Denis K, de nacionalidad ucraniana, ha vivido en España, al menos, desde 2013, cuando recluta a otros 2, un compatriota y un ruso, para iniciar la oleada de ciberatracos más importante que se haya hecho pública hasta el momento. Detenidos, a los 3 se les acusa de vaciar 50 bancos rusos, de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan, a una media de 1.500 euros por atraco.
Bitcoins
En España la organización atacó cajeros del centro de Madrid durante, al menos, el primer trimestre de 2017. Realizaron extracciones por 500 euros, con tarjetas asociadas a cuentas corrientes con saldos modificados fraudulentamente de bancos de Rusia y Kazajistán que, como el resto del dinero robado, convertían en criptomonedas, para facilitar el blanqueo de capitales.
Los beneficios en efectivo eran cambiados a bitcoins en casas de cambio de Rusia y Ucrania. Los bitcoins eran transferidos a cuentas del detenido, que llegó a acumular 15 bitcoins.
Gibraltar
Utilizaba plataformas financieras en Gibraltar y Reino Unido para cargar tarjetas prepago, con esta criptomoneda que podía utilizar en España, para comprar todo tipo de bienes y servicios, incluidos vehículos y viviendas.
Patrimonio millonario
En el registro realizado en el domicilio del detenido se han intervenido equipos informáticos, joyas valoradas en 500 euros, documentación y 2 vehículos de alta gama. Además, se han bloqueado cuentas bancarias e incautado 2 viviendas valoradas en cerca de 1 de euros.
Denis K
Con Denis K han dado los agentes de la Policía Nacional, en una investigación coordinada por EUROPOL y la Fiscalía Especializada de Criminalidad Informática, a través de una investigación iniciada a principios de 2015, especialmente compleja, al conjugar técnicas de investigación tradicionales contra el crimen organizado, con novedosos métodos para buscar infraestructuras cibernéticas y el uso de criptomonedas, para lo que han contado con el apoyo operativo del FBI y de Interpol.
Desde 2013
Sin embargo, el trío operaba desde 2013, cuando logró acceder a prácticamente todos los bancos de Rusia. Tomaba el control de los sistemas informáticos, para vaciar los cajeros de forma remota, modificar cuentas destinatarias en transferencias de alto valor o alterar los saldos de cuentas controladas por ellos.
Infectados
Infectaban los ordenadores de empleados del banco con un software malicioso, para escalar privilegios dentro del sistema comprometido y moverse lateralmente a otros dispositivos de la red interna bancaria, hasta que tomaban el control de sistemas críticos.
Apoyos criminales
A pesar del elevadísimo nivel técnico de los tres, los ciberdelincuentes necesitaban el apoyo de otros grupos criminales, para coordinar el trabajo de las “mulas” encargadas de las sacar el dinero en efectivo de los cajeros que atacaban en diferentes países. Hasta 2015, fue la mafia rusa la encargada de este cometido y, a partir de 2016, lo hizo la mafia moldava.
Desde mediados del año 2017, la organización se centró en el desarrollo de una nueva herramienta indetectable, que tenía mayores capacidades y sofisticación.
Nueva versión
Cuando tuvieron disponible una versión, probaron su efectividad para penetrar en los sistemas bancarios de todo el mundo (incluidas entidades españolas), con la intención de emplearlos en ciberatracos de forma inminente. Los investigadores tienen una muestra de este nuevo software, oculto en los dispositivos informáticos intervenidos al detenido.
Zoido
El ministro del Interior, Juan Ignacio Zoido, ha destacado la importancia de la operación policial, por la transcendencia internacional del cibercriminal detenido. “Estamos ante una de las operaciones más importantes de la Unidad Central de Ciberdelincuencia de la Policía Nacional”, ha subrayado.