A partir de una investigación conjunta dirigida en Argentina por la titular de la Fiscalía en lo Criminal y Correccional Federal N°10, Paloma Ochoa, y por el titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), Horacio Azzolin, y que incluyó a ministerios públicos fiscales y agencias policiales de otros cinco países de habla hispana, fue desbaratada una red criminal internacional liderada por un santafesino con antecedentes que, desde una plataforma, vendía y enseñaba a otros cibercriminales métodos de phishing para desbloquear celulares de alta gama robados o extraviados.
La denominada “Operación Kaerb” (su nombre deviene de invertir la palabra en inglés “break” y alude al quiebre que lograban sobre el bloqueo de los teléfonos) fue articulada por cuerpos policiales y fiscalías de España, Argentina, Colombia, Chile, Ecuador y Perú, en operativos realizados en forma coordinada desde el pasado 10 de septiembre, con el apoyo de EUROPOL, AMERIPOL y del Programa de la Unión Europea para fortalecer la lucha contra el Crimen Organizado en América Latina y el Caribe, conocido como PAcCTO 2.0.
En los seis países mencionados, se realizaron un total de 28 allanamientos en los que se secuestraron 921 efectos -696 son celulares de alta gama- y se detuvo al menos a 17 personas de nacionalidad argentina, búlgara, colombiana, ecuatoriana, española, peruana, venezolana y uruguaya.
Además, se incautaron 38 computadoras, 34 discos duros, 53 memorias portátiles, 11 tablets, tres vehículos, dos armas de fuego, un dron, dinero en efectivo de diferentes nominaciones, criptoactivos y pastillas de éxtasis (MDMA).
En Argentina, los detenidos fueron cinco en doce allanamientos pedidos por Ochoa y Azzolin, ordenados por el juez federal Daniel Rafecas y realizados por Gendarmería Nacional y la Policía Federal en la Ciudad Autónoma de Buenos Aires (5), Santa Fe (3), Córdoba (3) y Jujuy (1). Hay un sexto imputado en nuestro país que aún permanecía prófugo, con pedido de captura.
iServer, la plataforma del grupo criminal
La organización criminal actuaba a través de una plataforma digital denominada iServer, que operaba en un escenario de “crimen como servicio” (crime as a service), es decir, un modelo de negocio en el que los ciberdelincuentes ofrecen herramientas, servicios y recursos relacionados con actividades ilegales a otros grupos criminales a cambio de dinero.
Según la investigación, la plataforma estaba dirigida a los denominados “desbloqueadores” que, al pagar una cuota mensual de 120 dólares, desde iServer tenían acceso a detalladas instrucciones, técnicas y métodos de phishing -captación engañosa de datos personales- para obtener las credenciales de acceso al dispositivo robado y a la denominada “vida digital” de la víctima.
En concreto, se creaban mensajes vía SMS que simulaban provenir del fabricante del celular en los que se informaba al receptor que su teléfono extraviado o robado se había geolocalizado.
Ese mensaje incluía un enlace -link- que direccionaba al usuario a un sitio web que también aparentaba ser de la empresa -por ejemplo iCloud de Apple en el caso de los iPhone- donde, con la esperanza de recuperar el dispositivo, la víctima ingresaba sus claves y así las obtenían los delincuentes para desbloquear los equipos y reinsertarlos en el mercado de reventa.
La plataforma iServer fue identificada como un punto central en esta red criminal, operando bajo diferentes dominios y utilizando métodos de pago anónimos.
La red tenía más de 2.000 usuarios registrados y generaba ingresos estimados en más de 250.000 dólares anuales. Hasta la fecha, se han desbloqueado aproximadamente 1.300.000 celulares mediante el uso de 5.300 páginas web falsas. La investigación identificó un total de 483.000 damnificados, entre los que México lidera el ranking con 80.000, seguido de Chile con 77.000 y de Colombia con 70.000. Argentina aparece en el séptimo lugar con 29.000.
Los investigadores informaron que, con los últimos procedimientos realizados ayer en Colombia y como parte de la operación, se dio de baja el servicio que ofrecía la plataforma iServer y se desmanteló la infraestructura tecnológica utilizada para cometer estos delitos.
Un santafesino con condena, administrador de la red
La investigación conjunta de la fiscal federal Ochoa y el fiscal general Azzolin se inició en junio pasado, a partir de una denuncia realizada por el propio titular de la UFECI, en la que se daba cuenta que desde Gendarmería habían reportado que un oficial de enlace de la Policía Nacional de España ante Europol informó que la maniobra de phishing descripta estaba afectando a usuarios de Europa y Latinaomerica y que todo tenía su origen en la plataforma iServer.
Azzolin explicó en esa denuncia que Europol realizó una búsqueda mediante la cual hallaron una página de Facebook de nombre @iserverplatform desde donde se ofrecían los servicios de la plataforma.
Tras un análisis intensivo, se arribó a una casilla de correo electrónico mencionada en un fallo de la Cámara Federal de Casación Penal durante el trámite de una causa en la que terminó condenado, también por ciberdelitos, Iván David Cudde (33), un hombre domiciliado en la ciudad de Santa Fe, que ahora fue detenido en el marco de esta investigación como el principal imputado, ya que se le atribuye ser el presunto administrador de iServer.
En un juicio abreviado ante el Tribunal Oral en lo Criminal Federal N°2 de Rosario y junto a un segundo imputado, Cudde fue condenado en mayo de 2023 a 3 años de prisión condicional y a pagar una multa por la filtración de fotos íntimas de una mujer que, al momento de los hechos, en 2017, se desempeñaba como diputada nacional.
La condena fue como partícipe necesario de amenazas coactivas en concurso ideal con acceso ilegítimo a un sistema informático y falsificación y uso de una marca registrada en calidad de autor.
En ese caso -donde también intervino la UFECI- en otra clara maniobra de phishing la víctima recibió correos electrónicos que aparentaban ser del equipo de soporte técnico de Google, donde le sugerían un cambio en la contraseña con un enlace que redireccionaba a una página que simulaba ser una plataforma de acceso a Gmail pero era el sitio donde le robaron las claves con las que accedieron a fotos íntimas que luego publicaban en redes sociales y con las que la extorsionaban.
En la denuncia que originó esta nueva causa que lo tiene como principal imputado, Azzolin sostuvo que “Cudde ofrecía su plataforma mediante la página de Facebook @iserverplatform como ‘Platform For Unlockers’, donde enumeraba todos los servicios que ésta prestaba, como así también se aclaraba que los mismos poseían un costo mensual de 120 dólares”.
“Los autores del hecho son los desbloqueadores, que reciben los teléfonos sustraídos o extraviados y, para desbloquearlos y poder revenderlos (ánimo de lucro) contratan los servicios de la plataforma de Cudde”, explicó el fiscal general.
Pero aclaró que “la participación de Cudde es esencial (necesaria) para realizar los desbloqueos por cuanto aporta, utilizando sus especiales conocimientos técnicos, una herramienta necesaria para que quienes adquieren o utilizan ilegítimamente un dispositivo móvil puedan desbloquearlo y reinsertarlo en el mercado de las telecomunicaciones móviles como ‘libres’, lucrando con esta conducta”.
Fuente: Fiscales