Osmani fidel de la cruz esquivel moises garcia rico javier armando montenegro luna



Descargar 117.79 Kb.
Página1/2
Fecha de conversión15.12.2017
Tamaño117.79 Kb.
  1   2
ANTOLOGÍA LEGISLACIÓN INFORMÁTICA: DELITOS INFORMATICOS

REALIZADA POR:

EQUIPO #2

JEHIELI TRONCOSO VILLANUEVA 13130669

OSMANI FIDEL DE LA CRUZ ESQUIVEL

MOISES GARCIA RICO

JAVIER ARMANDO MONTENEGRO LUNA

ANA SOFIA ORTIZ SANDOVAL

JESUS EDUARDO CUETO ZÚÑIGA

Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces Ud. no entiende los problemas de seguridad y tampoco entiende la tecnología”



SCHNEIER

ÍNDICE


Introducción generalidades…………………………..…...…….…4

Introducción…………………………………………………………….…..4

Los delitos más comunes………………….………………….………..….4

Características de los delitos…………………………………...………..5

Los criminales informáticos más grandes del mundo……………………………………………………………….………..5

Los delitos informáticos más famosos de la historia……….………8

El golpe al first national bank (1988)……………………………………………….......…8

Tres piratas roban más de 130 millones de números de tarjetas de crédito…..…....10

Fraude cibernético: master card internacional……………………………………….…12

Caza del mayor ciberladron……………………………………………………………....13

¿Cómo robaron las fotos de jennifer lawrence?.....................................................22

Ataques a tres plataformas y navegadores (2014)………………………..…..……….25

Delitos informáticos: introducción y generalidades

Introducción

Los tiempos han cambiado, la regulación del orden en una sociedad no puede ser la misma que hace 20 años.

Con la tendencia de hoy en día de las redes sociales y los sistemas de información forman parte de la vida diaria de los ciudadanos en el mundo y desempeñan un papel fundamental en el éxito de la economía universal. Esta tendencia implica, numerosas y indiscutibles ventajas, pero va acompañada también de un riesgo de ataques malintencionados contra los sistemas de información.

Por lo que se tuvo que crear y aplicar más leyes para poder lograr un orden y de esta manera sancionar los delitos que se cometan, incluyendo actualmente, los delitos informáticos.


Investigar el delito desde cualquier perspectiva es una tarea compleja; de eso no hay duda. Enfrentar este tipo de delincuencia a todo nivel es ahora una tarea más de la que se tienen que encargar las autoridades responsables en cada país.

Pero ¿por qué este fenómeno descrito en los últimos tiempos ha tenido un avance significativo? Bueno, hay que tener en cuenta la manifestación de la globalización, la cual no solo ha tenido beneficios, sino también ha contribuido a la masificación de esta clase de delitos.


Generalidades

Los fraudes son muy temidos en Internet, aunque se pueden tomar medidas preventivas, se las ingenian muy bien para terminar engañando a la gente. Los 10 delitos informáticos más comunes son:




  1. Productos milagrosos: Se trata de productos que ofrecen una solución milagrosa para alguna cuestión en especial. Cuestan grandes cantidades de dinero, pero al final no ofrecen nada nuevo.



  2. Suplantación de identidad: Hackers que suplantan la identidad de alguien con diferentes propósitos, pero principalmente financieros.

  3. Fraudes en bancos y financieras: Robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que te hacen perder dinero.

  4. Fraudes en tarjetas de crédito: Paginas que solicitan datos de tarjetas de crédito para proceder al robo.

  5. Llamadas internacionales: En algunos sitios de contenido adulto, a los usuarios se les ofrecía acceso gratuito solo por el hecho de descargar e instalar un programa. Lo que ellos no sabían es que este programa desviaría su MODEM a un servicio 906 o a números internacionales, llamadas que deberán ser abonadas por este usuario engañado.

  6. Mercancías no entregadas: Compras que se abonan pero productos que nunca se reciben.

  7. Fraudes con subastas: Subastas atractivas que también se pagan y el producto nunca se entrega al comprador.

  8. Oportunidades de trabajos: Trabajos que no se abonan, promociones que prometen “hacerte rico” y no son ciertas, inversiones que nunca llegan a dar frutos y tantos otros fraudes.

  9. Paquetes de viaje: Vuelos y hoteles que no llegan ni a la mitad de la calidad por la que se pago.
     

  10. Servicios “extras”: Contratas un servicio y, aunque no sepas porque, tienes que terminar pagando por cargos extras.


Características de los delitos informáticos.

  • Son conductas criminales de cuello blanco

  • Son acciones ocupacionales

  • Son acciones de oportunidad

  • Provocan serias pérdidas económicas

  • Ofrecen posibilidades de tiempo y espacio

  • Son muchos los casos y pocas las denuncias

  • Presentan grandes dificultades para su comprobación

  • Tienden a proliferar cada vez más.

Los criminales informáticos más grandes del mundo

  • George Hotz, pirata informático estadounidense responsable de 'hackear' el iPhone y la PS3. Hotz ha creado toda una subcultura de los usuarios de iOS, que prefieren utilizar sistemas operativos más abiertos y ajustables a las necesidades de cada uno, lo que también incluye contenido creado por los propios usuarios e incluso aplicaciones “hackeadas”




  • Gary McKinnon, pirata escocés acusado del "mayor ataque a ordenadores militares jamás realizado". Fue pedido en extradición por EE.UU., aunque la Justicia británica finalmente la rechazó. Logró introducirse en computadoras del Pentágono y la NASA en un esfuerzo de hallar las pruebas de que se ocultaba información sobre ovnis y fuentes de energía alternativas



  • Kevin Mitnick, 'exhacker' al que el Departamento de Justicia de EE.UU. describió como "el criminal digital más buscado en la historia de Estados Unidos", y ahora trabaja de consultor en seguridad informática. Al final del siglo XX, Mitnick fue condenado por varios delitos informáticos y cumplió 5 años en prisión.



  • John Draper, uno de los primeros en la historia de la piratería informática mundial. A Draper se le ocurrió una manera eficaz de hacer llamadas telefónicas gratuitas ('phreaking'). Además de sentar las bases en la irrupción telefónica, es conocido como el autor del primer programa editor de texto para el IBM PC.



  • Aaron Swartz, programador y activista por la libertad de Internet, fue acusado por la Justicia estadounidense de fraude electrónico e informático por descargar más de 4 millones de artículos científicos mediante el uso de la conexión a la Red que unía a 17 bibliotecas. Se suicidó y fue encontrado muerto el 1 de enero de 2013.



  • Robert Tappan Morris, profesor asociado en el Instituto Tecnológico de Massachusetts, es conocido como el creador del primer 'gusano', que paralizó 6.000 computadoras en los Estados Unidos en noviembre de 1988. En 1989, Morris fue el primero en ser acusado de fraude informático. En 1990, fue condenado a tres años de libertad vigilada, 400 horas de servicio comunitario y una multa de 10.050 dólares.



  • Jonathan Joseph James, pirata informático estadounidense que 'hackeó' los servidores de varias organizaciones, incluida la Agencia de Reducción de Amenazas a la Defensa, que forma parte del Departamento de Defensa de EE.UU., así como los de la NASA. Se convirtió en el primer menor de edad encarcelado por piratería informática en EE.UU., a los 16 años.

    En 2008 Jonathan fue hallado muerto en la ducha con una herida de bala. En la nota que dejó declaraba su inocencia en un caso de robo de datos de tarjetas bancarias. 





  • Ryan Cleary, 'hacker' británico líder del grupo LulzSec y exmiembro de Anonymous. Se le imputa la violación de la red PlayStation Network, ataques a las páginas de la CIA y la agencia británica SOCA, además de robar los datos del censo de 2011 en el Reino Unido, entre otros cargos.



  • Vice Miskovic, 'hacker' croata quien a los 15 años de edad junto con otros dos adolescentes irrumpió en los servidores del Pentágono y copió archivos secretos sobre bases militares estadounidenses en 1997.  Por presiones del Departamento de Defensa de EE.UU. e Interpol, la Policía croata registró las casas de los piratas y confiscó sus computadoras. 




  • Christopher Chaney, 'hacker' estadounidense obsesionado con las celebridades, accedió a los correos de estrellas de Hollywood y estuvo más de dos años vigilando su correspondencia y fotos personales. La lista de víctimas incluye a Scarlett Johansson, Christina Aguilera, Lady Gaga y otras. Chaney se enfrenta a 60 años de prisión.



  • Ehud Tenenbaum, pirata informático israelí, conocido como 'Analyzer'. Fue sentenciado a 18 meses de prisión por ataques cibernéticos contra los sistemas del Pentágono.




  • Vladimir Levin, 'hacker' israelí nacido en Rusia, que en 1994 penetró la red interna del Citibank y obtuvo acceso a múltiples cuentas. Logró transferir 10,7 millones de dólares a varias cuentas en EE.UU., Finlandia, Alemania, Israel y los Países Bajos.




  • A mediados de 1994 Kevin Poulsen fue condenado a 51 meses al ser encontrado culpable de lavado de dinero y obstrucción de la justicia valiéndose de medios tecnológicos.




  • En 1995 Chris Pile fue condenado en el Reino Unido a 18 meses de cárcel al ser encontrado culpable de crear y distribuir códigos maliciosos. Dentro de los códigos maliciosos se encuentran los virus Pathogen y Queeg que se cargaban en memoria para afectar los programas que estuvieran en ejecución.




  • Quizá una de las condenas más famosas es la que en 1999 se le impusiera a Kevin Mitnick. Debió permanecer 68 meses en la cárcel después de ser encontrado culpable de interceptar comunicaciones y estar relacionado con otros delitos de fraude.




  • David L. Smith fue condenado a 20 meses de prisión en 2002, después de que se declarara culpable de crear y propagar códigos maliciosos. Específicamente fue el creador de Melissa uno de los virus que más daño a causado en Internet al afectar miles de cuentas de correo electrónico.




  • Con 26 meses de cárcel fue condenado Adam Botbyl en 2004 después de  que fuera encontrado culpable de robar números de tarjetas de crédito de una conocida cadena de almacenes después de que logró acceder a los sistemas de la empresa conectándose a través de una red WiFi. Al lograr el acceso lo utilizó para modificar porciones de código de los programas utilizados por los empleados.




  • En 2004 Max Ray Vision fue condenado a 108 meses, una de las condenas más largas que se ha visto hasta el momento por un delito informático. En este caso el delito también estaba relacionado con el robo de información financiera: alrededor de dos millones de tarjetas de crédito.




  • En 2006 Jeanson James Ancheta fue condenado a 57 meses por llevar a cabo ataques de denegación de servicios (DoS) utilizando cientos de computadoras zombies.




  • James Jeffery fue condenado a 32 meses en 2012 por llevar a cabo un acceso indebido al sitio web de una entidad que facilitaba servicios de aborto en Reino Unido, para robar información de usuarios y hacer un defacement de la página.




  • También (2012) Albert Gonzalez fue condenado a 240 meses la pena más larga impuesta hasta el momento a un cibercriminal. Albert fue el responsable de uno de los fraudes más grandes de la historia, utilizando técnicas de SQL injection logró robar alrededor de 170 millones de números de tarjetas de crédito y claves de cajeros automáticos.




  • Durante el año (2013) una condena de 24 meses fue aplicada a Lewys Martin luego de que fuera encontrado culpable de accesos no autorizados a diversos sistemas. Dentro de los sistemas vulnerados se encuentran prestigiosas universidades inglesas, sitios de policía y gubernamentales del Reino Unido y otros sitios de departamentos oficiales del gobierno de Estados Unidos.

A pesar de que este listado puede parecer pequeño, por la cantidad de ataques que se ven en la actualidad es evidente que son muchas las personas que están relacionadas con actividades maliciosas.  Y si bien ya son muchos los gobiernos que han definido marcos legales para penalizar los autores, incluso en Latinoamérica, es importante que la empresas tomen las medidas preventivas adecuadas para no ser víctimas de ataques que puedan afectar la seguridad de la información corporativa.


Los delitos informáticos más famosos de la historia
EL GOLPE AL FIRST NATIONAL BANK (1988)

Uno de los que no podía faltar en la lista, por ser de los primeros importantes, es el golpe al First National Bank de 1988 capitaneado por Armand Devon Moore que el Fiscal de los Estados Unidos del Distrito Sur de Illinois de la época calificó como “el esquema de malversación de fondos más grande en la historia de Chicago, y sin duda el más grande si tenemos en cuenta la cantidad de dinero que se movió”.


El modus operandi fue el siguiente: Moore convenció a Otis Wilson y Gabriel Taylor, empleados del First National Bank a los que llegó a través de su primo Herschel Bailey, para que le ayudaran a robar la entidad, pero no con pasamontañas y pistolas sino mediante transferencias electrónicas. Dicho y hecho; aprovechándose de su acceso a los equipos informáticos y telefónicos del First National Bank y de los conocimientos que poseían sobre el funcionamiento del sistema interno de transferencias electrónicas, seleccionaron tres grandes clientes corporativos del banco -Merrill Lynch & Co, United Airlines y Brown-Forman Corp- y traspasaron casi 70 millones de dólares en unos 60 minutos de sus cuentas a otras dos abiertas por la banda en Viena.
Para lograrlo simularon tres llamadas de responsables de las empresas solicitando las transferencias. A su vez Taylor fingió haber realizado las llamadas a Merrill Lynch, United Airlines y Brown-Forman necesarias para verificar las operaciones -en realidad llamaba a uno de los compinches-. De ahí las órdenes pasaron a un tercer empleado, que nada tenía que ver con el robo, y las hizo efectivas. Aunque todo parecía perfecto, pocas horas después de consumar el atraco les pillaron. Las víctimas no tardaron en detectar la falta de los fondos, contactaron con el First National y se descubrió el pastel.
El tipo de esquema delictivo descrito, en el que la piedra angular son empleados o ex empleados con acceso a la información interna y a los equipos informáticos de la empresa que toque, se sigue repitiendo constantemente pero no es de los más sofisticados.
Los hay mucho más complejos, como el que aplicó Vladimir Levin en 1994 en su mítico robo al poderoso Citibank. Sin salir de San Petersburgo ni contactos dentro, logró colarse en la red de la entidad, acceder a las cuentas de cientos de clientes y realizar un buen puñado de transferencias a otras creadas por él en bancos de Alemania, Israel, Estados Unidos, Holanda, Argentina, etc. En pocas semanas consiguió robar 3,7 millones de dólares y marcó un antes y un después; se trató del primer robo serio de dinero a nivel internacional perpetrado contra un gran banco mediante la irrupción en sus redes de manera completamente remota.
Muy inteligente, sin embargo no lo fue tanto al alargar en el tiempo el robo (casi un año) y depender de una amplia red de colaboradores que retiraba en cajeros y sucursales el dinero saqueado. La INTERPOL siguió el rastro dejado por las transferencias, poco a poco capturaron a los colaboradores y en 1995 detuvieron a Levin en el aeropuerto de Heathrow (Inglaterra). Más tarde le extraditaron a los Estados Unidos donde se declaró culpable de los cargos imputados y le condenaron a tres años de prisión.
Pero no solamente se han dado, y continúan dándose, grandes robos informáticos a cuentas bancarias. Existen muchos otros perpetrados contra toda clase de objetivos. ¿Un ejemplo destacable? El “fraude de clics” desmantelado recientemente por Microsoft y Symantec en el que un grupo de delincuentes lograron montar una enorme botnet que llegó a reportarles un millón de dólares al año. La estrategia consistió en tomar el control de miles de ordenadores infectándolos con algún malware a través del que posteriormente instalaban en las máquinas el troyano Bamital que se ocupaba de ejecutar el fraude. Según Symantec, Bamital “redireccionó usuarios finales a anuncios y contenido que no tenían intención de visitar. Asimismo, generó tráfico no humano en anuncios y sitios web con la intención de recibir pagos de las redes de publicidad”.
Mención aparte merecen los robos de tarjetas de crédito. Ya en 1999 Maxim Kovalchuk, que en 2004 terminó en el banquillo de los acusados por piratería de software, se atribuyó el robo de 300.000 números de tarjetas de clientes de cduniverse.com. Poco tiempo después ocurrió lo que las autoridades de medio mundo temían: una operación de saqueo de tarjetas de crédito de alcance internacional perfectamente coordinada. El caso se hizo público en 2001 cuando el FBI comunicó que un grupo de delincuentes de Rusia y Ucrania, aprovechando vulnerabilidades conocidas en Windows NT, habían comprometido la seguridad de unas 40 compañías estadounidenses sustrayendo de sus bases de datos en línea más de un millón de números de tarjetas. De ahí en adelante se produjeron un gran número de delitos similares. El más notorio lo protagonizó Albert González de finales de 2006 a principios de 2008; durante ese periodo, junto a dos compinches rusos, sustrajo de varias empresas norteamericanas entre 130 y 170 millones de números de tarjetas de clientes utilizando técnicas de inyección SQL. “La broma” le costó una pena de 20 años de prisión que sigue cumpliendo en la actualidad.
Lo verdaderamente preocupante es que este tipo de robos no solamente han sobrevivido hasta nuestros días sino que ahora son mucho más masivos y sofisticados que los de antaño. Lo podemos ver en el reciente robo a la cadena de supermercados Schnucks de 2,4 millones de datos de tarjetas en el que, a diferencia de los anteriores, se sustrajeron directamente de 69 establecimientos tras hackearles in situ los sistemas que procesan los pagos. Es algo increíble y de una magnitud que supera a casi todo lo sucedido hasta ahora.


TRES PIRATAS ROBAN MÁS DE 130 MILLONES DE NÚMEROS DE TARJETAS DE CRÉDITO.

NUEVA YORK, ESTADOS UNIDOS.- Tres piratas informáticos fueron acusados en Nueva Jersey de robar más de 130 millones de números de tarjetas de crédito y débito en el que la Fiscalía define como el mayor delito de robo de identidades jamás cometido en Estados Unidos.

Albert González, de 28 años y oriundo de Miami (Florida), fue acusado, junto con otras dos personas que no han sido identificadas, de perpetrar "el mayor delito de piratería informática y robo de identidades jamás procesado por el Departamento de Justicia de Estados Unidos" , informó la Fiscalía de Nueva Jersey en un comunicado.

González, conocido en internet como "segvec", "soupnazi" y "j4guar17" , utilizó, junto con otras dos personas que, según las autoridades estadounidenses, podrían residir en Rusia o cerca de ese país, "una sofisticada técnica" con la que se infiltraron en las redes informáticas de numerosas entidades financieras y comerciales para robar información de las tarjetas bancarias de sus usuarios.

Entre las redes a las que accedieron se encuentran la cadena de tiendas de abastos y estaciones de gasolina 7-Eleven, la compañía de gestión de pagos electrónicos Heartland Payment Systems y la cadena de supermercados Hannaford Brothers, además de dos empresas cuya identidad no ha sido desvelada.

La acusación asegura que los tres piratas informáticos, que iniciaron sus operaciones en octubre de 2006, enviaban la información que conseguían a servidores informáticos que operaban en Nueva Jersey y en el exterior de Estados Unidos.

"Los conspiradores utilizaron sofisticadas técnicas de ataque con las que borraban sus huellas y evitaban ser detectados por los programas antivirus que utilizaban sus víctimas" , añadió la acusación.

La Fiscalía explicó que González y sus dos cómplices identificaban grandes corporaciones, "normalmente a través de la lista Fortune 500" de las empresas más importantes, y estudiaban, por ejemplo, el tipo de sistema de pago mediante tarjeta bancaria con el que operaban en sus sucursales.

"Una vez que identificaban esos sistemas informáticos, se enviaba esa información a unos servidores que servirían como plataforma de los ataques informáticos" , explicó la dependencia, que aseguró que los acusados utilizaban unas técnicas conocidas como "inyección SQL" , con las que obtenían, además de otra información confidencial, los números de tarjeta de crédito y débito.

González, que se encuentra custodiado por las autoridades federales en Nueva York, se podría enfrentar a una pena de hasta 35 años de cárcel y a una multa de 1.25 millones de dólares.

En 2008, las fiscalías de Nueva York y Massachusetts ya acusaron a González de formar parte de varias operaciones de robo de datos de varias compañías estadounidenses.

Además, el acusado ya había sido detenido en 2003 en relación con un delito de fraude de cajeros automáticos y tarjetas de débito.


FRAUDE CIBERNÉTICO: MASTER CARD INTERNACIONAL

La empresa Master Card Internacional dio a conocer lo que podría ser uno de los casos de hackeo más grandes de toda la historia en EEUU y por la cifras informadas, pareciera que es lo mas grande, en la historia de las nuevas tecnologías de la información, me refiero a la obtención de 40 millones de números de tarjetas de crédito.

Master Card anunció esta semana que la falla en los sistemas de seguridad, ocurrió en la empresa CardSystems Solutions, de Atlanta, que procesa pagos a bancos y comerciantes. Al mismo tiempo indicó que cerca de 14 millones de tarjetas llevan su nombre y las otras el de distintos emisores, como Visa Internacional, American Express, por lo que hasta 22 millones de tarjetas Visa podrían verse afectadas.

Afortunadamente para los clientes de MasterCard, el pirata informático sólo accedió a los números de las mismas y no a otros datos como los dígitos de la Seguridad Social (equivalente al número de RUT nuestro) o la fecha de nacimiento de los clientes, datos usados frecuentemente por los usuarios que no asignan la importancia a la seguridad.

Según un informe publicado recientemente por la firma de Massachusetts Aite Group, EU es el país desarrollado con mayores tasas de robo de identidad. Según la compañía, el uso fraudulento de datos individuales es siete veces mayor en Estados Unidos que en Europa y Japón.

El robo de identidad ocupa, según la Comisión Federal de Comercio (FTC), el primer puesto en la lista de delitos contra los consumidores. Más de 10 millones de personas son víctimas anualmente de este tipo de fraude que cuesta a las empresas unos 50 mil millones de dólares anuales y a los consumidores unos 5 mil millones, según los datos más recientes de la FTC.

Robo de identidad, una epidemia:
El robo de identidad se ha convertido en una verdadera plaga, asociada a la expansión de la era digital. Según estadísticas de la Comisión Federal de Comercio de los Estados Unidos, sólo en ese país los delitos con datos robados de cuentas bancarias y tarjetas de crédito, afectaron en los últimos cinco años a 27 millones de personas.

Los especialistas que realizaron el estudio explicaron que, en la forma más común del robo de identidad (suplantación), el ladrón se hace pasar por la víctima para usar una tarjeta o una cuenta bancaria existente. Pero las variantes más perniciosas son otras: la primera, cuando el delincuente se hace emitir tarjetas o cuentas nuevas con el nombre de la víctima (es un fraude difícil de detectar y de solucionar porque suele permanecer sin detectar por largo tiempo); la segunda, cuando los piratas cibernéticos jaquean las redes y roban claves de acceso y números de tarjetas. La velocidad del delito es tal, que cuando los afectados logran descubrirlo suele ser demasiado tarde.

En Chile, todavía no existen estadísticas, salvo casos aislados que se han dado a conocer, tal como: Clonación de tarjetas de crédito de una cajera de un supermercado, clonación de tarjetas de debito en cajeros automáticos. Sin embargo, la Banca en general cuando ocurre un fraude o delito informático, antes de investigar devuelve la cifra afectada al cliente y después investiga, pero nunca entrega el valor total del fraude en pesos, al parecer, para proteger su imagen y no generar desconfianza en sus clientes. De hecho, recientemente algunos bancos han creado el seguro contra fraudes en el ciberespacio, el cual se puede obtener por una módica suma mensual, pero obviamente tiene un tope de dinero de cobertura.

En resumen, en Latinoamérica y como país no estamos preparados para enfrentar un hacker de la magnitud del ocurrido en Estados Unidos, sin embargo, estamos expuestos igual o peor que ellos, así que el Estado, los organismos reguladores, y superintendencias, entre otros deberían hacer más exigencias en materia de seguridad de la información, a los bancos e instituciones financieras y todos sus proveedores de tecnologías.


CAZA DEL MAYOR CIBERLADRON

Al principio no robaba por dinero, sino por desafíos a sí mismo, a su capacidad para piratear en la Red. El FBI le detuvo y él, para evitar el juicio, aceptó colaborar con el Gobierno de EE UU para perseguir grandes delitos informáticos. Pero la bola fue creciendo. Ya no podía parar. Montó una red de cómplices y se convirtió en el mayor ciberladrón de la historia de EE UU. Albert González y su banda de 'hackers' tuvieron acceso a 180 millones de cuentas de tarjetas de crédito. En 2008 fue detenido. El pasado marzo fue condenado a permanecer en prisión hasta 2025. Esta es la historia, paso a paso, de cómo actuaba y cómo cayó en la red.

Una noche de julio de 2003, cerca de la medianoche, un agente del departamento de policía de Nueva York que investigaba una serie de robos de coches en un distrito de Manhattan siguió a un hombre joven con aspecto sospechoso hasta un cajero situado a la entrada de un banco. El agente observó cómo el hombre sacaba una tarjeta de crédito de su bolsillo y retiraba cientos de dólares en efectivo. Después sacó otra tarjeta y realizó la misma operación. Y otra vez. Y una vez más. El tipo no estaba robando coches, pero el policía se imaginó que estaba robando algo.

El joven estaba en efecto realizando una operación de "retirada de efectivo", tal como más tarde admitiría. Había programado un montón de tarjetas de crédito sin datos con números de tarjetas robados y estaba sacando todo el dinero que podía de cada cuenta. Lo había hecho unos minutos antes de las 12 de la noche, hora límite diaria para retirar dinero y el momento en que el cajero puede dar el doble de dinero con otra retirada en efectivo unos minutos más tarde. El policía le preguntó su nombre y aunque el hombre tenía varios alias en Internet, le dio el suyo verdadero. "Albert González", contestó.

Albert González fue detenido y rápidamente conducido hasta la oficina del fiscal de Nueva Jersey en Newark, quien, junto con agentes del destacamento oficial de delitos informáticos del FBI, estaba investigando sin mucho éxito el fraude de tarjetas de crédito y débito en los cajeros automáticos de la zona. González fue interrogado y pronto se descubrió que era un tipo peculiar. No solamente poseía los datos de millones de cuentas de tarjetas almacenados en el ordenador de su apartamento en Nueva Jersey, sino que además tenía un truco para explicar online su experiencia como defraudador de tarjetas de crédito.

Tal como descubrirían los agentes del orden público, González era un prometedor intermediario de shadowcrew.com, un ciberbazar de programas piratas que se expandió a principios del año 2000 durante el boom del comercio en Internet. Shadowcrew tenía cientos de miembros en Estados Unidos, Europa y Asia. Según me explicó un fiscal federal, era "una especie de eBay, monster.com y MySpace, pero dedicada al delito informático".

Tras un par de interrogatorios, González aceptó ayudar al Gobierno y así evitar un proceso judicial. "Tenía 22 años y estaba asustado", me comentó más tarde. González se convirtió en el confidente de delitos informáticos más valioso que el Gobierno de EE UU haya tenido jamás. Su ayuda permitió a la policía acusar a más de una docena de miembros de Shadowcrew, por lo que los agentes asignados a González, empleados del FBI, le convencieron para que por su propia seguridad se trasladara a vivir a Miami, su ciudad natal. Después de prestar su ayuda en otra investigación, a principios de 2006 se convirtió en un confidente a sueldo del FBI en Miami. El hombre del FBI que mejor llegó a conocer a González, el agente Michael (apodo de su verdadero nombre), fue trasladado a Miami y trabajó con González en una serie de investigaciones en las que realizaron un trabajo tan extraordinario que la agencia le pidió que participara en seminarios y conferencias. "Parecía que estaba intentando hacer lo correcto", comentaba Michael.

Y sin embargo no era así. Durante los muchos años que trabajó para el Gobierno, González, su banda de hackers y otros seguidores tuvieron acceso aproximadamente a 180 millones de cuentas de tarjetas de pago que estaban guardadas en la base de datos de clientes de algunas de las empresas norteamericanas más conocidas.

En la sentencia dictada el pasado marzo en la que fue condenado a dos penas simultáneas de 20 años, la mayor sentencia jamás dictada a un norteamericano por un delito informático, el juez dijo: "Lo que me pareció terrible fue que usted engañó a la agencia del Gobierno con la que al mismo tiempo estaba colaborando, por lo que usted era un agente doble".

González compró su primer ordenador cuando tenía 12 años. A los 14 entró ilegalmente en los ordenadores de la NASA, con lo que consiguió que los agentes del FBI fueran a visitarle a su colegio en Miami. Pero González no se amilanó. Organizó un grupo de black hats -un tipo de hackers con tendencia a ir contra la autoridad- y consiguió cierta fama. Entonces abandonó sus estudios universitarios en la Universidad del Condado de Miami en el primer curso. Él mismo había aprendido, leyendo manuales de software, cómo atacar los ordenadores de los proveedores de servicios de Internet para conseguir banda ancha gratis. Se dio cuenta de que aún podía ir más lejos y obtuvo los nombres y claves de acceso de directores y ejecutivos.

El mejor amigo de González, Stephen Watt, que se encuentra en estos momentos en la cárcel cumpliendo una condena de dos años por descifrar un programa de software que permitió a González robar datos de tarjetas, describe a González como "poseedor de una cualidad al estilo de Sherlock Holmes, producto de su buena educación".

Fue en 2003, justo después de haber aceptado convertirse en confidente, cuando González ayudó al Departamento de Justicia y al FBI a preparar, en el transcurso de un año, una trampa ingeniosa para destapar Shadowcrew. González era el cerebro de la Operación Firewall. Gracias a él, el Gobierno consiguió "poseer", según la jerga de los hackers, Shadowcrew. Compradores secretos se infiltraron en la red y siguieron el rastro de sus usuarios por todo el mundo; con el tiempo, los funcionarios incluso consiguieron transferir el sitio a un servidor seguro controlado por el FBI. González convenció a los usuarios de Shadowcrew para que se comunicaran a través de una red privada virtual, un canal seguro que comunicaba a los ordenadores entre sí enviando mensajes codificados que él mismo introducía en el sitio. Esta red privada virtual tenía una característica especial: estaba intervenida por orden judicial.

González trabajó con los agentes durante varios meses. La mayoría de ellos le llamaban Albert. Otros le conocían como Soup, por el nombre que había dado a su antigua pantalla, Soupnazi. "Haber pasado tanto tiempo con un confidente que estaba profundamente metido en una trama de delito informático fue una experiencia totalmente nueva para nosotros", explica un fiscal del Departamento de Justicia. "Fue una experiencia de las que dejan huella".

El 26 de octubre de 2004, González fue trasladado a Washington, donde se estableció el centro de control de la Operación Firewall en las oficinas centrales del FBI. Consiguió sus objetivos en una sesión de chat. A las nueve de la noche, los agentes comenzaron a derribar puertas. Hacia la medianoche, 28 personas habían sido detenidas en ocho Estados norteamericanos y en seis países, la mayoría de ellas a escasos metros de sus ordenadores. Con el tiempo, otras 19 fueron acusadas. Según algunas informaciones, el Gobierno nunca antes había logrado llevar a cabo un caso tan importante y con tanto éxito contra el delito informático.

Un día después del asalto, los funcionarios del FBI pusieron en la página de inicio de Shadowcrew una fotografía de un matón jorobado, sin camisa, en la celda de una cárcel, con un tatuaje en el que se podía leer: "¡Póngase en contacto con su agente local del FBI de Estados Unidos… antes de que nosotros contactemos con usted!".

"La investigación resultó apasionante", me comentó un día González mientras hablábamos sobre Shadowcrew. "Desenmascararles, conocer sus identidades. Sin embargo, cuando pienso en ello, me parece que fue bastante fácil. Cuando alguien confía en uno, puedes bajar la guardia".

Sin embargo, "tenía mala conciencia por todo lo que había pasado". "A diferencia de otros confidentes, tuve un dilema moral", me confesó también. En otra ocasión, cuando estaba hablando sobre el tema, González me escribió una carta: "Me gustaría dejar una cosa bien clara… siempre he sido leal a la comunidad de los black hats".

Tras la Operación Firewall, González volvió a Miami a finales de 2004. Por entonces estaba investigando sobre la vulnerabilidad de las redes inalámbricas en las empresas. González estaba especialmente interesado en las posibilidades de una técnica conocida como wardriving. Los hackers, provistos de portátiles y antenas de radio de gran alcance, aparcan sus coches o furgonetas en los parkings de las grandes tiendas de ordenadores para detectar las redes wifi de las empresas más vulnerables.

González contactó de nuevo con Christopher Scott -un viejo amigo de una red social en Internet, EFnet, frecuentada por black hats-, que estaba dispuesto a hacer un trabajo especial. Scott comenzó a intercambiar datos comerciales de la autopista 1 de Miami para buscar objetivos wardriving. Sus experimentos en BJ's Wholesole Club en Miami y en DSW tuvieron éxito. Robó cerca de 400.000 cuentas de tarjetas del primero y un millón del segundo. Le explicó a González cómo lo había hecho y le pasó los números de tarjetas.

El verano siguiente, Scott aparcó su coche delante de una de las tiendas Marshall. Consiguió la ayuda de Jonathan James, un menor muy conocido entre los black hats de Miami por haber sido el primer joven norteamericano encarcelado por delitos informáticos. Scott pirateó la red wifi de Marshalls y, junto a James, comenzó a navegar dentro del sistema: capturaron nombres de usuario y claves de acceso, lo que permitió a González entrar en la red; atacaron los servidores de la central de Marshalls en Framingham, Massachusetts y en TJX, una filial de la empresa, y localizaron los servidores que alojaban las operaciones con antiguas tarjetas de las tiendas.

A finales de 2006, González, Scott y James tenían información de más de 40 millones de tarjetas. Utilizaron los mismos métodos para piratear los ordenadores de OfficeMax, Barnes & Noble, Target, Sports Authority y Boston Market, y probablemente de muchas otras empresas que nunca detectaron que sus equipos hubieran sido pirateados, o al menos no lo notificaron a las autoridades.

Al mismo tiempo que robaba datos de tarjetas bancarias, González participaba en una organización internacional. Tomó contacto con un ucranio, Maksym Yastremskiy, que le vendió un conjunto de números de tarjetas de consumidores de Estados Unidos, América del Sur, Europa y Asia, y compartió las ganancias con él. González contrató a otro amigo de EFnet, Jonathan Williams, para sacar dinero de todos los cajeros del país. Un amigo de Watt en Nueva York recogía los envíos de dinero en efectivo que Williams y Yastremskiy habían enviado. Entonces, el amigo de Watt enviaba el dinero a Miami o a un apartado de correos que James había creado con la colaboración de un intermediario. González creó sociedades ficticias en Europa. Para cobrar y lavar el dinero abrió una cuenta e-gold y cuentas WebMoney difícilmente controlables. Por último, contactó con dos hackers del este de Europa a quienes solamente conocía por los nombres que mostraban en su pantalla, Annex y Grig, y que estaban dispuestos a entrar en los procesadores de datos de las tarjetas de crédito americanas, el centro neurálgico de las ventas al por menor. "Muchas veces me he preguntado por qué hice todo esto", me dijo recientemente González desde la cárcel un día mientras hablábamos por teléfono. "Sobre todo lo hice por dinero. El dinero que ganaba en el FBI no era suficiente y yo lo necesitaba. Cuando me di cuenta, la bola de nieve ya se había formado y era difícil detenerla. Intenté dejarlo, pero no pude". Afirma que sus intenciones eran en parte buenas. Lo que realmente él quería era ayudar a Patrick Toey, un amigo íntimo y hacker que más tarde le ayudaría en otro trabajo.

A diferencia de González y de Watt, Toey, de 25 años, tuvo una educación complicada. Tras abandonar sus estudios, tuvo que ayudar a su madre, a su hermano pequeño y a su hermana pirateando ordenadores. González prestó su apartamento de Miami a Toey sin cobrarle ni un céntimo. La casa era de su propiedad, pero él prefería vivir en casa de sus padres. Dice que le encantaba cómo cocinaba su madre y jugar con su sobrino. Además, de esa forma tenía más facilidad para lavar el dinero.

A González le entusiasmaban también los retos que le proporcionaba el delito informático. No es un programador que destaque por su talento, sino por la forma especial que tiene para introducirse en los sistemas y en las cuentas. A menudo tengo la impresión de que para González el delito informático era como un recurso de apelación.

Pero lo cierto es que le gustaba robar. "La emoción siempre conseguía vencer cualquier sentimiento moral que pudiera sentir", me dijo. Y también le gustaba gastar. En parte, aunque no del todo, se puso a explicarme su plan en la operación "hazte rico o muere en el intento". No quiso decirme cuánto dinero había conseguido, pero está claro que está obteniendo beneficios de los millones de dólares que robó. Parte de ese dinero fue a parar a Toey, pero probablemente nada fue para Watt.

En la primavera de 2007, González estaba cansado de trabajar para el FBI. "Siempre llegaba tarde", según la opinión del agente Michael, que habló con otros agentes sobre la posibilidad de controlar a González. "No quería estar aquí". Además estaba cansado del wardriving. Buscaba nuevos desafíos.

González puso toda su atención en TJX, en parte porque almacenaban antiguas transacciones, pero se dio cuenta de que muchas de las tarjetas estaban caducadas. Necesitaba encontrar una manera de conseguir los números de tarjetas justo después de que los clientes las hubieran utilizado. Era posible. Consiguió averiguar cómo meterse en los terminales punto de venta de las tiendas y en los datáfonos de los supermercados, de las gasolineras, de los almacenes o de cualquier otro comercio donde se pudiera comprar algo.

González y Toey recorrieron las tiendas de Miami para ver las marcas de los terminales con los que trabajaban. González descargó manuales y esquemas de software. Antes de esto, Williams había visitado una tienda de Office Max cerca de Los Ángeles donde desenchufó un terminal y salió de la tienda con él. Algunos hackers que trabajaban con un contacto de González en Estonia atacaron los ordenadores de la central de Micro Systems en Maryland, el mayor fabricante de sistemas de puntos de venta, y robaron software y una lista con los nombres y claves de acceso de los empleados y se la enviaron a González.

Entonces, una vez que Toey le introdujo en el sistema, González ya no tuvo que rastrear en las bases de datos para conseguir información valiosa. Podía acceder directamente a los servidores donde llegaban los datos de las tarjetas recién utilizadas, milésimas de segundos antes de que la información fuera enviada al banco para su aprobación. Realizó esta operación en JC Penney, en las tiendas de ropa Wet Seal y en Hannaford Brothers, una cadena de tiendas de alimentación. Su contacto en Estonia utilizó la misma técnica en Dave & Buster's. "Cada vez que un comercio pasaba una tarjeta, los datos quedaban registrados en nuestros ficheros", explica Toey. "Nadie podía hacer nada".

Unos días antes de la Navidad de 2006, los abogados de TJX llamaron alarmados al Departamento de Justicia y a Stephen Heymann, ayudante del fiscal de Estados Unidos en Massachusetts. Una empresa de tarjetas de crédito había contactado con la compañía, ya que, al parecer, habían descubierto el robo de un gran número de tarjetas que se habían utilizado en Marshalls y en T. J. Maxx. TJX había examinado sus servidores en Framingham y lo que habían descubierto era una catástrofe. Creían que durante casi un año y medio, "los datos de aproximadamente la mitad de las transacciones realizadas con tarjetas en comercios de Estados Unidos, Puerto Rico y Canadá" habían sido robados. Fue el mayor robo de datos de tarjetas en la historia de Estados Unidos y no había ninguna prueba de ello.

En 2007, los abogados de Dave & Buster's llamaron al FBI. Esta empresa también había sufrido ataques, pero su caso era diferente. Los ladrones se las habían ingeniado para acceder al sistema de puntos de venta. En verano, Heymann y Kim Peretti, fiscal jefe de delitos informáticos del Departamento de Justicia, tenían sobre su mesa una gran cantidad de datos, montones de posibles pruebas y ningún rastro sobre a quién tenían que perseguir. Desesperados, necesitaban encontrar una pista como fuera.

Y les llegó de la mano de los viejos amigos de Peretti en el destacamento oficial de delitos informáticos del FBI. Resultó que, durante dos años, un agente secreto de la oficina de San Diego había estado comprando a Yastremskiy tarjetas de memoria. El agente viajó a Tailandia y a Dubái para encontrarse con el ucranio y en Dubái copió el disco duro del portátil de Yastremskiy sin que este se diera cuenta. Especialistas en informática del FBI peinaron la copia del disco duro y descubrieron que Yastremskiy guardaba meticulosamente los documentos. Desde hacía años, había salvado y catalogado todas las listas de sus clientes y los mensajes que había recibido. En los registros encontraron a un compañero de chat que parecía ser su mayor proveedor de datos de tarjetas robadas. Sin embargo, todo lo que pudieron conseguir de esta persona fue un número de registro de mensajería instantánea, pero ninguna información personal.

Yastremskiy fue detenido en julio de 2007 en un club nocturno en Turquía. El FBI consiguió de él una prueba muy útil. Su proveedor anónimo le había pedido que le consiguiera un pasaporte falso. Según le había comentado, uno de sus proveedores había sido detenido y quería ayudarle sacándolo de EE UU. El problema: no sabía dónde había sido detenido.

Así que los agentes llamaron a cada una de las comisarías de policía y del fiscal del distrito de todo el país en las que hubieran realizado una detención similar o estuvieran trabajando en un caso parecido. La investigación les condujo a una cárcel de Carolina del Norte donde se encontraba Williams. Había sido detenido llevando encima 200.000 dólares en efectivo. Los agentes del FBI conectaron un pendrive que Williams llevaba en el momento de su detención y encontraron un fichero que contenía una fotografía de González, un historial de crédito y la dirección de su hermana María en Miami. "El archivo era una medida de seguridad en caso de que González intentara contactar conmigo", me comentó Williams desde la cárcel el pasado mes de junio. Entonces, los funcionarios siguieron la pista de los paquetes que Williams había enviado al apartado de correos de Miami. Esto condujo al FBI hasta James. Registraron los archivos de la policía y descubrieron que en 2005 un oficial de policía le había detenido de madrugada en Palmetto Bay (Florida), junto a Scott, en el parking de una tienda.

El momento culminante llegó cuando los funcionarios del FBI finalmente consiguieron la información del número de registro de mensajería instantánea de quien estaba suministrando a Yastremskiy los datos de tarjetas bancarias. No había una dirección ni un nombre, pero sí una dirección de correo electrónico: soupnazi@efnet.ru. Era la prueba evidente para quien conociera a González.

Enseguida, la operación "hazte rico o muere en el intento" se puso en marcha. La policía registró los domicilios de Scott y de González. Los agentes detuvieron a Scott y se llevaron nueve ordenadores y 78 plantas de marihuana. En la casa de González encontraron varias drogas de diseño y a un medio dormido Toey. Este fue conducido a Boston para prestar declaración ante un jurado de acusación. Les dijo a Heymann y a Peretti dónde localizar las cuentas e-gold y WebMoney y los servidores que estaban alojados fuera del país. Gracias a estos servidores pudieron localizar a Watt, que había vuelto a su apartamento de Greenwich Village, donde se encontró a un grupo de policías esperándole. También registraron la casa de González, pero Albert no estaba allí.

Finalmente la policía le localizó el 7 de mayo de 2008 a las siete de la mañana en la suite del hotel National en Miami Beach. Junto a él había una mujer croata, dos portátiles y 22.000 dólares. Comenzó a hablar rápidamente. Meses después condujo a los agentes del FBI hasta un contenedor enterrado en el jardín de la casa de sus padres en el que había 1,2 millones de dólares. El abogado de González le aseguró que para el Gobierno era un caso que no tenía mucha consistencia. Las pruebas electrónicas a menudo no se sostienen, afirmó.

Esto fue antes de que los abogados de Heartland Payment Systems en Princeton (Nueva Jersey) hubieran llamado a Peretti a principios de enero de 2009. Heartland, una de las empresas más importantes del país de datáfonos, había sido atacada. Pronto González le confesó a Peretti que había ayudado a Annex y a Grig a entrar en Heartland a través de una técnica conocida como inyección SQL. Por entonces, en Heartland ya se habían dado cuenta de que algo no funcionaba bien. Este robo había sido demasiado importante: habían desprotegido los datos de 130 millones de transacciones. González fue acusado en Nueva Jersey, Nueva York y Massachusetts (donde había pruebas más contundentes del caso).

En la sentencia dictaminada en marzo, González fue declarado culpable de todos los cargos. Teniendo en cuenta el tiempo que pasó en prisión antes de la condena y el buen comportamiento, probablemente saldrá de la cárcel en 2025.

En mayo, Toey ingresó en prisión para cumplir una condena de cinco años, y Scott, una de siete. A Yastremskiy le cayeron 30 años en una cárcel de Turquía. Watt, que afirmó que nunca supo muy bien para qué quería utilizar González su software y no quiso dar información sobre González al jurado o al fiscal, ha sido condenado a dos años.

Según el fiscal general Eric Holder, TJX, Heartland y otras empresas víctimas de los ataques de González tuvieron que hacer frente a más de 400 millones de dólares en reembolsos y honorarios de abogados y forenses. Al menos 500 bancos se vieron afectados por el ataque a Heartland. En Estados Unidos, el fraude online continúa en auge, aunque las estadísticas muestran una caída importante en 2009 respecto a años anteriores, cuando González estaba en activo.

Tras la sentencia, González fue trasladado al Metropolitan Detention Center (MDC) en Brooklyn (anteriormente había estado en una prisión de Michigan). Situado entre un tramo de la autopista de Brooklyn a Queens y Gowanus Bay, el MDC es un sitio horrible incluso para ser un centro penitenciario. "Este lugar es terrible", dijo el agente Michael. "Pero ¿quiere que le diga una cosa? Cuando se juega con fuego, esto es lo que se consigue".

Incluso el propio González está impresionado por la poca sensibilidad que el Gobierno muestra por su confort. Dice que siempre imaginó que algún día iba a pasarle algo así, "pero nunca pensé que iba a estar tan mal".

  1   2


La base de datos está protegida por derechos de autor ©bazica.org 2016
enviar mensaje

    Página principal