Después de una larga investigación policial coordinada por varios países, la identidad de uno de los criminales más peligrosos del ciberespacio ha sido finalmente revelada. Se trata de Vitalii Kovalev, un hacker ruso de 36 años que, según las autoridades, es responsable de la creación de algunos de los virus y amenazas cibernéticas más destacadas de los últimos años.
La información disponible en la red sobre Kovalev es prácticamente inexistente. En una breve ficha en la página web del Servicio Secreto de los Estados Unidos, se le asocia con casos de fraude bancario y extorsión financiera a clientes de instituciones norteamericanas. Actividades, aparentemente, planificadas y dirigidas por él mismo. OpenSanctions, un portal que recoge datos sobre personas e instituciones implicadas en casos de corrupción y delitos financieros, considera a este cibercriminal "persona de interés", e informa de la orden de detención que la INTERPOL emitió a su nombre. Según la policía de EE.UU. y Alemania, vive de incógnito en Moscú, donde tiene registradas varias empresas a su nombre gracias a las cuales acumula una fortuna en criptomonedas de casi 1.000 millones de dólares.
Una organización criminal que se hacía pasar por empresa tecnológica
La cómoda opacidad en que vivía Kovalev ha llegado a su fin gracias a una investigación que ha implicado esfuerzos de EE.UU., Reino Unido, Canadá, Dinamarca, Países Bajos, Alemania y Francia. La operación, bautizada como Endgame, ha permitido asociar a Kovalev y a 35 cibercriminales de su grupo con Qakbot y Danabot, dos de las amenazas cibernéticas más importantes del mundo. Un informe publicado el año 2022 por la empresa de ciberseguridad Check Point Research, y que recupera ahora El País, establece que Conti, la organización donde actuaba Kovalev y el resto de hackers acusados, se presentaba públicamente como una empresa tecnológica. Disponía de asalariados, un departamento de recursos humanos e, incluso, bonificaciones por el trabajo bien hecho. A través de anuncios en la deep web —la parte oscura y de difícil acceso de internet, donde se llevan a cabo actividades ilegales de todo tipo—, reclutaban programadores, ingenieros y criptógrafos. Gracias a la opacidad de todo el proceso, muchas de estas personas acababan trabajando para Conti sin saber que se trataba de una organización criminal.
La herramienta preferida de Kovalev para llevar a cabo sus extorsiones era el ransomware, una de las amenazas más comunes en la red. La víctima recibe un correo que, teóricamente, envía su banco, con un enlace de descarga incluido. Si el usuario muerde el anzuelo e instala el programa, el ordenador queda secuestrado y empieza a ejecutar procesos sin su permiso. En cuestión de minutos, los atacantes, a miles de kilómetros de distancia, se hacen con la información relativa a contraseñas y datos bancarios. Solo entre 2009 y 2010, Kovalev obtuvo casi un millón de dólares gracias a este método. Y, según una investigación de la Oficina Federal de Investigación Criminal (BKA) de Alemania, Trickbot —otra organización asociada al ruso—, formada por más de 100 personas que trabajaban en la infección de miles de sistemas informáticos, habría conseguido hacerse con casi 7 millones de euros solo en el país germánico. El grupo, activo desde 2016, robaba datos delicados y pedía posteriormente rescates, que se tenían que pagar, sin excepción, en criptomonedas.
Ciberataques al servicio del Kremlin
La poderosa infraestructura cibernética de Kovalev no ha sido utilizada solo para capturar datos bancarios de usuarios, sino que también se ha utilizado con fines políticos. Según el Servicio Secreto de los EE.UU., Trickbot colabora estrechamente con los servicios de inteligencia rusos, y gran parte de sus ataques están alineados con los objetivos del Kremlin en política exterior. En más de una ocasión, las organizaciones de Kovalev han llevado a cabo ataques contra el Ministerio de Defensa ucraniano, especialmente durante los días posteriores al inicio de la invasión rusa. También se le atribuye la participación en acciones contra instituciones gubernamentales y financieras de EE.UU. y Europa.
En palabras del Departamento del Tesoro de EE.UU., "Rusia es un refugio para ciberdelincuentes, donde grupos como Trickbot perpetran libremente actividades cibernéticas maliciosas contra EE.UU., el Reino Unido y sus aliados y socios". Muchas de estas actividades, dicen, han estado dirigidas contra infraestructuras críticas, incluidos hospitales e instalaciones médicas durante la pandemia de COVID-19. Aparentemente, durante el punto álgido de la pandemia, Trickbot lanzó una oleada de ataques de ransomware contra hospitales norteamericanos y, posteriormente, pidieron rescates por sumas de 10 millones de dólares. Según varios expertos, las operaciones de Kovalev han hecho crecer y mejorar cualitativamente la actividad maliciosa en internet. Los responsables de Endgame, el operativo policial que ha permitido revelar su participación en los cibercrímenes, aseguran haber tumbado 300 servidores y 650 dominios, además de intervenir criptoactivos por valor de tres millones de euros.
Moscú garantiza la impunidad
Gran parte de los individuos implicados en la trama de Kovalev se encontraban en proceso de búsqueda y captura por la justicia internacional, mientras que otros eran perseguidos por el Departamento de Justicia de EE.UU. El hecho de que residan en Rusia, país que no colabora con las principales organizaciones transnacionales que persiguen estos crímenes, hace de la captura de estos cibercriminales una tarea compleja. Moscú los acoge y protege y, a la vez, se beneficia de las actividades que llevan a cabo a favor de los intereses del Kremlin. El operativo que ha destapado la identidad de Kovalev y sus acólitos representa un paso importante en la limitación y persecución de este tipo de actividades. Como mínimo, ahora no podrán salir de Rusia sin ser detenidos. Sin embargo, como acostumbra a pasar en estos casos, el hacker ruso se refugiará en el amparo que le proporciona su país mientras se sigue enriqueciendo gracias a sus operaciones cibernéticas clandestinas.