Así están atrapando a los cibercriminales de la 'dark web'

La sabiduría convencional dice que cualquiera debería implementar seguridad básica en línea, como usar diferentes contraseñas para diferentes cuentas. Y cuando quieres permanecer anónimo, no publiques tu correo electrónico en foros públicos, o lo vincules a cosas como Facebook o Instagram.

Pero fallar en ello es lo que ayudó a las autoridades estadounidenses a acabar con algunos de los cibercriminales más notorios de la dark web.

En la conferencia de seguridad Black Hat en Las Vegas, celebrada esta semana, los abogados Harold Chun y Norman Barbosa describieron cómo los fiscales federales crearon un caso contra el famoso hacker y estafador de tarjetas de crédito, Roman Seleznev. Fue un esfuerzo de varios años que requirió de una atención meticulosa a los detalles, incluyendo encontrar vínculos entre la cuenta de correo que usaba para transacciones personales y criminales.

Lee: Facebook se une a Harvard para luchar contra el hackeo en las elecciones

Había dos cuentas de correo diferentes que Seleznev ligó a su persona en línea. Pero también cometió errores y las usó para comunicaciones personales. Él usó un correo para abrir una cuenta de PayPal asociada con su dirección de casa real, y otra para enviar un regalo a su esposa.

"Encontramos una cantidad de cosas que nos llevaban de regreso a él, incluyendo un pedido de flores que realizó para su esposa con su propio nombre, con un teléfono que surgió en otros registros ligados a él”, dijo Barbosa, asistente del fiscal de Estados Unidos para el distrito de Washington y coordinador de la oficina de crímenes cibernéticos y propiedad intelectual.

Además, como los federales sabían que Seleznev usaba las mismas contraseñas en una variedad de cuentas en línea, fueron capaces de adivinar inmediatamente la contraseña de su laptop que contenía 1.7 millones de números de tarjetas de crédito. Seleznev fue arrestado en las islas Maldivas en 2014 y sentenciado a 27 años en prisión en abril de este año.

Recomendamos: A los piratas informáticos les 'hackearon' su imagen

El caso del estafador no es inusual. La semana pasada, el departamento de Justicia estadounidense anunció la caída de AlphaBay, el mercado más grande de la dark web. En él, los criminales podían vender y comprar todo desde drogas, armas de fuego y malware.

Alexandre Cazes, el administrador de 25 anos de AlphaBay, fue arrestado en Tailandia a principios de este mes y se suicidó mientras estaba bajo custodia.

En la queja interpuesta contra Cazes, los fiscales estadounidenses enlistan una variedad de sus fallas de seguridad. En un punto, el administrador incluyó su correo personal "Pimp_Alex_91@hotmail.com" en el titular de los correos a nuevos usuarios y el proceso de recuperación de contraseña en AlphaBay. El mismo correo fue usado para publicar en otros foros en internet, donde firmó con su nombre real.

Los líderes no son los únicos capturados por una mala seguridad. El lunes, el Departamento de Justicia anunció que dos narcotraficantes de AlphaBay fueron sentenciados a seis años y medio en prisión. Los federales fueron capaces de determinar que uno de ellos ligó su correo y nombre de usuario en la dark web a sus cuentas reales de Instagram, Facebook y Twitter.

De acuerdo con Chun, ahora un abogado independiente, la seguridad operativa está mejorando, pero los criminales todavía pueden cometer errores fácilmente.

"La parte difícil es mantener tu perfil en línea y tu persona real completamente separados”, dijo Chun. “A veces tu VPN falla, a veces los errores simplemente suceden en tu hardware. Y si el personal de la ley ve ese error, es algo en lo que puede trabajar”.