Després d'una llarga investigació policial coordinada per diversos països, la identitat d'un dels criminals més perillosos del ciberespai ha estat finalment revelada. Es tracta de Vitalii Kovalev, un hacker rus de 36 anys que, segons les autoritats, és responsable de la creació d'alguns dels virus i amenaces cibernètiques més destacades dels últims anys.
La informació disponible a la xarxa sobre Kovalev és pràcticament inexistent. En una breu fitxa a la pàgina web del Servei Secret dels Estats Units, se l'associa a casos de frau bancari i extorsió financera a clients d'institucions nord-americanes. Activitats, aparentment, planificades i dirigides per ell mateix. OpenSanctions, un portal que recull dades sobre persones i institucions implicades en casos de corrupció i delictes financers, considera el cibercriminal "persona d'interès", i informa de l'ordre de detenció que la Interpol va emetre al seu nom. Segons la policia dels EUA i d'Alemanya, viu d'incògnit a Moscou, on té registrades diverses empreses al seu nom gràcies a les quals acumula una fortuna en criptomonedes de quasi 1.000 milions de dòlars.
Una organització criminal que es feia passar per empresa tecnològica
La còmoda opacitat en què vivia Kovalev ha arribat al seu final gràcies a una investigació que ha implicat esforços dels EUA, Regne Unit, Canadà, Dinamarca, Països Baixos, Alemanya i França. L'operació, batejada com a Endgame, ha permès associar a Kovalev i a 35 cibercriminals del seu grup amb Qakbot i Danabot, dues de les amenaces cibernètiques més importants del món. Un informe publicat l'any 2022 per l'empresa de ciberseguretat Check Point Research, i que recupera ara El País, estableix que Conti, l'organització on actuava Kovalev i la resta de hackers acusats, es presentava públicament com una empresa tecnològica. Disposava d'assalariats, un departament de recursos humans i, fins i tot, bonificacions per la feina ben feta. A través d'anuncis a la deep web —la part fosca i de difícil accés d'internet, on es duen a terme activitats il·legals de tota mena—, reclutaven programadors, enginyers i criptògrafs. Gràcies a l'opacitat de tot el procés, moltes d'aquestes persones acabaven treballant per Conti sense saber que es tractava d'una organització criminal.
L'eina preferida de Kovalev per dur a terme les seves extorsions era el ransomware, una de les amenaces més comunes a la xarxa. La víctima rep un correu que, teòricament, envia el seu banc, amb un enllaç de descàrrega inclòs. Si l'usuari cau al parany i instal·la el programa, l'ordinador queda segrestat i comença a executar processos sense el seu permís. En qüestió de minuts, els atacants, a milers de quilòmetres de distància, es fan amb la informació relativa a contrasenyes i dades bancàries. Només entre 2009 i 2010, Kovalev va obtenir gairebé un milió de dòlars gràcies a aquest mètode. I, segons una investigació de l'Oficina Federal de Recerca Criminal (BKA) d'Alemanya, Trickbot —una altra organització associada al rus—, formada per més de 100 persones que treballaven en la infecció de milers de sistemes informàtics, hauria aconseguit fer-se amb quasi 7 milions d'euros només al país germànic. El grup, actiu des de 2016, robava dades delicades i demanava posteriorment rescats, que s'havien de pagar, sense excepció, en criptomonedes.
Ciberatacs al servei del Kremlin
La poderosa infraestructura cibernètica de Kovalev no ha estat utilitzada només per capturar dades bancàries d'usuaris, sinó que també s'ha fet servir amb fins polítics. Segons el Servei Secret dels EUA, Trickbot col·labora estretament amb els serveis d'intel·ligència russos, i gran part dels seus atacs estan alineats amb els objectius del Kremlin en política exterior. En més d'una ocasió, les organitzacions de Kovalev han dut a terme atacs contra el Ministeri de Defensa ucraïnès, especialment durant els dies posteriors a l'inici de la invasió russa. També se l'atribueix la participació en accions contra institucions governamentals i financeres dels EUA i Europa.
En paraules del Departament del Tresor dels EUA, "Rússia és un refugi per a ciberdelinqüents, on grups com Trickbot perpetren lliurement activitats cibernètiques malicioses contra els EUA, el Regne Unit i els seus aliats i socis". Moltes d'aquestes activitats, diuen, han estat dirigides contra infraestructures crítiques, inclosos hospitals i instal·lacions mèdiques durant la pandèmia de COVID-19. Aparentment, durant el punt àlgid de la pandèmia, Trickbot va llançar una onada d'atacs de ransomware contra hospitals nord-americans i, posteriorment, van demanar rescats per sumes de 10 milions de dòlars. Segons diversos experts, les operacions de Kovalev han fet créixer i millorar qualitativament l'activitat maliciosa a internet. Els responsables d'Endgame, l'operatiu policial que ha permès revelar la seva participació en els crims cibernètics, asseguren haver tombat 300 servidors i 650 dominis, a més d'intervenir criptoactius per valor de tres milions d'euros.
Moscou garanteix la impunitat
Gran part dels individus implicats en la trama de Kovalev es trobaven en procés de recerca i captura per la justícia internacional, mentre que d'altres eren perseguits pel Departament de Justícia dels EUA. El fet que resideixin a Rússia, país que no col·labora amb les principals organitzacions transnacionals que persegueixen aquests crims, fa de la captura d'aquests cibercriminals una tasca del tot complexa. Moscou els acull i protegeix i, a la vegada, es beneficia de les activitats que duen a terme a favor dels interessos del Kremlin. L'operatiu que ha destapat la identitat de Kovalev i els seus acòlits representa un pas important en la limitació i persecució d'aquest tipus d'activitats. Com a mínim, ara no podran sortir de Rússia sense ser detinguts. Tanmateix, com acostuma a passar en aquests casos, el hacker rus es refugiarà en l'empara que li proporciona el seu país mentre es continua enriquint gràcies a les seves operacions cibernètiques clandestines.