Era junio de 2013, y las autoridades estadounidenses pensaban que finalmente atraparían a un delincuente escurridizo: el hacker ruso Alexsey Belan, acusado en Nevada y California de realizar intrusiones informáticas contra tres empresas de comercio electrónico de Estados Unidos, que había sido arrestado en Europa.
Pero Belan escapó a Rusia, donde las acusaciones de Estados Unidos no afectarían sus perspectivas laborales. En lugar de entregar Belan a la justicia estadounidense, el Servicio de Seguridad Federal de Rusia (FSB) lo contrató para ayudar a la agencia a hackear compañías de internet estadounidenses, incluyendo Yahoo! Inc.
La conspiración, presentada en una acusación en una Corte Federal en San Francisco, revela el funcionamiento interno del régimen estatal de ciberespionaje de Rusia, implicado en los presuntos intentos de influir en las elecciones estadounidenses del año pasado. El sistema capitaliza cada vez más un vasto y talentoso grupo de ciberdelincuentes de habla rusa.
1
Jack Bennett, agente especial de la División de San Francisco de la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés), dijo en una conferencia de prensa el pasado miércoles:
Creemos que sus capacidades técnicas no están a la altura y están usando hackers criminales
Además de Belan, Estados Unidos acusó a dos funcionarios del FSB, Dmitry Dokuchaev e Igor Sushchin, y un segundo hacker, Karim Baratov, un kazajo que vive en Canadá. Edward McAndrew, ex fiscal federal de cibercrimen y ahora copresidente del grupo de privacidad y seguridad de datos del bufete de abogados Ballard Spahr LLP, dijo que esta es la primera vez que esto sucede en Estados Unidos, que nunca antes ha acusado a nadie del FSB de ciberdelitos.
"Obviamente esto llega en un momento muy intenso en nuestra relación con Rusia y sus actividades cibernéticas", dijo. "También proporciona al público una nueva visión de cómo los actores del estado-nación están reclutando cibercriminales de todo tipo, desde grupos hasta individuos, para participar en sofisticadas campañas cibernéticas".
1
La acusación ofrece mucha información nueva sobre el ciberataque a Yahoo en 2014 que afectó a 500 millones de cuentas. Yahoo reveló la intrusión el año pasado y acusó a un "actor patrocinado por el estado". La intrusión, junto con un segundo ataque anterior que expuso a un número aún mayor de cuentas, ha complicado la adquisición planeada de Yahoo por Verizon Communications Inc.
"La acusación muestra inequívocamente que los ataques a Yahoo fueron patrocinados por el Estado", dijo en un comunicado Chris Madsen, asesor general adjunto de seguridad y cumplimiento de la ley de Yahoo. "Estamos comprometidos con proteger la seguridad de nuestros usuarios y plataformas, y seguiremos colaborando con la policía para combatir el cibercrimen".
Belan
Belan, también conocido como "Magg", nació en Letonia pero tiene pasaporte ruso, según el FBI. El FSB reclutó a Belan en parte proporcionándole información que lo ayudó a evitar ser detectado por la policía, según la acusación. Rápidamente pagó por la ayuda recibida con acceso a la red informática de Yahoo. A principios de 2014 ya los había ayudado a entrar al sistema de Yahoo, y desde allí al centro de control interno de las cuentas de correo de Yahoo, la herramienta que la empresa utilizaba para administrar cambios en las cuentas, como nuevas contraseñas.
Eso les permitió ver cosas como cuentas de correo electrónico de recuperación, indicando empresas e instituciones específicas de interés para el FSB, lo que les ayudó a detectar cuáles de las cuentas robadas podrían ser de mayor utilidad. En noviembre o diciembre de ese año, según la acusación, copió y exportó un respaldo de la base de datos de usuarios de Yahoo.
Los hackers luego usaron la base de datos para falsificar credenciales, engañando a los servidores de Yahoo para que los reconocieran como un titular de cuenta que había permanecido conectado. La maniobra, llamada "cookie minting", les permitió leer el contenido de unas 6 mil 500 cuentas de Yahoo sin siquiera necesitar una contraseña o un nombre de usuario.
1
Prueba de lo difícil que puede ser detectar una intrusión, el ataque tuvo lugar de 2015 hasta finales de 2016. Muchos de los objetivos eran rusos: periodistas, empleados de una empresa rusa de seguridad cibernética y funcionarios, incluso alguien descrito como experto en entrenamiento físico que trabaja para el Ministerio de Deportes. (El Departamento de Justicia no reveló los nombres de víctimas, sólo proporcionó descripciones generales).
La lista también incluyó a 14 empleados de una firma suiza de banca bitcoin, un funcionario de juegos de azar de Nevada, un alto ejecutivo de una importante aerolínea estadounidense, un directivo en Shanghai de un empresa de capital privado estadounidense y el director de tecnología de una empresa de transporte francesa.