Los rusos que hackearon a 500 millones de usuarios de Yahoo

Alexsey Belan, un escurridizo y habilidoso hombre de cómputo, está detrás de todo y enciende una nueva puja en la histórica división entre Rusia y Estados Unidos.

Bloomberg

Era junio de 2013 y las autoridades estadounidenses pensaban que finalmente atraparían a un delincuente escurridizo: el hacker ruso Alexsey Belan, acusado en Nevada y California de realizar intrusiones informáticas contra tres empresas de comercio electrónico de Estados Unidos y que había sido arrestado en Europa.

Pero Belan escapó a Rusia, donde las acusaciones de Estados Unidos no afectarían sus perspectivas laborales. En lugar de entregar a Belan a la justicia estadounidense, el Servicio de Seguridad Federal de Rusia (FSB) lo contrató para ayudar a la agencia a hackear compañías de internet estadounidenses, incluyendo Yahoo! Inc.

La conspiración, presentada en una acusación en una Corte Federal en San Francisco, revela el funcionamiento interno del régimen estatal de ciberespionaje de Rusia, implicado en los presuntos intentos de influir en las elecciones estadounidenses del año pasado. El sistema capitaliza cada vez más un vasto y talentoso grupo de ciberdelincuentes de habla rusa.

“Creemos que sus capacidades técnicas no están a la altura y están usando hackers criminales”, dijo Jack Bennett, agente especial de la División de San Francisco de la Oficina Federal de Investigaciones (FBI), en una conferencia de prensa el pasado miércoles.

Además de Belan, Estados Unidos acusó a dos funcionarios del FSB, Dmitry Dokuchaev e Igor Sushchin, y un segundo hacker, Karim Baratov, un kazajo que vive en Canadá. Edward McAndrew, ex fiscal federal de cibercrimen y ahora copresidente del grupo de privacidad y seguridad de datos del bufete de abogados Ballard Spahr LLP, dijo que esta es la primera vez que esto sucede en Estados Unidos, que nunca antes ha acusado a nadie del FSB de ciberdelitos.

“Obviamente esto llega en un momento muy intenso en nuestra relación con Rusia y sus actividades cibernéticas”, dijo. “También proporciona al público una nueva visión de cómo los actores del estado-nación están reclutando cibercriminales de todo tipo, desde grupos hasta individuos, para participar en sofisticadas campañas cibernéticas”.

La acusación ofrece mucha información nueva sobre el ciberataque a Yahoo en 2014 que afectó a 500 millones de cuentas. Yahoo reveló la intrusión el año pasado y acusó a un “actor patrocinado por el Estado”. La intrusión, junto con un segundo ataque anterior que expuso a un número aún mayor de cuentas, ha complicado la adquisición planeada de Yahoo por Verizon Communications Inc.

“La acusación muestra inequívocamente que los ataques a Yahoo fueron patrocinados por el Estado”, dijo en un comunicado Chris Madsen, asesor general adjunto de seguridad y cumplimiento de la ley de Yahoo. “Estamos comprometidos con proteger la seguridad de nuestros usuarios y plataformas y seguiremos colaborando con la policía para combatir el cibercrimen”.

Belan

Belan, también conocido como “Magg”, nació en Letonia pero tiene pasaporte ruso, según el FBI. El FSB reclutó a Belan en parte proporcionándole información que lo ayudó a evitar ser detectado por la policía, según la acusación. Rápidamente pagó por la ayuda recibida con acceso a la red informática de Yahoo. A principios de 2014 ya los había ayudado a entrar al sistema de Yahoo y desde allí al centro de control interno de las cuentas de correo de Yahoo, la herramienta que la empresa utilizaba para administrar cambios en las cuentas, como nuevas contraseñas.

Eso les permitió ver cosas como cuentas de correo electrónico de recuperación, indicando empresas e instituciones específicas de interés para el FSB, lo que les ayudó a detectar cuáles de las cuentas robadas podrían ser de mayor utilidad. En noviembre o diciembre de ese año, según la acusación, copió y exportó un respaldo de la base de datos de usuarios de Yahoo.

Los hackers luego usaron la base de datos para falsificar credenciales, engañando a los servidores de Yahoo para que los reconocieran como un titular de cuenta que había permanecido conectado. La maniobra, llamada cookie minting, les permitió leer el contenido de unas 6.500 cuentas de Yahoo sin siquiera necesitar una contraseña o un nombre de usuario.

Prueba de lo difícil que puede ser detectar una intrusión, el ataque tuvo lugar desde 2015 hasta finales de 2016. Muchos de los objetivos eran rusos: periodistas, empleados de una empresa rusa de seguridad cibernética y funcionarios, incluso alguien descrito como experto en entrenamiento físico que trabaja para el Ministerio de Deportes. (El Departamento de Justicia no reveló los nombres de víctimas, sólo proporcionó descripciones generales).

La lista también incluyó a 14 empleados de una firma suiza de banca bitcoin, un funcionario de juegos de azar de Nevada, un alto ejecutivo de una importante aerolínea estadounidense, un directivo en Shanghái de un empresa de capital privado estadounidense y el director de tecnología de una empresa de transporte francesa.