Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INGENIERÍA LEGAL
DELITOS INFORMÁTICOS
CASO DE ESTUDIO:
ROBÓ DATOS DE MILLONES DE TARJETAS DE CRÉDITO
LA PAZ, 2018
ÍNDICE
ANEXOS
CAPITULO 1:
GENERALIDADES
1.1 INTRODUCCIÓN.
En los últimos años especialmente a raíz del desarrollo tecnológico a nivel mundial se
presentaron cambios trascendentales. Ya que existe muchos riesgos de que las redes
informáticas y la información electrónica sean usadas para cometer delitos y de que
las pruebas relativas a dichos delitos sean almacenadas y transmitidas por medio de
dichas redes.
“El delito informático en forma típica y atípica, entendiendo por las conductas típicas,
antijurídicas y culpables en que se tienen de forma típica las computadoras como
instrumento o fin y por la forma atípica se entiende por delito informático a todas
aquellas actitudes ilícitas en que se tienen a las computadoras como instrumento o
fin.”
1.2 ANTECEDENTES.
En Bolivia, actualmente en nuestra legislación penal vigente existe tan solo dos
artículos referentes a los delitos informáticos los cuales son aplicables de manera
ambigua a los delitos cometidos por los delincuentes informáticos, en tal sentido
genera la necesidad de tipificar nuevos delitos informáticos, conductas antijurídicas,
como la falsificación informática, ya que hay muchas conductas que implican
1
responsabilidad para aquellos que lo cometen y es claro que en nuestro Estado existen
dos artículos dentro de nuestra legislación penal, el cual hace referencia al mal uso de
la Internet, el cual dispone de esta forma:
El que con la intención de obtener beneficio indebido para sí o para un tercero manipule
un procesamiento o transferencia de datos informáticos que conduzcan a un resultado
incorrecto o evite un proceso tal cuyo resultado habría sido correcto ocasionando de
esta manera una transferencia patrimonial en prejuicio de tercero será sancionado con
reclusión de uno a cinco años y con una multa de sesenta a doscientos días.
El que sin estar autorizado se apoderare, acceda, utilice, modifique suprima o inutilice
datos almacenados en una computadora o en cualquier soporte informático
ocasionando perjuicio al titular de la información será sancionado con prestación de
trabajo hasta 1 año o multa hasta doscientos días.
¿Qué razones explican los problemas que tiene con la necesidad de incorporar el tipo
penal de Falsificación Informática en el Código Penal?
2
1.3.2 Problemas Secundarios.
1.4 OBJETIVO.
Al identificar cuáles son los problemas por encarar por el presente trabajo se establece
una propuesta de solución a la problemática, los objetivos son los siguientes:
Analizar la teoría del delito sus caracteres y componentes con relación a los
delitos informáticos.
3
1.5 LIMITES, ALCANCES Y APORTES.
En los siguientes puntos se muestran los Limites, Alcances y Aportes que sustentan el
presente trabajo de grado.
1.5.1 Limites.
1.5.2 Alcances.
Los Alcances por ser un trabajo escolástico están dados por lo investigado y
desarrollado en clases.
4
CAPITULO 2:
MARCO TEORICO
2.1 EVOLUCIÓN DE LOS DELITOS INFORMÁTICOS.
En nuestro país los delitos informáticos no solo están ligados con las instituciones, sino
que están ligados también con el desarrollo de la población y en sí de la sociedad ya
que, al desarrollo de las tecnologías, nuestra sociedad se encuentra vulnerable ante
15
nuevas formas de delitos cometidos mediante ordenadores, cajeros automáticos
tarjetas de crédito etc.
El delito informático implica actividades criminales que los países han tratado de
encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes,
falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el
uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de
las computadoras lo que ha creado la necesidad de regulación por parte del derecho.
Este tipo de delitos son considerados un aspecto negativo del desarrollo de la
informática y se producen debido a las posibilidades que las computadoras ofrecen
para infringir la ley.
16
convencionales para lesionar bienes jurídicos convencionales.” La regulación jurídica
de la criminalidad por o contra el ordenador presenta determinadas peculiaridades
debidas al propio carácter innovador que las tecnologías de la información y la
comunicación presentan. Son evidentes e indiscutibles los beneficios de la informática
en la comunidad. Empero, los aspectos negativos comprenden inimaginables formas
de cometer delitos. En el plano jurídico - penal, la criminalidad informática puede
suponer una nueva versión de delitos tradicionales o la aparición de nuevos delitos
impensables antes del descubrimiento de las nuevas tecnologías.
Así, como las nuevas tecnologías nos traen destacables ventajas, es importante
responder eficientemente a la necesidad de regular las conductas que pueden
derivarse del uso indebido de las tecnologías siendo de esta forma el uso indebido de
ordenadores, de tarjetas de crédito y débito.
“En los años 1970 y siguientes fueron los europeos los primeros países en tomar
conciencia de los avances de la informática, los cuales generarían mayores
peligros, con relación al bien jurídicamente protegido, en los años setenta se
referían al ámbito de la intimidad.”
17
A partir de 1980 comienza un proceso legislativo originado en Estados Unidos
luego se extendió a Europa como reacción de la legislación tradicional que solo
protegía los bienes materiales. Se legisla sobre protección de bienes intangibles
dinero electrónico, soportes informáticos, etc.
“En países de nuestro entorno socio - cultural hace ya tiempo que el delito informático
está tipificado y como tal incluido en diferentes Códigos y norma de su ordenamiento.”
El área informática dentro de la Doctrina sostiene que, no pueden penalizarse
conductas que atenten contra supuestos bienes jurídicos que no se encuentran
protegidos, y que no habiendo ley que tipifique una conducta delictiva relacionada con
la informática como bien jurídico específico, no existe delito ni pena para dichas
conductas. Existen otras posturas que entienden que debe existir algún tipo de
18
protección contra dichas conductas, o más bien, una ampliación en la interpretación
sobre ciertas conductas antijurídicas ya tipificadas, en base a las nuevas modalidades
perpetradas utilizando sistemas tecnológicos avanzados como los sistemas
informáticos o telemáticos en la actualidad, es innegable la existencia de delitos
cometidos mediante el uso de sistemas informáticos. Más aún, mediante el análisis de
las normativas existentes en el derecho comparado, de donde surge la necesidad de
estructurar un nuevo bien jurídico digno de tutela jurídica penal, que entendemos y
sostenemos que se trata de la información en todas sus etapas, la cual conlleva en sí
un valor, ya sea económico, ideal o de empresa.
2.3 CARACTERES
Pasemos ahora a definir los caracteres del delito informático. A nuestro entender,
quién mejor los establece es el jurista mexicano Julio Téllez Valdéz quién desarrolla
en forma específica las siguientes características:
6) Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta
de regulación por parte del Derecho.
19
7) Son muy sofisticados.
11) Tienden a proliferar cada vez más, por lo que requieren una urgente regulación.
fraude informático
conocido también como
sustracción de datos,
Manipulación de los datos
representa el delito
de entrada – insiders
informático más común ya
que es fácil de cometer y
difícil de descubrir.
Consiste en modificar los
Robos hurtos, programas existentes en
vaciamientos, desfalcos el sistema de
estafas o fraudes La manipulación de computadoras o en
cometidos mediante programas insertar nuevos
manipulación y uso de programas o nuevas
computadoras rutinas. Ej: Caballo de
Troya.
Es el fraude de que se
hace objeto a los cajeros
automáticos mediante la
Manipulación de los datos
falsificación de
de salida – outsiders
instrucciones para la
computadora en la fase
de adquisición de datos.
Fraudes contra Fraude efectuado por aprovecha las
20
sistemas, daños o manipulación informática repeticiones automáticas
modificaciones de de los procesos de
programas o datos cómputo. Es una técnica
computarizados. especializada que se
denomina "técnica del
salami" en la que
cantidades de dinero muy
pequeñas, se van
sacando repetidamente
de una cuenta y se
transfieren a otra.
Consiste en borrar,
suprimir o modificar sin
autorización funciones o
datos de computadora
con intención de
Sabotaje informático
obstaculizar el
funcionamiento normal del
sistema. Ejemplos. virus,
gusanos, rutinas cáncer,
bomba lógica.
Motivos diferentes
curiosidades, (Hacker)
hasta el sabotaje o
espionaje informáticos
Acceso no autorizado a
son ingresos no
sistemas y servicios.
autorizados comprometen
la integridad y la
confidencialidad de los
datos.
Es la obtención de
información para ser
utilizada posteriormente
Espionaje – Acceso
normalmente para la
telemático no autorizado a
obtención de beneficios
un sistema - Hackers –
económicos Ejemplos
Fuga de datos.
Puertas falsas, pinchado
Falsificaciones de líneas, llave maestra
informáticas. (Supperzapping).
Ley Nº 17.616
promulgada el 13 de
Reproducción no enero de 2003 Ley de
autorizada de programas Protección del Derecho
informáticos piraterías. de Autor y Derechos
Conexos, la cual modifica
el texto de la ley 9.739.
21
Cuando se alteran datos
de los documentos
almacenados en forma
computarizada. Pueden
falsificarse o adulterarse
Como objeto también microformas,
micro duplicados y
microcopias esto puede
llevarse a cabo en el
proceso de copiado o en
cualquier otro momento.
Las computadoras
Datos personales delito
pueden utilizarse también
de violación a la
para efectuar
intimidad. Como instrumentos
falsificaciones de
documentos de uso
comercial.
Violación de la intimidad Las fotocopiadoras
de la vida personal y computarizadas en color a
familiar ya sea base de rayos láser
observando escuchando o dieron lugar a nuevas
registrando hechos falsificaciones.
palabras, escritos o
imágenes, valiéndose de
instrumentos procesos
técnicos u otros medios.
Un paciente que está
recibiendo un
determinado tratamiento,
Es posible cometer
se modifican las
Homicidio homicidio por
instrucciones en la
computadora.
computadora que puede
hacerse incluso desde
una terminar remota.
Mediante la conexión en
Interceptación de paralelo de terminales no
comunicaciones autorizados se puede
(browsing) acceder a datos e incluso
manipular la información
Los empleados utilizan en
una empresa horas de
Robo de servicios o Hurto
Robo de servicios maquina sin autorización
de tiempo de ordenador
para realizar trabajos
personales.
Hurto calificado por Apropiación de Apropiación de
transacciones informaciones residuales. informaciones que han
22
electrónicas de fondo. sido abandonadas por sus
legítimos usuarios de
servicios informáticos
como residuo de
determinadas
operaciones.
Se alude a las conductas
que tiene por objeto el
acceso ilícito a los
Parasitismo informático. equipos físicos o a los
programas informáticos,
para utilizarlos en
beneficio del delincuente.
Este es el caso del hurto Un ejemplo es el referente
que se comete mediante al uso ilícito de tarjetas de
la utilización de sistemas crédito
de transferencia
electrónica de fondos de
la telemática en general, o
también cuando se viola
el empleo de claves
Delitos de daño
secretas.
aplicable al hardware
El robo de un
establecimiento comercial
de una o varias
computadoras no
constituye un delito
informático, pero si el
daño o sabotaje al
hardware que combate la
puesta en marcha de un
Sistema informatizado de
diagnóstico médico.
Puede darse un atentado
contra la maquina o sus
accesorios (discos, cintas
terminales etc.)
23
2.5 DELITOS INFORMÁTICOS
Así, como las nuevas tecnologías nos traen destacables ventajas, es importante
responder eficientemente a la necesidad de regular las conductas que pueden
derivarse de su uso indebido. Los delitos informáticos son considerados un aspecto
negativo del desarrollo de la informática y se producen debido a las posibilidades que
las computadoras ofrecen para infringir la ley. En este contexto, aparecen conductas
que vulneran bienes jurídicos no convencionales, o comportamientos que se realizan
empleando medios no convencionales para lesionar bienes jurídicos convencionales.
Empero, los aspectos negativos comprenden inimaginables formas de cometer delitos.
En el plano jurídico penal, la criminalidad informática puede suponer una nueva versión
de delitos tradicionales o la aparición de nuevos delitos impensables antes del
descubrimiento de las nuevas tecnologías. Por tratarse de un sector sometido a
constantes fluctuaciones e innovaciones tecnológicas, sus categorías son asimismo
efímeras y cambiantes. Además, los delitos informáticos se caracterizan por las
dificultades que entraña descubrirla, probarla y perseguirla, a ello se añade la facilidad
de penetrar en los sistemas informáticos.
“Jimena Leyva define a los delitos informáticos como: toda acción típica antijurídica y
culpable para cuya consumación se usa la tecnología computacional o se afecta a la
información contenida en un sistema de tratamiento automatizado de la misma.”
Miguel Ángel Davara Rodríguez señala que … “la realización de una acción que,
24
reuniendo las características que delimitan el concepto de delito, sea llevada a cabo
utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular
de un elemento informático, ya sea hardware o software”
Las Naciones Unidas, conceptualiza a los delitos informáticos como “todos los delitos
cometidos por medio de tecnologías de información; en contra de cualquiera de sus
componentes o los que fueren cometidos por medio de tecnologías de información.”
Ricardo M. Matta y Martin define al delito informático como “toda acción dolosa que
provoca un perjuicio a personas o entidades, en cuya comisión intervienen dispositivos
habitualmente utilizados en las actividades informáticas.”
Los delitos informáticos en sentido estricto vendrían a ser todo comportamiento ilícito
que en su realización hace uso de la tecnología electrónica ya sea como método,
medio o fin, para llevar a cabo actos ilícitos, esta es una visión limitada porque existen
muchos delitos que no pueden tipificarse con las leyes vigentes y, ante la ausencia de
una normatividad acorde, se habla de lagunas o de falta de regulación.
25
2.6 SUJETOS Y RELACIONES QUE SURGEN DEL DELITO INFORMÁTICO
“El sujeto activo de los delitos informáticos, puede ser cualquier persona abarca tanto
a particulares como funcionarios públicos.” El sujeto activo simplemente encuentra la
manera de ingresar a la información o contenido del área protegida en si ingresa a los
sistemas operativos como un intruso, vulnerar sistemas de seguridad es un reto
personal en si el sujeto activo de los delitos informáticos tiene habilidades específicas
para el manejo de los sistemas informáticos.
“Es evidente que el nivel de aptitudes del delincuente informático es hoy un tema de
controversia, ya que, para algunos estudiosos del tema, dicho nivel no es indicador de
delincuencia informática, en tanto que otros aducen que los posibles delincuentes
informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto
tecnológico, características que pueden encontrarse en un empleado del sector de
procesamiento de datos de cualquier organización”.
Los sujetos activos de los delitos informáticos tienen las siguientes características:
26
d) Las opiniones en cuanto a la tipología del delincuente informático se encuentran
divididas, ya que algunos dicen que el nivel educacional a nivel informático no es
indicativo, mientras que otros aducen que son personas inteligentes, motivadas
y dispuestas a aceptar el desafío tecnológico.
e) Estos delitos se han calificado de cuello blanco, porque el sujeto que comete el
delito es una persona de cierto estatus socioeconómico.”
Al desarrollar todas estas características, es evidente que el sujeto activo de los delitos
informáticos son personas que conocen los sistemas operativos, así como conocen
como vulnerar dichos sistemas y usar de manera ilícita la información ya se
información personal de algún usuario o información institucional de empresas
públicas o privadas.
“Es de destacar que la cifra negra de delitos informáticos es muy alta. No es fácil
descubrirlos ni sancionarlos. Los daños económicos son altísimos. Se habla de
pérdidas anuales por los delitos informáticos y otros tecno crímenes que van de ser
los U$S 100 millones hasta la suma de U$S 5.000 millones, estos datos de acuerdo
con un estudio realizado a finales de los años 1990 hecho por una firma auditora.”
“El sujeto pasivo son aquellos sobre los que recae la acción u omisión que realiza el
sujeto activo.” en realidad el sujeto pasivo es la víctima del delito es el sujeto en el cual
recae la acción u omisión que realiza el sujeto activo, las víctimas pueden ser
individuos, instituciones crediticias, instituciones militares, gobiernos, instituciones
bancarias etc., que usan sistemas automatizados de información, generalmente
conectados a internet.
“En el caso el sujeto pasivo es el titular del sistema u ordenador intrusado incluso
muchas veces a los proveedores de servicios públicos, sistemas financieros y casos
hay de algún servicio de inteligencia de una gran potencia.”
27
El sujeto pasivo puede ser desde una familia, individuos, empresas grandes y
pequeñas, instituciones públicas privadas, instituciones bancarias, gobiernos, que
utilizan sistemas automatizados de información, los cuales, por lo general se
encuentran conectados a internet. La condición relevante a cumplir por el sujeto pasivo
es la de poseer información en formato digital y almacenada en un medio informático
pueden ser datos, programas, documentos electrónicos, dinero electrónico,
información, etc., y que se encuentra en contacto directo con la tecnología,
específicamente con las redes de Internet.
b) Cracker Aquel que rompe con la seguridad de un sistema, hablar de… “craks
nos referimos a los programas o rutinas que permiten utilizar o inutilizar los
28
sistemas de protección establecidos por el titular de los derechos de propiedad
intelectual sobre una aplicación informática.”
d) Phisher… “es aquella persona que se hace pasar por una persona o empresa
de confianza en una aparente comunicación oficial electrónica, por lo común un
correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando
también llamadas telefónicas.”
29
CAPITULO 3.
MARCO PRACTICO
CASO DE DELITO INFORMÁTICO
30
A continuación, las enviaban a servidores que operaban en varios estados
estadounidenses, así como a los Países Bajos y Ucrania. Los piratas informáticos
habían encontrado el modo de borrar su rastro en los sistemas informáticos pirateados.
Los piratas utilizaban una técnica que permite acceder a las redes informáticas
deseadas sorteando el cortafuego.
Nº CARACTERÍSTICAS ANÁLISIS
Son conductas criminales de cuello blanco, González y sus cómplices usaron un
porque sólo un determinado número de método de infiltración de código SQL,
1
personas con ciertos conocimientos utilizado para abrir la puerta trasera de
técnicos puede llegar a cometerlas. varios sistemas corporativos
2 Son acciones ocupacionales, porque en En este caso no aplica, debido que
31
muchas veces se realizan cuando el sujeto Gonzalez no era trabajador de los
se halla trabajando. bancos a donde pertenecían las
cuentas
Gonzalez era un prometedor
Son acciones de oportunidad, porque se
intermediario de shadowcrew.com, un
aprovecha una ocasión creada o altamente
ciberbazar de programas piratas que
3 intensificada en el mundo de funciones y
se expandió a principios del año 2000
organizaciones del sistema tecnológico y
durante el boom del comercio en
económico.
Internet.
González fue condenado a abonar más
de 1,65 millones de dólares, un
condominio en Miami, un automóvil
BMW 330i azul 2006, ordenadores
4 Provocan serias pérdidas económicas.
portátiles IBM y Toshiba, un arma de
fuego Glock 27, un teléfono móvil
Nokia, un anillo de diamantes de
Tiffany y tres relojes Rolex.
González y sus socios detectaron
importantes vulnerabilidades en las
redes Wifi utilizadas por estos
Ofrecen posibilidades de tiempo y espacio,
comercios. Provistos de portátiles y
ya que en milésimas de segundo y sin una
5 antenas de radio de gran alcance,
necesaria presencia física pueden llegar a
aparcaban sus coches o furgonetas en
consumarse.
los parkings de las grandes tiendas de
ordenadores para detectar las redes
wifi de las empresas más vulnerables
Los fraudes con tarjetas estaban
aumentando de forma exponencial
Son muchos los casos y pocas las generando pérdidas multimillonarias.
6 denuncias, y todo ello debido a la misma Policías de diferentes países trataban
falta de regulación por parte del Derecho. de poner freno a este delito pero era
muy complicado, implicaba a muchos
países, con diferentes legislaciones.
7 Son muy sofisticados. Primero debían piratear la red wifi,
32
luego, navegando dentro del sistema,
capturaban nombres de usuario y
claves de acceso, lo que les permitía
entrar en la red; posteriormente
atacaban los servidores de la central y
localizaron los servidores que alojaban
las operaciones con antiguas tarjetas
de las tiendas.
Probablemente el nombre de Albert
Presentan grandes dificultades para su Gonzalez no sería conocido de no ser
8 comprobación, esto por su mismo carácter por mostrar una conducta irregular en
técnico. un cajero para un policía durante una
operación de autos robados
33
las gasolineras, de los almacenes o de cualquier otro comercio donde se pudiera
comprar algo.
Los datos de tarjetas que se vendían eran de dos tipos: datos de la tarjeta junto a su
nº PIN (esta información era la más cara y difícil de conseguir ya que permitía a los
criminales, una vez volcados los datos en una tarjeta virgen, sacar dinero en efectivo
de cualquier cajero del mundo); el otro tipo de información que vendían eran los datos
de la tarjeta sin nº PIN, con esta información no se puede sacar dinero de un cajero
pero se pueden hacer compras en establecimiento una vez que se falsifique una
tarjeta.
En esta parte del artículo 363 bis y ter de nuestra actual legislación penal, señala de
manera amplia y ambigua varios tipos penales los cuales incluso tendrían sanciones,
sin embargo, haciendo un análisis del artículo, no establece claramente el tipo penal
el cual se adecuaría, no es fácil para el legislador aplicar este articulo ya que señala
34
de forma ambigua varias situaciones ni señala el bien jurídico que resguardaría, es
inminente la necesidad de incorporar nuevos tipos penales los cuales estén
ampliamente desarrollados en nuestro código penal.
En este sentido, la informática puede ser el objeto del ataque o el medio para cometer
otros delitos. La importancia reciente de los sistemas de datos, por su gran incidencia
en la marcha de las empresas, tanto públicas como privadas, los ha transformado en
un objeto, cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor
material de los objetos destruidos.
En otros casos las conductas del agente van dirigidas a lesionar Bienes no protegidos
tradicionalmente por la legislación penal, tal el caso de los Bienes Informáticos,
consistentes en datos, información computarizada, archivos y programas insertos en
el soporte lógico del ordenador, como la falsificación informática, el fraude electrónico
y el sabotaje informático.
35
36
ANEXOS
CASO COMPLETO DE DELITO INFORMÁTICO
El joven estaba en efecto realizando una operación de "retirada de efectivo", tal como
más tarde admitiría. Había programado un montón de tarjetas de crédito sin datos con
números de tarjetas robados y estaba sacando todo el dinero que podía de cada
cuenta. Lo había hecho unos minutos antes de las 12 de la noche, hora límite diaria
para retirar dinero y el momento en que el cajero puede dar el doble de dinero con otra
retirada en efectivo unos minutos más tarde. El policía le preguntó su nombre y aunque
el hombre tenía varios alias en Internet, le dio el suyo verdadero, Albert Gonzalez.
Albert Gonzalez fue detenido y rápidamente conducido hasta la oficina del fiscal de
Nueva Jersey en Newark, quien, junto con agentes del destacamento oficial de delitos
informáticos del FBI, estaba investigando sin mucho éxito el fraude de tarjetas de
crédito y débito en los cajeros automáticos de la zona. Gonzalez fue interrogado y
pronto se descubrió que era un tipo peculiar. No solamente poseía los datos de
millones de cuentas de tarjetas almacenados en el ordenador de su apartamento en
Nueva Jersey, sino que además tenía un truco para explicar online su experiencia
como defraudador de tarjetas de crédito.
Tal como descubrirían los agentes del orden público, Gonzalez era un prometedor
intermediario de shadowcrew.com, un ciberbazar de programas piratas que se
expandió a principios del año 2000 durante el boom del comercio en Internet.
Shadowcrew tenía cientos de miembros en Estados Unidos, Europa y Asia. Según me
explicó un fiscal federal, era "una especie de eBay, monster.com y MySpace, pero
dedicada al delito informático".
Y sin embargo no era así. Durante los muchos años que trabajó para el Gobierno,
Gonzalez, su banda de hackers y otros seguidores tuvieron acceso aproximadamente
a 180 millones de cuentas de tarjetas de pago que estaban guardadas en la base de
datos de clientes de algunas de las empresas norteamericanas más conocidas.
Gonzalez trabajó con los agentes durante varios meses. La mayoría de ellos le
llamaban Albert. Otros le conocían como Soup, por el nombre que había dado a su
antigua pantalla, Soupnazi. "Haber pasado tanto tiempo con un confidente que estaba
profundamente metido en una trama de delito informático fue una experiencia
totalmente nueva para nosotros", explica un fiscal del Departamento de Justicia. "Fue
una experiencia de las que dejan huella".
El 26 de octubre de 2004, Gonzalez fue trasladado a Washington, donde se estableció
el centro de control de la Operación Firewall en las oficinas centrales del FBI. Consiguió
sus objetivos en una sesión de chat. A las nueve de la noche, los agentes comenzaron
a derribar puertas. Hacia la medianoche, 28 personas habían sido detenidas en ocho
Estados norteamericanos y en seis países, la mayoría de ellas a escasos metros de
sus ordenadores. Con el tiempo, otras 19 fueron acusadas. Según algunas
informaciones, el Gobierno nunca antes había logrado llevar a cabo un caso tan
importante y con tanto éxito contra el delito informático.
Un día después del asalto, los funcionarios del FBI pusieron en la página de inicio de
Shadowcrew una fotografía de un matón jorobado, sin camisa, en la celda de una
cárcel, con un tatuaje en el que se podía leer: "¡Póngase en contacto con su agente
local del FBI de Estados Unidos… antes de que nosotros contactemos con usted!".
Sin embargo, "tenía mala conciencia por todo lo que había pasado". "A diferencia de
otros confidentes, tuve un dilema moral", me confesó también. En otra ocasión, cuando
estaba hablando sobre el tema, Gonzalez me escribió una carta: "Me gustaría dejar
una cosa bien clara… siempre he sido leal a la comunidad de los black hats".
Tras la Operación Firewall, Gonzalez volvió a Miami a finales de 2004. Por entonces
estaba investigando sobre la vulnerabilidad de las redes inalámbricas en las empresas.
Gonzalez estaba especialmente interesado en las posibilidades de una técnica
conocida como wardriving. Los hackers, provistos de portátiles y antenas de radio de
gran alcance, aparcan sus coches o furgonetas en los parkings de las grandes tiendas
de ordenadores para detectar las redes wifi de las empresas más vulnerables.
Gonzalez contactó de nuevo con Christopher Scott -un viejo amigo de una red social
en Internet, EFnet, frecuentada por black hats-, que estaba dispuesto a hacer un
trabajo especial. Scott comenzó a intercambiar datos comerciales de la autopista 1 de
Miami para buscar objetivos wardriving. Sus experimentos en BJ's Wholesole Club en
Miami y en DSW tuvieron éxito. Robó cerca de 400.000 cuentas de tarjetas del primero
y un millón del segundo. Le explicó a Gonzalez cómo lo había hecho y le pasó los
números de tarjetas.
El verano siguiente, Scott aparcó su coche delante de una de las tiendas Marshall.
Consiguió la ayuda de Jonathan James, un menor muy conocido entre los black hats
de Miami por haber sido el primer joven norteamericano encarcelado por delitos
informáticos. Scott pirateó la red wifi de Marshalls y, junto a James, comenzó a navegar
dentro del sistema: capturaron nombres de usuario y claves de acceso, lo que permitió
a Gonzalez entrar en la red; atacaron los servidores de la central de Marshalls en
Framingham, Massachusetts y en TJX, una filial de la empresa, y localizaron los
servidores que alojaban las operaciones con antiguas tarjetas de las tiendas.
Al mismo tiempo que robaba datos de tarjetas bancarias, Gonzalez participaba en una
organización internacional. Tomó contacto con un ucranio, Maksym Yastremskiy, que
le vendió un conjunto de números de tarjetas de consumidores de Estados Unidos,
América del Sur, Europa y Asia, y compartió las ganancias con él. Gonzalez contrató
a otro amigo de EFnet, Jonathan Williams, para sacar dinero de todos los cajeros del
país. Un amigo de Watt en Nueva York recogía los envíos de dinero en efectivo que
Williams y Yastremskiy habían enviado. Entonces, el amigo de Watt enviaba el dinero
a Miami o a un apartado de correos que James había creado con la colaboración de
un intermediario. Gonzalez creó sociedades ficticias en Europa. Para cobrar y lavar el
dinero abrió una cuenta e-gold y cuentas WebMoney difícilmente controlables. Por
último, contactó con dos hackers del este de Europa a quienes solamente conocía por
los nombres que mostraban en su pantalla, Annex y Grig, y que estaban dispuestos a
entrar en los procesadores de datos de las tarjetas de crédito americanas, el centro
neurálgico de las ventas al por menor. "Muchas veces me he preguntado por qué hice
todo esto", me dijo recientemente Gonzalez desde la cárcel un día mientras
hablábamos por teléfono. "Sobre todo lo hice por dinero. El dinero que ganaba en el
FBI no era suficiente y yo lo necesitaba. Cuando me di cuenta, la bola de nieve ya se
había formado y era difícil detenerla. Intenté dejarlo, pero no pude". Afirma que sus
intenciones eran en parte buenas. Lo que realmente él quería era ayudar a Patrick
Toey, un amigo íntimo y hacker que más tarde le ayudaría en otro trabajo.
Pero lo cierto es que le gustaba robar. "La emoción siempre conseguía vencer
cualquier sentimiento moral que pudiera sentir", me dijo. Y también le gustaba gastar.
En parte, aunque no del todo, se puso a explicarme su plan en la operación "hazte rico
o muere en el intento". No quiso decirme cuánto dinero había conseguido, pero está
claro que está obteniendo beneficios de los millones de dólares que robó. Parte de ese
dinero fue a parar a Toey, pero probablemente nada fue para Watt.
Gonzalez y Toey recorrieron las tiendas de Miami para ver las marcas de los terminales
con los que trabajaban. Gonzalez descargó manuales y esquemas de software. Antes
de esto, Williams había visitado una tienda de OfficeMax cerca de Los Ángeles donde
desenchufó un terminal y salió de la tienda con él. Algunos hackers que trabajaban
con un contacto de Gonzalez en Estonia atacaron los ordenadores de la central de
Micro Systems en Maryland, el mayor fabricante de sistemas de puntos de venta, y
robaron software y una lista con los nombres y claves de acceso de los empleados y
se la enviaron a Gonzalez.
Entonces, una vez que Toey le introdujo en el sistema, Gonzalez ya no tuvo que
rastrear en las bases de datos para conseguir información valiosa. Podía acceder
directamente a los servidores donde llegaban los datos de las tarjetas recién utilizadas,
milésimas de segundos antes de que la información fuera enviada al banco para su
aprobación. Realizó esta operación en JC Penney, en las tiendas de ropa Wet Seal y
en Hannaford Brothers, una cadena de tiendas de alimentación. Su contacto en
Estonia utilizó la misma técnica en Dave & Buster's. "Cada vez que un comercio
pasaba una tarjeta, los datos quedaban registrados en nuestros ficheros", explica
Toey. "Nadie podía hacer nada".
Unos días antes de la Navidad de 2006, los abogados de TJX llamaron alarmados al
Departamento de Justicia y a Stephen Heymann, ayudante del fiscal de Estados
Unidos en Massachusetts. Una empresa de tarjetas de crédito había contactado con
la compañía, ya que, al parecer, habían descubierto el robo de un gran número de
tarjetas que se habían utilizado en Marshalls y en T. J. Maxx. TJX había examinado
sus servidores en Framingham y lo que habían descubierto era una catástrofe. Creían
que, durante casi un año y medio, "los datos de aproximadamente la mitad de las
transacciones realizadas con tarjetas en comercios de Estados Unidos, Puerto Rico y
Canadá" habían sido robados. Fue el mayor robo de datos de tarjetas en la historia de
Estados Unidos y no había ninguna prueba de ello.
En 2007, los abogados de Dave & Buster's llamaron al FBI. Esta empresa también
había sufrido ataques, pero su caso era diferente. Los ladrones se las habían
ingeniado para acceder al sistema de puntos de venta. En verano, Heymann y Kim
Peretti, fiscal jefe de delitos informáticos del Departamento de Justicia, tenían sobre
su mesa una gran cantidad de datos, montones de posibles pruebas y ningún rastro
sobre a quién tenían que perseguir. Desesperados, necesitaban encontrar una pista
como fuera.
Así que los agentes llamaron a cada una de las comisarías de policía y del fiscal del
distrito de todo el país en las que hubieran realizado una detención similar o estuvieran
trabajando en un caso parecido. La investigación les condujo a una cárcel de Carolina
del Norte donde se encontraba Williams. Había sido detenido llevando encima 200.000
dólares en efectivo. Los agentes del FBI conectaron un pendrive que Williams llevaba
en el momento de su detención y encontraron un fichero que contenía una fotografía
de Gonzalez, un historial de crédito y la dirección de su hermana María en Miami. "El
archivo era una medida de seguridad en caso de que Gonzalez intentara contactar
conmigo", me comentó Williams desde la cárcel el pasado mes de junio. Entonces, los
funcionarios siguieron la pista de los paquetes que Williams había enviado al apartado
de correos de Miami. Esto condujo al FBI hasta James. Registraron los archivos de la
policía y descubrieron que en 2005 un oficial de policía le había detenido de
madrugada en Palmetto Bay (Florida), junto a Scott, en el parking de una tienda.
El momento culminante llegó cuando los funcionarios del FBI finalmente consiguieron
la información del número de registro de mensajería instantánea de quien estaba
suministrando a Yastremskiy los datos de tarjetas bancarias. No había una dirección
ni un nombre, pero sí una dirección de correo electrónico: soupnazi@efnet.ru. Era la
prueba evidente para quien conociera a Gonzalez.
Enseguida, la operación "hazte rico o muere en el intento" se puso en marcha. La
policía registró los domicilios de Scott y de Gonzalez. Los agentes detuvieron a Scott
y se llevaron nueve ordenadores y 78 plantas de marihuana. En la casa de Gonzalez
encontraron varias drogas de diseño y a un medio dormido Toey. Este fue conducido
a Boston para prestar declaración ante un jurado de acusación. Les dijo a Heymann y
a Peretti dónde localizar las cuentas e-gold y WebMoney y los servidores que estaban
alojados fuera del país. Gracias a estos servidores pudieron localizar a Watt, que había
vuelto a su apartamento de Greenwich Village, donde se encontró a un grupo de
policías esperándole. También registraron la casa de Gonzalez, pero Albert no estaba
allí.
Esto fue antes de que los abogados de Heartland Payment Systems en Princeton
(Nueva Jersey) hubieran llamado a Peretti a principios de enero de 2009. Heartland,
una de las empresas más importantes del país de datáfonos, había sido atacada.
Pronto Gonzalez le confesó a Peretti que había ayudado a Annex y a Grig a entrar en
Heartland a través de una técnica conocida como inyección SQL. Por entonces, en
Heartland ya se habían dado cuenta de que algo no funcionaba bien. Este robo había
sido demasiado importante: habían desprotegido los datos de 130 millones de
transacciones. Gonzalez fue acusado en Nueva Jersey, Nueva York y Massachusetts
(donde había pruebas más contundentes del caso).
En la sentencia dictaminada en marzo, Gonzalez fue declarado culpable de todos los
cargos. Teniendo en cuenta el tiempo que pasó en prisión antes de la condena y el
buen comportamiento, probablemente saldrá de la cárcel en 2025.
En mayo, Toey ingresó en prisión para cumplir una condena de cinco años, y Scott,
una de siete. A Yastremskiy le cayeron 30 años en una cárcel de Turquía. Watt, que
afirmó que nunca supo muy bien para qué quería utilizar Gonzalez su software y no
quiso dar información sobre Gonzalez al jurado o al fiscal, ha sido condenado a dos
años.
Según el fiscal general Eric Holder, TJX, Heartland y otras empresas víctimas de los
ataques de Gonzalez tuvieron que hacer frente a más de 400 millones de dólares en
reembolsos y honorarios de abogados y forenses. Al menos 500 bancos se vieron
afectados por el ataque a Heartland. En Estados Unidos, el fraude online continúa en
auge, aunque las estadísticas muestran una caída importante en 2009 respecto a años
anteriores, cuando Gonzalez estaba en activo.
Incluso el propio Gonzalez está impresionado por la poca sensibilidad que el Gobierno
muestra por su confort. Dice que siempre imaginó que algún día iba a pasarle algo así,
"pero nunca pensé que iba a estar tan mal".