Los organismos mundiales encargados de hacer cumplir la ley desmantelan los servicios de ciberdelincuencia Cracked and Nulled

El 9 de enero de 2024, las fuerzas del orden internacionales anunciaron la desarticulación y desmantelamiento de los mercados de ciberdelincuentes Cracked y Nulled como parte de la Operación Talent, un esfuerzo coordinado en el que participan Department of Justice de Estados Unidos, Europol y agencias de Italia, Australia, Francia, Alemania, Grecia, Italia, Rumanía y España. 

Estas plataformas, que habían funcionado durante años, facilitaban la venta ilegal de credenciales de inicio de sesión robadas, software crackeado, herramientas de pirateo y datos financieros, atrayendo a millones de ciberdelincuentes de todo el mundo. Sólo Cracked tenía más de cuatro millones de usuarios registrados, lo que la convertía en uno de los mayores mercados ilícitos de productos relacionados con la ciberdelincuencia. Las fuerzas del orden se centraron en atacar no sólo las plataformas en sí, sino también la infraestructura subyacente, los administradores y las redes financieras que las mantenían operativas.

‍

"Las fuerzas del orden alemanas y nuestros socios seguiremos trabajando para proteger a las personas contra los ciberdelincuentes", declaró a TRM Jana Ringwald, fiscal superior de ciberdelincuencia de la Fiscalía General de Fráncfort (Alemania). "Esta investigación es un ejemplo de cómo las fuerzas del orden de todo el mundo pueden colaborar; las autoridades alemanas, estadounidenses y de Europol desempeñaron papeles importantes en el desmantelamiento, pero este puede no haber sido posible sin la ayuda de las autoridades italianas y las contribuciones de España, Grecia y Rumanía también."

Las fuerzas de seguridad se incautaron de varios dominios vinculados a Cracked y Nulled, cortando así el acceso a los mercados. Estos dominios albergaban grandes cantidades de datos robados y herramientas de piratería ilícita, lo que los convertía en nodos clave del ecosistema ciberdelictivo mundial. Las fuerzas del orden utilizaron órdenes judiciales y mandamientos judiciales internacionales para obligar a los proveedores de alojamiento a retirar estos sitios, impidiendo así que los ciberdelincuentes prosiguieran sus actividades. 

Algunos de los servidores incautados contenían historiales detallados de transacciones, registros de usuarios y registros de comunicaciones cifradas, lo que proporcionó a las autoridades pruebas fundamentales para las investigaciones en curso. La operación también incluyó registros físicos e investigaciones forenses digitales para obtener más información sobre los administradores de los mercados y sus operaciones financieras.

Cracked y Nulled operaban de forma similar a otros servicios de ciberdelincuencia. Los servicios de ciberdelincuencia, como Cracked y Nulled, operan a través de redes y foros clandestinos, ofreciendo herramientas y conocimientos ilícitos a clientes de pago, a menudo a través de un modelo de ciberdelincuencia como servicio (CaaS). Estos servicios permiten incluso a personas poco cualificadas lanzar sofisticados ciberataques.

Estos servicios se comercializan en foros de ciberdelincuencia, mercados de la darknet y aplicaciones de mensajería cifrada como Telegram y Discord, y las transacciones se realizan principalmente en criptomoneda. A diferencia de los mercados de la darknet, que se centran en la venta de bienes físicos y digitales, los servicios de ciberdelincuencia proporcionan capacidades de ataque y herramientas de fraude, a menudo por suscripción o mediante acuerdos de reparto de beneficios. Las fuerzas de seguridad, incluidos FBI y Europol, se centran cada vez más en estas operaciones mediante infiltraciones encubiertas, análisis de blockchain e incautaciones de infraestructuras, pero la economía de la ciberdelincuencia sigue evolucionando y los delincuentes se adaptan descentralizando las operaciones y cambiando a tecnologías más difíciles de rastrear.

Uno de los desmantelamientos recientes más importantes en el ecosistema de la ciberdelincuencia fue la operación FBI contra Qakbot, una sofisticada red de bots que llevaba activa desde 2008 y era utilizada por varios grupos de ransomware , como Conti, ProLock y REvil. Qakbot infectó cientos de miles de ordenadores en todo el mundo, actuando como un intermediario de acceso inicial que proporcionó a los ciberdelincuentes un punto de apoyo en las redes comprometidas, permitiendo nuevos despliegues de ransomware y fraudes financieros. 

En agosto de 2023, las fuerzas del orden estadounidenses y sus socios internacionales lograron infiltrarse en la infraestructura de Qakbot, redirigiendo los ordenadores infectados con malware a servidores FBI y desmantelando la red de bots. Como parte de la operación, las autoridades se incautaron de aproximadamente 8,6 millones de dólares estadounidenses en ingresos ilícitos procedentes de criptomonedas, interrumpiendo las operaciones financieras de grupos de ciberdelincuentes que dependían de los servicios de Qakbot. Este desmantelamiento demostró la creciente eficacia de la combinación de técnicas tradicionales de aplicación de la ley con Inteligencia en Blockchain y análisis forense digital, demostrando que incluso las redes de ciberdelincuencia más arraigadas son vulnerables a los esfuerzos globales coordinados de aplicación de la ley.

Para más información, lea el Caso práctico en profundidad de TRM con el FBI sobre el desmantelamiento de Qakbot aquí.

Además de los desmantelamientos de infraestructuras, las fuerzas de seguridad se centraron en las redes financieras que sustentaban Cracked y Nulled, congelando fondos ilícitos y rastreando transacciones tanto a través de los sistemas bancarios tradicionales como de los canales de criptomoneda. Los investigadores utilizaron herramientas Inteligencia en Blockchain para seguir el flujo de activos digitales, identificando las carteras en las que los ciberdelincuentes almacenaban los beneficios de las transacciones ilícitas. Las autoridades también trabajaron con procesadores de pagos e instituciones financieras para incautar fondos y bloquear futuras transacciones vinculadas a estos mercados. Esta estrategia paralizó efectivamente la capacidad de Cracked y Nulled para operar, garantizando que incluso si los sitios eran reubicados, carecerían de los recursos financieros para reconstruirse. Europol y sus socios llevaron a cabo simultáneamente detenciones, interrogatorios y análisis forenses para identificar y detener a las figuras clave implicadas en el funcionamiento de las plataformas.

El último Informe sobre Criptodelincuencia de TRM destaca que, aunque el porcentaje global del volumen ilícito de criptomonedas se mantiene por debajo del 1% del total de transacciones, los mercados de la darknet, los actores del ransomware y los sindicatos de ciberdelincuentes siguen evolucionando. El creciente uso de monedas privadas como Monero y la adopción de técnicas de blanqueo a través de la cadena presentan nuevos retos para los investigadores. La incautación de Cracked and Nulled supone una importante victoria en la lucha contra la ciberdelincuencia financiera, ya que demuestra la creciente capacidad de las fuerzas de seguridad internacionales para rastrear, desarticular y desmantelar sofisticadas redes de ciberdelincuentes mediante la coordinación de acciones de aplicación de la ley a escala mundial, el uso de técnicas forenses digitales avanzadas y la interrupción de los recursos financieros que sustentan estas operaciones.