En el verano de 2020, Jonas Rey, un investigador privado de Ginebra, recibió una llamada de un cliente con una corazonada. El cliente, el bufete de abogados británico Burlingtons, representaba a un empresario estadounidense nacido en Irán, Farhad Azima, que creía que alguien había pirateado su cuenta de correo electrónico. Azima había ayudado recientemente a exponer el incumplimiento de sanciones por parte de Irán, por lo que los piratas informáticos iraníes eran probablemente sospechosos. Pero el Citizen Lab, un centro de investigación de la Universidad de Toronto, acababa de publicar un informe que concluía «con mucha confianza» que BellTroX, una empresa con sede en Nueva Delhi, había orquestado decenas de ataques cibernéticos contra periodistas, ecologistas y financieros. que dirigía una gigantesca empresa de hacking a sueldo. La operación se había dirigido a numerosos estadounidenses. Burlingtons se preguntó: ¿podría Rey tratar de averiguar si Azima había sido otra víctima de BellTroX? El dijo que sí.
Los investigadores de Citizen Lab se enteraron de las actividades de BellTroX a través de alguien a quien la empresa había tratado de engañar con «spear phishing», enviando un mensaje falso para engañar a un destinatario para que proporcione acceso a datos personales. Citizen Lab pasó tres años investigando BellTroX, incluso analizando sitios web utilizados para acortar y disfrazar enlaces de phishing, revisando las cuentas de redes sociales de los empleados de BellTroX y contactando a las víctimas. Reuters, en coordinación con Citizen Lab, publicó una exposición sobre BellTroX el mismo día que el informe. Pero el propietario de BellTroX negó haber actuado mal, las autoridades indias nunca respondieron públicamente a las acusaciones y las acusaciones quedaron sin confirmar.
La investigación de Rey sobre el caso de Azima arrojó nueva luz no solo sobre BellTroX, sino también sobre varios otros equipos similares, estableciendo sin lugar a dudas que India es el hogar de una vasta y próspera industria de ciberataques. El año pasado, Rey obtuvo la primera confesión detallada de un participante en una operación de piratería informática. En documentos judiciales, un pirata informático indio admitió que se había infiltrado en la cuenta de correo electrónico de Azima, al igual que los empleados de otra empresa. Además, había muchos otros piratas informáticos indios a sueldo, cuyo trabajo a menudo estaba interconectado. John Scott-Railton, investigador principal de Citizen Lab, que ayudó a dirigir la investigación de BellTroX, me dijo que las admisiones que obtuvo Rey son «enormes» y «hacen avanzar toda la conversación». Añadió: “¿Sabes cómo en algunas industrias, todo el mundo ‘conoce a un tipo’ que puede hacer una determinada cosa? Bueno, en la piratería a sueldo, India es ‘el hombre’. Son tan prolíficos”.
Rey, cuya firma se llama Athena Intelligence, se reunió conmigo recientemente en una cafetería de Ginebra. Mientras tomaba un espresso, Rey, que tiene el pelo negro y corto y una barba bien recortada, me dijo que él mismo no es programador. Pero, cuando Burlingtons lo contrató para investigar si una empresa india había pirateado a Azima, recordó haber oído que, aproximadamente una década antes, un empresario indio llamado Rajat Khare, que dirigía una empresa llamada Appin Security, se había puesto en contacto con empresas de inteligencia privadas de toda Europa. . “Por lo que he aprendido en esta investigación, envió un correo electrónico todos”, me dijo Rey. Khare había lanzado lo que llamó «piratería ética». Una presentación de diapositivas de Appin, que luego fue publicada por Reuters, prometía que la compañía podría obtener «información que imaginas y también una que no imaginas». Algunos ejemplos: “Obtenga acceso remoto a correo electrónico, computadoras, sitios web, dispositivos que no son accesibles. Recopile Información/Evidencias confidenciales y dé a sus clientes una satisfacción real.”
“Todo el mundo es hackeable”, prometía una diapositiva. La empresa cobró dos mil quinientos dólares por un mes de trabajo de un solo hacker, y la presentación decía que a Appin le tomó menos de dos semanas obtener correos electrónicos confidenciales y fotografías que confirmaban la sospecha de un esposo de que su esposa lo había engañado. él («a pesar de que ella estaba usando un antivirus Norton 360 actualizado»). Otros casos fueron más complicados: la compañía dijo que le tomó cuarenta y siete días descubrir evidencia de lavado de dinero y contactos criminales de la cuenta de correo electrónico de un director ejecutivo en Rusia. Las diapositivas de Appin decían que entre sus clientes se encontraban el ejército indio y el Ministerio de Defensa indio. (Un abogado de Khare dijo que no recordaba la presentación y que su actividad se había limitado a “capacitación en robótica y piratería ética”).
Rey volvió a encontrar el nombre de Appin unos años más tarde, mientras trabajaba en India para ayudar a un conglomerado a mejorar la seguridad de su información. En el curso de este proyecto, se hizo amigo de un consultor de ciberseguridad indio llamado Aditya Jain. Un día, Jain mencionó que, anteriormente en su carrera, había trabajado para Appin. Se mantuvieron en contacto y, más tarde, Jain ayudó a Rey a probar la seguridad digital de otro cliente. Cuando Burlingtons contrató a Rey para que se hiciera cargo del caso Azima, llamó a su viejo amigo, que vivía cerca de Nueva Delhi. ¿Jain tenía alguna idea sobre quién podría haber hecho el hackeo?
De hecho, Jain tenía algunas ideas: él mismo había pirateado a Azima.
Azima, que tiene ochenta y dos años y reside en Kansas City, es dueño de una compañía de transporte aéreo, pero ha estado involucrado en todo tipo de tratos en todo el Medio Oriente, incluido el tráfico de armas para la CIA. A lo largo de los años, se ha ganado algunos enemigos. Cuando Burlingtons contrató a Rey, Azima se vio envuelta en una prolongada batalla legal con Ras Al Khaimah, uno de los Emiratos Árabes Unidos. En 2007, Azima se asoció con un fondo de inversión Ras Al Khaimah para iniciar una escuela de vuelo y luego ayudó al fondo a tratar de vender un hotel de lujo en Tbilisi, Georgia. Pero Azima finalmente se peleó con el emir de Ras Al Khaimah, y en 2016 el fondo de inversión demandó a Azima en un tribunal de Londres, acusándolo de fraude y de trato propio.
Misteriosamente, lotes de correos electrónicos privados de Azima aparecieron en Internet justo cuando se presentó la demanda. Este fue un giro bastante conveniente para Ras Al Khaimah, pero un abogado y varios investigadores privados que trabajaban para su fondo testificaron que no tenían idea de lo que había sucedido: un consultor de relaciones públicas empleado por ellos de alguna manera había «descubierto» los correos electrónicos mientras buscando en Internet. El tribunal acordó admitir el caché fortuito como prueba y, en mayo de 2020, citó los datos filtrados cuando ordenó a Azima que pagara a Ras Al Khaimah 4,2 millones de dólares en daños y millones en honorarios legales.
Jain le dijo a Rey que conocía la verdadera historia de esas filtraciones. (Jain se negó a comentar, pero sus representantes confirmaron este resumen de los hechos). Jain había trabajado durante un tiempo como pirata informático a sueldo, haciendo negocios bajo el nombre Cyber Defense and Analytics. En diciembre de 2015, dijo Jain, un investigador privado del equipo de Ras Al Khaimah le encargó acceder a las cuentas en línea de Azima y, en abril de 2016, un correo electrónico de phishing había engañado a Azima para que entregara su contraseña de iCloud. Jain supervisó la cuenta de iCloud de Azima hasta finales de julio, entregó los datos a su cliente y ganó casi veintidós mil dólares por el trabajo.
El equipo del emir, informó Jain a Rey, tuvo incluso mejor suerte con otra empresa india de hacking a sueldo: CyberRoot, que había sido fundada por antiguos colegas de Appin, le había robado a Azima mucho más material, incluidos correos electrónicos, y se las arregló para publicar todo ello en Internet. Rey me dijo que un hacker de CyberRoot le había confirmado que la empresa había robado los archivos. (En los documentos judiciales, el empleado de CyberRoot ahora niega haber admitido esto y niega haber actuado mal). El investigador privado del equipo de Ras Al Khaimah ha reconocido que pagó un millón de dólares a CyberRoot, una gran suma en la industria tecnológica india. Pero él y CyberRoot negaron estar involucrados en la piratería y dijeron que el dinero era para asuntos no revelados no relacionados con el delito cibernético.
Aunque Jain discutió libremente la piratería de Azima con Rey y estaba dispuesto a presentar una petición para un nuevo juicio, estaba nervioso por las represalias de sus antiguos clientes o de otros piratas informáticos. Quería ser identificado en los archivos judiciales solo como un denunciante anónimo. El 11 de febrero de 2021, Rey presentó una declaración jurada en la que se refería a Jain como «Fuente 1». El documento decía: «Fuente 1 me informó que, de hecho, Cyber Root Risk Advisory Private Limited (‘CyberRoot’) fue contratado para llevar a cabo la piratería».
El temor de Jain a una reacción violenta estaba bien fundado. Se había acercado al menos a otro antiguo colega de CyberRoot en nombre de Rey, y el tenue anonimato de “Fuente 1” no duró mucho. Jain dijo que el investigador privado del equipo de Ras Al Khaimah le envió mensajes de texto repetidamente a Jain, ofreciéndole llevarlo a Dubái para una reunión. Cuando Rey se enteró de esta propuesta, se alarmó. «Es una trampa», le dijo Rey a Jain. “Te encerrarán y tirarán la llave”. (El investigador privado se negó a comentar). Según Rey, en agosto de 2021, su fuente CyberRoot llamó a Jain y amenazó: “Si tú y Jonas no retroceden, te follaré por completo”. Casi al mismo tiempo, Jain recibió una llamada a altas horas de la noche de un hombre que afirmaba ser un oficial de un grupo de trabajo especial de la policía. Advirtió a Jain que estaba a punto de ser arrestado por robo de datos. Jain accedió a una reunión al día siguiente en el vestíbulo del Taj Palace Hotel, en Nueva Delhi, donde le había pedido a un abogado que escuchara a escondidas desde una mesa cercana. El supuesto policía ahora dijo que lo habían contratado para golpear a Jain y mantenerlo callado, pero si Jain podía entregar un pago en una cita a las 2 am en un lugar desierto, podría escapar ileso.
Rey me dijo que le advirtió a Jain: “Ningún policía real querría encontrarse contigo a las 2 am en medio de la nada. Sube tu trasero al primer avión que salga de la India.
Al día siguiente, Rey hizo que Jain y su esposa volaran a las Maldivas, uno de los pocos países extranjeros donde los indios pueden aterrizar sin visa. “No voy a dejar que una de mis fuentes se seque”, me dijo Rey. Mientras tanto, el abogado de Jain informó que no se habían presentado cargos en su contra y confirmó que el “policía” había sido un matón a sueldo.
Con la tapadera de Jain descubierta, Rey pudo convencer a su amigo de que sería más seguro dejar de ser una fuente anónima: en el contexto de un caso legal, apretar a Jain podría constituir intimidación de testigos. Jain accedió y, en el otoño de 2021, los abogados de Azima declararon en un expediente judicial que Jain “también admitió haber pirateado los datos del Sr. Azima” por orden de uno de los investigadores privados del emirato.
Otro de esos investigadores privados, Stuart Page, que había negado que se hubiera producido ningún tipo de piratería, reforzó la credibilidad de la nueva presentación al voltear y confirmar el núcleo de la historia de Jain. Page, un exoficial de Scotland Yard, presentó una declaración jurada reconociendo que había mentido sobre el hackeo. “Me disculpo sin reservas por el papel que desempeñé en engañar a la Corte”, dijo Page. Admitió que había trabajado con un investigador privado israelí y ex oficial de inteligencia que, a su vez, había contratado a «subcontratistas ubicados fuera de Israel» que habían utilizado «técnicas de piratería» para obtener «correos electrónicos confidenciales y acceso no autorizado a otros correos electrónicos confidenciales». datos.» Nadie había descubierto accidentalmente los correos electrónicos pirateados de Azima en línea, admitió Page: el investigador israelí que había contratado a los piratas informáticos le había enviado un enlace al caché. Además, los informes del investigador estaban claramente llenos de datos pirateados. Page escribió: “Era obvio para mí (y hubiera sido obvio para cualquier otra persona que leyera los informes) que dichos documentos se obtuvieron como resultado del acceso no autorizado a las computadoras”. (El investigador privado israelí ha cuestionado el relato de Page).
Page ahora dijo que, antes de dar su falso testimonio, había participado en un “juicio simulado” en Suiza con otros miembros del equipo de Ras Al Khaimah para ensayar su historia falsa y “perfeccionar la narrativa que íbamos a contarle a la corte inglesa”. Para ocultar su paradero, había dejado su teléfono móvil en su casa, en Inglaterra, y había tomado una ruta tortuosa de tren desde Londres hasta un hotel de lujo en Berna, donde “hicimos uso del chef privado del hotel y su vino de la bodega del hotel”. en lo que describió como “una mezcla de comer, beber y secciones de contrainterrogatorio”.
El año pasado, la corte de Londres concedió a Azima un nuevo juicio, que está programado para la próxima primavera. (El fondo de inversión Ras Al Khaimah ha dicho que “no autorizó ni procuró ninguna piratería de los datos del Sr. Azima”).
Mientras tanto, un informe en el London tiempo de domingo ha afirmado que Jain y Rey están más enredados en la India…
Continuar leyendo: Una confesión expone la industria secreta de piratería de la India