medida de seguridad en caso de que Gonzalez intentara contactar conmigo", me comentó Williams desde la cárcel el pasado mes de junio. Entonces, los funcionarios siguieron la pista de los paquetes que Williams había enviado al apartado de correos de Miami. Esto condujo al FBI hasta James. Registraron los archivos de la policía y descubrieron que en 2005 un oficial de policía le había detenido de madrugada en Palmetto Bay (Florida), junto a Scott, en el parking de una tienda.

El momento culminante llegó cuando los funcionarios del FBI finalmente consiguieron la información del número de registro de mensajería instantánea de quien estaba suministrando a Yastremskiy los datos de tarjetas bancarias. No había una dirección ni un nombre, pero sí una dirección de correo electrónico: soupnazi@efnet.ru. Era la prueba evidente para quien conociera a Gonzalez.

Enseguida, la operación "hazte rico o muere en el intento" se puso en marcha. La policía registró los domicilios de Scott y de Gonzalez. Los agentes detuvieron a Scott y se llevaron nueve ordenadores y 78 plantas de marihuana. En la casa de Gonzalez encontraron varias drogas de diseño y a un medio dormido Toey. Este fue conducido a Boston para prestar declaración ante un jurado de acusación. Les dijo a Heymann y a Peretti dónde localizar las cuentas e-gold y WebMoney y los servidores que estaban alojados fuera del país. Gracias a estos servidores pudieron localizar a Watt, que había vuelto a su apartamento de Greenwich Village, donde se encontró a un grupo de policías esperándole. También registraron la casa de Gonzalez, pero Albert no estaba allí.

Finalmente la policía le localizó el 7 de mayo de 2008 a las siete de la mañana en la suite del hotel National en Miami Beach. Junto a él había una mujer croata, dos portátiles y 22.000 dólares. Comenzó a hablar rápidamente. Meses después condujo a los agentes del FBI hasta un contenedor enterrado en el jardín de la casa de sus padres en el que había 1,2 millones de dólares. El abogado de Gonzalez le aseguró que para el Gobierno era un caso que no tenía mucha consistencia. Las pruebas electrónicas a menudo no se sostienen, afirmó.

Esto fue antes de que los abogados de Heartland Payment Systems en Princeton (Nueva Jersey) hubieran llamado a Peretti a principios de enero de 2009. Heartland, una de las empresas más importantes del país de datáfonos, había sido atacada. Pronto Gonzalez le confesó a Peretti que había ayudado a Annex y a Grig a entrar en Heartland a través de una técnica conocida como inyección SQL. Por entonces, en Heartland ya se habían dado cuenta de que algo no funcionaba bien. Este robo había sido demasiado importante: habían desprotegido los datos de 130 millones de transacciones. Gonzalez fue acusado en Nueva Jersey, Nueva York y Massachusetts (donde había pruebas más contundentes del caso).

En la sentencia dictaminada en marzo, Gonzalez fue declarado culpable de todos los cargos. Teniendo en cuenta el tiempo que pasó en prisión antes de la condena y el buen comportamiento, probablemente saldrá de la cárcel en 2025.

En mayo, Toey ingresó en prisión para cumplir una condena de cinco años, y Scott, una de siete. A Yastremskiy le cayeron 30 años en una cárcel de Turquía. Watt, que afirmó que nunca supo muy bien para qué quería utilizar Gonzalez su software y no quiso dar información sobre Gonzalez al jurado o al fiscal, ha sido condenado a dos años.

Según el fiscal general Eric Holder, TJX, Heartland y otras empresas víctimas de los ataques de Gonzalez tuvieron que hacer frente a más de 400 millones de dólares en reembolsos y honorarios de abogados y forenses. Al menos 500 bancos se vieron afectados por el ataque a Heartland. En Estados Unidos, el fraude online continúa en auge, aunque las estadísticas muestran una caída importante en 2009 respecto a años anteriores, cuando Gonzalez estaba en activo.

Tras la sentencia, Gonzalez fue trasladado al Metropolitan Detention Center (MDC) en Brooklyn (anteriormente había estado en una prisión de Michigan). Situado entre un tramo de la autopista de Brooklyn a Queens y Gowanus Bay, el MDC es un sitio horrible incluso para ser un centro penitenciario. "Este lugar es terrible", dijo el agente Michael. "Pero ¿quiere que le diga una cosa? Cuando se juega con fuego, esto es lo que se consigue".

Incluso el propio Gonzalez está impresionado por la poca sensibilidad que el Gobierno muestra por su confort. Dice que siempre imaginó que algún día iba a pasarle algo así, "pero nunca pensé que iba a estar tan mal".

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS