'Dios invisible', el superhacker que extorsionaba a las grandes compañías de ciberseguridad
Se llama Andrey Turchin, tiene 37 años y es de Kazajistán, un remoto país de Asia que muy pocas personas sabrían señalar en un mapa sin equivocarse. Hasta aquí parece la persona más random que te puedas imaginar, pero todo cambia si te dijera que lo llaman el “dios invisible” o que durante años fue capaz de hackear y robar información de 300 empresas y corporaciones en más de 44 países. De hecho, Fxmsp, así era uno de sus nicks en internet, estaba a un nivel de hackeo tan exagerado que llegó a extorsionar a las grandes compañías de ciberseguridad del mundo McAfee, Symantec y Trend Micro después de petarse sus servidores y dejarlas expuestas.
Pero la ambición del “dios invisible” era bastante terrenal y sus ventas de información robada acabaron por jugarle una mala pasada. Tras una venta de información sustraída a sus competidores por 1,5 millones de dólares a la empresa de ciberseguridad Group-IB, estos fueron capaces de jugar su mismo juego sucio y expusieron el nombre real y la nacionalidad del hacker más famoso del mundo. La revelación fue tan brutal que la justicia del estado de Washington no tardó en ponerse manos a la obra y lanzar acusaciones en su contra por sus ataques a empresas e instituciones de los Estados Unidos. El chivatazo de Group-IB, además, permitió saber que había actuado con éxito en países como Brasil, Colombia, Ecuador, México o Puerto Rico.
"Turchin es miembro de un grupo cibercriminal prolífico y motivado financieramente, compuesto por actores extranjeros que piratean las redes informáticas de una amplia gama de entidades corporativas, instituciones educativas y gobiernos de todo el mundo, incluido el de EE.UU.”, detalló el informe de la justicia norteamericana recogido por un artículo de la BBC que, por si fuera poco, añadía que “Fxmsp conseguía acceso a estas empresas y además anunciaba y vendía dicho acceso no autorizado a los sistemas protegidos de sus víctimas”. Es decir, no solo te robaba, sino que decía a otros cómo hacerlo a no ser que compraras su silencio.
Según la investigación, Turchin empezó poco a poco con su carrera como hacker y extorsionador allá por el 2016. Tras conseguir un éxito notable filtrando documentos protegidos con fuertes códigos de seguridad. A mediados de 2017 dio el salto a los sistemas de grandes hoteles, empresas e incluso bancos. "En menos de dos años, se convirtió de un hacker que no sabía qué hacer con el acceso que había conseguido, a uno que revelaba los grandes secretos de empresas como McAfee", revela el informe. El caché del kazajo estaba al nivel de su atrevimiento, con tarifas que empezaban en los 300.000 dólares y que superaban ampliamente el millón.
Todo dependía de la voluntad de sus víctimas de proteger su información o de obtener la de sus rivales. Además, facilitaba a sus clientes un período de prueba a modo de garantía: "Muchas transacciones se realizaron mediante algún intermediario... lo que permitía a los compradores interesados probar el acceso a la red durante un período limitado para comprobar la calidad y la fiabilidad del acceso ilícito”. Pero cuando todo parecía funcionar a la perfección un error del pasado se volvió en contra de Turchin: en sus primeros años había vendido información del gobierno ruso en foros de internet. Este error de novato permitió a Group-IB tirar del hilo hasta dar con su verdadera identidad.
Ahora Turchin enfrenta numerosos cargos por conspiración, fraude, abuso, etc. y con las autoridades de Estados Unidos negociando su extradición con el gobierno de Kazajistán a pesar de que en la actualidad no existe un tratado para asuntos judiciales entre ambos países. Sin embargo, la buena disposición del país asiático a colaborar con todas las investigaciones en torno al “dios invisible” hacen pensar que los días del hacker podrían acabar en una celda en su país o, quizá, al otro lado del mundo.