Investigaciones criptográficas imprescindibles de 2023: Global

Hemos viajado por todo el mundo a lo largo de nuestra serie "Investigaciones criptográficas imprescindibles". Hemos aprendido que las fuerzas del orden, en todas las regiones del mundo, están centradas en impedir que los malos actores se aprovechen de las nuevas tecnologías. Pero, ¿cuál es la lección más importante? Las grandes investigaciones requieren una gran cooperación transfronteriza y entre los sectores público y privado.

Nuestra última entrega de la serie examina algunas de las principales investigaciones mundiales de 2023 que personifican la cooperación internacional en materia de aplicación de la ley.

1. Las autoridades europeas y estadounidenses cierran un servicio de mezcla utilizado por agentes ilícitos para blanquear miles de millones

En marzo de 2023, las autoridades alemanas y estadounidenses, con el apoyo de Europol, cerraron ChipMixer, un servicio de mezcla de criptomonedas que facilitaba el blanqueo internacional de dinero. 

Durante la operación, las autoridades alemanas se incautaron de cuatro servidores y casi 44,2 millones de dólares en criptomoneda. Las autoridades estadounidenses también presentaron varios cargos contra el operador de ChipMixer, el ciudadano vietnamita Minh Quốc Nguyễn, y se incautaron de dos dominios que dirigían a los usuarios a ChipMixer. Las autoridades belgas, polacas y suizas también apoyaron el caso a través del intercambio de información facilitado por Europol. Se alega que Nguyễn creó ChipMixer en agosto de 2017, adquiriendo nombres de dominio y servicios de alojamiento mediante usurpación de identidad, seudónimos y proveedores de correo electrónico anónimos. 

Los mezcladores permiten a los usuarios ocultar el origen de sus fondos mezclando criptomonedas pertenecientes a varios usuarios. Esto puede ser utilizado por usuarios legales para mejorar la seguridad y privacidad de sus transacciones, así como por actores ilícitos que buscan despistar a las fuerzas de seguridad.

En el caso de ChipMixer, las investigaciones de las autoridades sugieren que ChipMixer podría haber facilitado el blanqueo de Bitcoins por valor de hasta 3.000 millones de dólares. TRM Labsconfirma que ChipMixer fue ampliamente utilizado por importantes sindicatos de ransomware . "ChipMixer fue utilizado por algunos de los grupos más conocidos y sofisticados de la historia del ransomware. En particular, la banda Royal ransomware , que ha atacado a más de 350 organizaciones en todo el mundo con las demandas de rescate por un total de más de 275 millones de dólares, era un usuario frecuente de ChipMixer ", compartió Callie Brutcher, Inteligencia en Blockchain Analista en TRM, y ex Tactical Especialista Táctica para Investigaciones Cibernéticas en la Federal Bureau of Investigation Estados UnidosFBI). "Los ataquesRansomware tienen en gran medida una motivación financiera. Al desenmascarar sus técnicas y acabar con las herramientas que los sindicatos utilizan para blanquear fondos, las fuerzas de seguridad están desbaratando las operaciones de ransomware y golpeando a los grupos donde más les duele."

TRM también descubrió que ChipMixer era utilizado por al menos 20 mercados de la darknet (DNM) y algunos vendedores independientes de drogas ilícitas, para blanquear sus ganancias ilícitas. Hydra, el mayor DNM del mundo antes de su desmantelamiento en abril de 2022, blanqueó más de 17 millones de dólares a través de ChipMixer. Las DNM son plataformas de comercio mundial ilícito en línea de múltiples proveedores ubicadas en la "darknet", una sección cifrada de Internet a la que no se puede acceder desde los navegadores de Internet estándar ni está indexada por los motores de búsqueda, y son el epicentro del comercio de drogas ilícitas en línea mediado por criptomonedas. 

2. El desmantelamiento mundial del mercado occidental de la red oscura perturba gravemente el comercio de drogas ilícitas

En mayo de 2023, las fuerzas de seguridad de todo el mundo asestaron un nuevo golpe al tráfico ilícito de drogas al desmantelar Monopoly Market, un DNM occidental. En la operación, coordinada por Europol, participaron autoridades de Estados Unidos, Reino Unido, Alemania, Países Bajos, Austria, Francia, Suiza, Polonia y Brasil, que practicaron un total de 288 detenciones en nueve países, entre vendedores y compradores. 

Monopoly Market era en sí mismo un actor relativamente pequeño en el ecosistema occidental del DNM, con unos 1.200 anuncios y un volumen total de ventas de unos 1,6 millones de USD en cuatro años. Sin embargo, el caso es significativo por su enorme repercusión en el panorama más amplio de los DNM occidentales. Las autoridades pudieron incautar a los sospechosos detenidos más de 53,4 millones de USD en efectivo y criptomonedas, así como grandes cantidades de drogas ilícitas y armas de fuego. El volumen total de depósitos en los DNM occidentales también se redujo en aproximadamente un tercio tras el anuncio del desmantelamiento del Monopoly. 

Una explicación de este aparente efecto dominó es que los vendedores de DNM occidentales tienden a operar en varios DNM a la vez. Esto permite a los vendedores crear un flujo de ingresos estable y multifuente y protegerse contra el riesgo de que un DNM caiga. Como es probable que algunos de los vendedores atrapados en Monopoly Market también estuvieran activos en otros DNM, su retirada provocó un descenso de las ventas y del volumen mucho más allá del mercado incautado.

"El efecto dominó de esta perturbación demuestra lo interconectado que está el tráfico de drogas ilícitas por Internet. Cuando las fuerzas del orden son capaces de llevar a cabo un amplio ataque contra un único DNM, dirigiéndose de forma exhaustiva tanto a los vendedores como a los clientes, existe un gran potencial para lograr un gran impacto, incluso si el DNM es pequeño", explicó Allan Liefke, Investigador Global de TRM y ex agente especial de la Administración para el Control de Drogas de Estados Unidos (DEA). El sigilo es un factor importante para lograr un desmantelamiento tan completo". Monopoly Market se desconectó en diciembre de 2021, pero la incautación no se anunció hasta este año. Esto habría dado a las autoridades tiempo suficiente para indagar en los datos incautados para identificar a vendedores y clientes sin alertar a los sospechosos."

3. Las fuerzas de seguridad de todo el mundo paralizan el mercado en línea de identidades digitales robadas

En abril de 2023, una operación policial mundial dirigida por el FBI y la Policía Nacional Holandesa y coordinada por Europol detuvo a 119 sospechosos por su implicación en Genesis Market, un mercado delictivo en línea que vendía principalmente identidades digitales robadas. En la operación participaron autoridades de 19 países, desde Norteamérica a Europa, pasando por Australia. 

Génesis se especializaba en la venta de "bots" que "anunciaban y vendían paquetes de credenciales de acceso a cuentas robadas". Tras la compra, los compradores podían acceder a todos los datos recopilados por el bot, incluidas "huellas dactilares, cookies, inicios de sesión guardados y datos de formularios de autorrelleno." También se les proporcionaba un navegador personalizado que les permitiría acceder a las cuentas de las víctimas sin activar las medidas de seguridad. Más de 1,5 millones de bots estaban a la venta en Genesis, por tan sólo 0,70 dólares por bot. 

El análisis de TRM muestra que Genesis amasó casi USD 8 millones en ingresos entre febrero de 2018 y mayo de 2022. Genesis recibió la mayor parte de esos fondos de servicios de pago, criptointercambios y mercados de criptomonedas P2P en los que los usuarios pueden comprar, vender y/o intercambiar activos digitales a cambio de moneda fiduciaria.

"La magnitud del robo de identidad monetizado en Genesis era asombrosa. Albergaba más de 80 millones de credenciales y huellas digitales de más de dos millones de personas. Sólo en el Reino Unido se identificó a cientos de usuarios y se practicaron 24 detenciones", comentó Michael Donegan, Investigador Global de TRM y antiguo Oficial Superior de Apoyo Operativo de la Agencia Nacional contra la Delincuencia del Reino Unido. "Además de hacer justicia a los delincuentes, la incautación de Genesis también permitió a las fuerzas del orden identificar y apoyar a las víctimas. A través de una iniciativa de la Policía Nacional de los Países Bajos, los ciudadanos pueden comprobar en línea si sus datos se han visto comprometidos y tomar medidas para protegerse."

Aunque la operación paralizó las operaciones de Genesis, los foros de la darknet sugieren que algunos servidores siguen funcionando y que sus administradores podrían seguir en libertad. La forma en que estaban organizadas las operaciones de Genesis también planteó probablemente importantes dificultades para la confiscación de activos. Genesis utilizaba un procesador de pagos externo para cobrar los depósitos de sus clientes. Dado que los pagos se canalizaban a través de una entidad diferente con un servidor distinto, la incautación de activos habría sido más difícil que en situaciones en las que los pagos los procesa directamente el propio mercado.

"Este caso arroja luz sobre algunos retos a los que se enfrentan los investigadores a la hora de centrarse en el comercio electrónico ilícito", añadió Donegan. "Las herramientas deInteligencia en Blockchain como TRM pueden ayudar a los investigadores a descubrir interconectividades en el ecosistema, y permitir una mayor disrupción".

4. Las autoridades estadounidenses y sus socios internacionales desmantelan una infraestructura de bots de malware e incautan millones en criptomonedas ilícitas.

A finales de agosto de 2023, el FBI, en cooperación con las fuerzas del orden de todo el mundo, anunció la desarticulación proactiva de la infraestructura de Qakbot, una sofisticada variante de malware y botnet utilizada desde 2008 para promover actividades ciberdelictivas, incluido el ransomware y la exfiltración de datos de las víctimas. Qakbot fue utilizado por muchos grupos prominentes de ransomware para infectar los ordenadores de las víctimas y luego exigir el pago de "rescates" extorsivos con el fin de eliminar la botnet de los ordenadores de las víctimas.

La amplia operación logró redirigir el tráfico de la botnet a un servidor controlado por FBI , eliminar el malware Qakbot de las víctimas infectadas y desmantelar su infraestructura mundial. Las autoridades también lograron incautar o congelar ganancias ilícitas por valor de aproximadamente 8,6 millones de USD en criptomoneda. 

"Al igual que la mayoría de los ciberdelincuentes, Qakbot, con el tiempo, evolucionó hacia un uso bastante exclusivo de la criptomoneda [...] debido al anonimato que se percibe detrás de ella y a la velocidad a la que se puede mover valor a través de las fronteras", explicó el jefe de la Sección de la División Cibernética FBI , Bryan Smith. "Hemos utilizado una serie de herramientas Analítica de blockchain para luego identificar el cryptocurrency y rastrear que en todo el mundo [que conduce a la incautación exitosa]. "

Este importante desbarajuste fue la culminación de más de una década de esfuerzos de investigación y colaboraciones entre varios organismos, un testimonio del poder de la persistencia y la colaboración.

5. Una operación mundial contra la ciberdelincuencia se incautó de más de 100 millones de dólares en criptofraudes

En diciembre de 2023, INTERPOL anunció la conclusión de la operación HAECHI IV, una operación policial transnacional contra la delincuencia financiera en línea. Esta operación de seis meses de duración, que contó con el apoyo financiero de Corea y en la que participaron autoridades de más de 30 países de todo el mundo, se centró en siete tipos de estafas cibernéticas: phishing de voz, estafas románticas, sextorsión en línea, fraude en las inversiones, blanqueo de capitales asociado al juego ilegal en línea, fraude en el compromiso del correo electrónico empresarial y fraude en el comercio electrónico. En concreto, el 75% de los casos investigados por HAECHI IV giraron en torno al fraude de inversiones, el fraude de correo electrónico de empresas y el fraude de comercio electrónico.

Las autoridades practicaron más de 3.500 detenciones y decomisaron más de 199 millones de USD en efectivo y 101 millones de USD en activos virtuales. INTERPOL también colaboró con funcionarios de primera línea y con proveedores de servicios de activos virtuales para identificar 367 cuentas de activos virtuales vinculadas a la delincuencia organizada transnacional. Los organismos policiales competentes han embargado los activos y las investigaciones siguen en curso.

"Con las criptomonedas e Internet, los defraudadores y estafadores no tienen fronteras. Pueden dirigirse fácilmente a una víctima al otro lado del mundo y descentralizar sus operaciones en múltiples jurisdicciones. Por lo tanto, las operaciones transnacionales e interinstitucionales son fundamentales para detener los fraudes y las estafas", afirmó Lisa Wolk, Directora de Investigaciones Globales de TRM. "Las asociaciones público-privadas también son esenciales. Los proveedores de servicios de valor añadido son un punto de interrupción clave, ya que suelen ser la última parada en la ruta del blanqueo de capitales antes de que los fondos se conviertan de nuevo en monedas fiduciarias. El compromiso de los VASPs con fuertes controles de cumplimiento, así como una estrecha cooperación con las fuerzas de seguridad, es clave para detectar y detener a estos actores ilícitos."

A la vista de estos casos, queda igualmente claro que las fronteras no son una barrera para las fuerzas del orden en la lucha contra los delitos relacionados con las criptomonedas. Parece que 2024 continuará esta tendencia: esta misma semana, las autoridades anunciaron el desmantelamiento de LockBit, uno de los sindicatos de ransomware más prolíficos del mundo, mediante una operación mundial. Con una cooperación tan estrecha y cuidadosa entre la comunidad internacional, se vislumbran más alteraciones a gran escala en el horizonte.

Si es usted un agente de la ley que desea ampliar sus conocimientos de criptoinvestigación mediante el aprendizaje y la colaboración con la comunidad mundial de agentes de la ley, únase a nuestro grupo de trabajo exclusivo para agentes de la ley, LEO Labs, aquí.