Llegó a España en 2014 y se le considera uno de los mayores ciberladrones del mundo. El presunto hacker ucraniano Denis K., de 34 años y apresado a principios de mes en la Playa de San Juan -como ya adelantó este diario el pasado 18 de marzo-, era un auténtico «genio informático» al que la Policía acusa de liderar un grupo de ciberdelincuentes que robó más de mil millones de dolares a bancos de cuarenta países y que llegó a acumular en sus cuentas 15.000 bitcoins, unos 120 millones de euros al cambio actual. Sin embargo, los investigadores sospechan que su fortuna actual es muy inferior, entre otros motivos por sus disputas con la mafia rusa, con la que trabajaban para recoger el dinero de los cajeros automáticos que programaban para vaciarlos de dinero.

En el registro realizado en su domicilio de la Playa de San Juan -solía cambiar de casa con frecuencia para burlar a las Fuerzas de Seguridad- la Policía intervino equipos informáticos, joyas valoradas en 500.000 euros, documentación y dos vehículos de alta gama. Además se han bloqueado cuentas bancarias y dos viviendas valoradas en cerca de un millón de euros.

El ministro del Interior, Juan Ignacio Zoido, que presentó ayer el balance de la operación junto a mandos de la Policía, Europol y FBI, resaltó que el apresado en Alicante es el cerebro de cientos de ciberatracos a entidades bancarias. Obtenían en cada uno más de un millón y medio de dólares y el dinero lo convertían rápidamente en criptomonedas para moverlo con facilidad y blanquearlo. Europol señaló, por su parte, que la organización de ciberdelincuentes se infiltró en más de cien entidades financieras de más de 40 países y comenzó a actuar a finales de 2013.

El hacker, que vivía en la Playa de San Juan junto con su mujer y una hija de corta edad, operaba junto con otros tres miembros de la organización, de nacionalidad rusa y ucraniana, los cuales aún no han sido capturados y con los que contactaba en internet, nunca de forma personal. Según la Policía, estos ciberdelincuentes infectaban con un software malicioso los sistemas informáticos de entidades bancarias, principalmente rusas, pero también de Bielorrusia, Azerbaiyán, Kazajistán, Ucrania y Taiwan. Al final tomaban el control de los sistemas críticos de los bancos de forman que podían vaciar cajeros de forma remota, alterar saldos o realizar transferencias.

Desde que comenzaron a operar en el año 2013 este grupo de delincuentes logró acceder a prácticamente todos los bancos de Rusia. Inicialmente lanzaron la campaña de malware Anunak, que estaba centrada en transferencias fraudulentas y cajeros automáticos que desvalijaban por todo el mundo. El programa malicioso de Anunak fue mejorado hasta conseguir una versión más sofisticada conocida como Carbanak, que se usó en 2016. A partir de ese momento, los ciberdelincuentes centraron sus esfuerzos en desarrollar una ola de ataques aún más sofisticada con el software Cobalt Strike.

Desde mediados del año 2017 la organización se centró en el desarrollo de una nueva herramienta indetectable que tenía mayores capacidades y sofisticación. Cuando tuvieron disponible una versión de evaluación probaron su efectividad para penetrar en los sistemas de entidades bancarias de todo el mundo, teniendo previsto utilizarla para sus ciberatracos de forma inminente. Los investigadores han logrado obtener una muestra de este nuevo software durante el análisis de los dispositivos informáticos intervenidos al detenido.

De la mafia rusa a la moldava

A pesar del elevadísimo nivel técnico de sus integrantes, los ciberdelincuentes necesitaban el apoyo de otros grupos criminales para coordinar el trabajo de las «mulas» encargadas de las extracciones de dinero en efectivo de los cajeros automáticos que atacaban. Hasta 2015 fue la mafia rusa la encargada de este cometido y a partir de 2016 lo hizo la mafia moldava. Cuatro de estas «mulas» han sido arrestadas en el Reino Unido, Taiwán, Bielorrusia y Kirguizistán.

Aunque cifran en más de 1.000 millones de dólares el botín de los robos, la cifra puede ser mucho mayor. El dinero en efectivo sustraídos a los bancos era cambiado a bitcoins en casas de cambio de Rusia y Ucrania. Los bitcoins eran transferidos a cuentas del detenido en Alicante. El hacker usaba plataformas financieras en Gibraltar y Reino Unido para cargar tarjetas prepago con esta criptomoneda que podía usar en España para comprar todo tipo de bienes y servicios, incluidos vehículos y viviendas.

El altísimo nivel de vida que habría llevado el detenido en Ucrania y en España, junto con inversiones realizadas en infraestructura cibernética necesaria para ejecutar nuevos ataques e incrementar los beneficios, a lo que hay que sumar pérdidas millonarias en disputas con la mafia rusa y en plataformas de intercambio de criptodivisa, hace sospechar que su patrimonio actual en moneda virtual habría disminuido considerablemente.

La intervención de la Policía Nacional se llevó a cabo en un operativo coordinado por Europol y la Fiscalía Especializada de Criminalidad Informática y contó con la colaboración del FBI y de las autoridades de otros países como Rumanía, Bielorrusia y Taiwán. "Estamos ante una de las operaciones más importantes de la Unidad Central de Ciberdelincuencia de la Policía Nacional por la transcendencia internacional del cibercriminal detenido", destacó ayer el ministro del Interior, Juan Ignacio Zoido, durante una comparecencia pública realizada para informar de este "complicadísimo trabajo de investigación".