Cómo IRS utilizó Inteligencia en Blockchain para acabar con el marketplace xDedic

‍

El Servicio de Impuestos Internos, Investigación Criminal (IRS) es responsable de investigar las infracciones penales del Código de Impuestos Internos de EE.UU. y los delitos financieros relacionados. Se especializan en "seguir el dinero" relacionado con muchas infracciones de la legislación federal, incluido el blanqueo de capitales, la ciberdelincuencia y los delitos fiscales. 

Desde la fundación del grupo en 2018, IRS ha trabajado en la mayoría de los casos ilícitos de criptomonedas más grandes del mundo, lo que ha resultado en las mayores incautaciones de activos digitales hasta la fecha. IRS sigue desempeñando un papel fundamental en la lucha contra la delincuencia fiscal tanto a nivel nacional dentro de los Estados Unidos, como a nivel mundial en colaboración con socios internacionales. 

El auge del mercado xDedic

xDedic Marketplace saltó a la fama en 2014. Este mercado de la darknet vendía credenciales de acceso remoto comprometidas a sistemas informáticos de todo el mundo, lo que permitía a los ciberdelincuentes causar todo tipo de estragos en la vida de particulares y organizaciones, como fraudes financieros, ransomware y extorsiones.

"En xDedic Marketplace figuraban más de 700.000 credenciales de servidores de todo el mundo, incluidas 150.000 en Estados Unidos y 8.000 en Florida", declaró Justin Allen, agente especial de IRS. "Una de las mayores víctimas fueron las firmas de CPA en Estados Unidos". 

Allen explicó que los ciberdelincuentes utilizaban credenciales robadas de xDedic Marketplace para acceder a los datos de los clientes de las empresas de auditoría, robar la información fiscal de los clientes y utilizarla para presentar declaraciones de la renta falsas al año siguiente, generando grandes reembolsos fraudulentos que los ciberdelincuentes se embolsaban.

Cómo la cooperación internacional llevó a la desaparición de xDedic

IRS tuvo conocimiento de la estafa de xDedic por primera vez en 2016, cuando una víctima de Tampa (Florida) alertó a las autoridades locales de sus datos y reembolsos robados. Allen y su equipo respondieron junto con las fuerzas de seguridad federales, examinaron los artefactos digitales comprometidos y determinaron que las credenciales -junto con las de cientos de miles de otras personas- se habían vendido en xDedic Marketplace.

Una vez que IRS y sus socios identificaron las direcciones de criptomoneda asociadas al mercado, utilizaron Inteligencia en Blockchain para desentrañar la red de direcciones asociadas y el proceso legal para identificar a los sujetos del mundo real. A continuación, fueron capaces de identificar la ubicación del servidor y trabajaron con socios internacionales para incautar los datos, lo que proporcionó aún más información sobre los administradores y vendedores que utilizaban el mercado.

Los investigadores también rastrearon los pagos encubiertos efectuados a cuentas de xDedic. A partir de ahí, revisaron las transacciones salientes para identificar los pagos a infraestructuras, proveedores y administradores. Estos pagos a proveedores y administradores no eran directos, sino que a menudo se realizaban a través de servicios no atribuidos o mezcladores. Así que los investigadores combinaron el análisis de blockchain y la inteligencia de código abierto para identificar a los actores de la amenaza. 

‍

‍

"Identificamos y acusamos a 19 personas, incluidos algunos de los administradores, vendedores y personas que utilizaban el sitio", explicó Allen. 

Allen y su equipo también trabajaron en estrecha colaboración con las autoridades policiales de Bélgica y Ucrania, la Europol, la Unidad Nacional de Delitos de Alta Tecnología de la Policía Nacional de los Países Bajos y la Bundeskriminalamt alemana. Con su apoyo, IRS pudo detener y extraditar a personas implicadas en estos delitos procedentes de cuatro países diferentes, incluido un sujeto extraditado que había utilizado el mercado xDedic para solicitar devoluciones de impuestos estadounidenses por un valor superior a 68 millones de dólares en un período de nueve meses.

Conexión de xDedic a otras criptomonedas

IRS y sus socios no solo cerraron el mercado xDedic Marketplace y arrestaron a varios administradores y vendedores, sino que la investigación también generó múltiples pistas basadas en las transacciones de criptomoneda de ciberdelincuentes relacionados. 

Por ejemplo, Allen señaló que la información del desmantelamiento de xDedic ayudó a identificar al administrador del SSNDOB Marketplace, que enumeraba y vendía los números de la seguridad social de más de 24 millones de personas en Estados Unidos. Gracias a la persistencia IRS y sus socios, también pudieron desmantelar el SSNDOB Marketplace y extraditar a Hungría a uno de los administradores del sitio.

Además de vender credenciales de acceso remoto comprometidas, xDedic también vendía información personal identificable (PII) de ciudadanos estadounidenses. El análisis forense reveló que esto se hizo a través de una API con el mercado SSNDOB. El análisis de Blockchain para pagos encubiertos adicionales realizados a SSNDOB reveló transacciones con procesadores de pagos bitcoin e intercambios centralizados. Los investigadores pudieron obtener registros de esos lugares que condujeron a la identificación de los administradores.

La incautación de xDedic fue un gran éxito para las investigaciones de criptocrimen en IRS. Este tipo de resultados -marcados por una fuerte colaboración internacional e impulsados por Inteligencia en Blockchainun testimonio del importante trabajo de los agentes e investigadores criminales que combaten el criptocrimen a escala global, y una de las muchas razones por las que TRM se enorgullece de asociarse con IRS.