España extradita a EE UU al cerebro de una trama mundial de robo de contraseñas de internet

El 14 de marzo de 2022, Habasescu aterrizaba en el aeropuerto de Tenerife Sur y parecía ser uno más de los muchos ingenieros informáticos que ahora teletrabajan desde Canarias, pero nada más poner pie a tierra fue arrestado por las autoridades españolas, que tenían una orden internacional de detención. La justicia europea y el FBI seguían sus pasos desde hacía mucho tiempo.

La Audiencia Nacional acaba de aprobar la extradición de Habasescu a Estados Unidos, donde se le acusa de robar 150.000 claves de las 700.000 que xDedic hurtó en todo el mundo, según la investigación del Departamento de Justicia norteamericano. «Las víctimas abarcan todos los países y todos los sectores, incluidas infraestructuras gubernamentales locales, estatales y federales, hospitales, centros de llamadas al 911 (la Policía de Estados Unidos) y servicios de emergencia, grandes empresas metropolitanas de transporte, bufetes de abogados y de contabilidad, fondos de pensiones y universidades», explica el FBI, que puso el foco en xDedic cuando descubrió que se había hecho con datos de la Seguridad Social norteamericana. Los investigadores estiman que esta red ha causado daños por valor de 100 millones de euros y avisan de que los delitos pueden suponerle a Habasescu hasta 15 años de cárcel en Estados Unidos.

El hacker moldavo, administrador de xDedic, diseñó un enmarañado 'modus operandi'. Utilizaba sus conocimientos informáticos para robar las contraseñas y las subía a una especie de mercado delictivo ('marketplace') en la 'dark web', la parte de internet que queda fuera de los buscadores tradicionales y que está señalada como lugar de intercambio de contenidos pedófilos y otros delitos.

En ruso o en inglés, los 'afiliados' de xDedic se daban de alta, compraban por un precio que oscilaba entre los 6 y los 20.000 euros -pagados únicamente con bitcoines- una o varias de estas contraseñas y accedían a los servidores utilizando protocolos de escritorio remoto (RDP, por sus siglas en inglés), similares a los que usa cualquier trabajador para entrar desde su portátil en el escritorio virtual de su empresa. Una vez dentro de los servidores de sus víctimas, se les abría un mundo de posibilidades delictivas: hacerse con los datos de tarjetas de crédito, hackear servidores, timar a través de 'phishing' (correos electrónicos que buscan engañar al receptor) o pedir rescates a sus legítimos propietarios.

La Audiencia Nacional relata un caso concreto. En xDedic, un grupo de ciberdelincuentes compró por 20.000 dólares (una cantidad similar de euros) los servidores de una empresa norteamericana de asesores fiscales. Con esos datos, «perpetraron un masivo fraude de reembolso de impuestos con identidades robadas que produjo una pérdida para el Gobierno de Estados Unidos que excedió los 68 millones de dólares».

Hasabescu «actuaba como el diseñador de web principal y cerebro técnico de 'marketplace'», sostiene el auto de la Audiencia Nacional que avala su extradición. «Se encargaba del respaldo técnico del sitio web y de la atención al cliente de sus compradores y vendedores», concretan los jueces españoles, y «su actividad delictiva se considera que continuó hasta el 24 de enero de 2019».

En esa fecha clave, una operación internacional de la Policía Nacional de Ucrania, la Unidad Federal de Delitos Informáticos de Bélgica, Europol, el FBI y el Servicio de Impuestos Interno de Tampa, en Florida, bloqueó xDedic. Pero la investigación había comenzado tres años antes, cuando la empresa de seguridad informática Kaspersky puso en manos de las autoridades europeas los datos de la trama que había recopilado.

En aquel momento, xDedic había hackeado por lo menos 70.624 servidores en 173 países, con España en un papel destacado. Era el quinto país que más había sufrido estos ataques informáticos, con 3.155 servidores hackeados, solo por detrás de Brasil, China, Rusia y la India, según el informe de Kaspersky. «Sitios como xDedic aglutinan la información robada y dan acceso ilícito a cibercriminales que compran las claves en este tipo de mercados», destaca Marc Rivero, experto en seguridad de esta compañía.

Las autoridades belgas fueron las primeras en seguir la pista de servidores vendidos en su país. Hicieron «visible» las web oculta de xDedic y llegaron hasta Ucrania, donde estaban los administradores del sitio web. Mientras tanto, Estados Unidos trataba de cazar al hacker con sus propios métodos. En marzo de 2017, un agente encubierto del FBI compró en xDedic las credenciales de inicio de sesión de un servidor; en septiembre de 2018, otro agente adquirió los números de la Seguridad Social de 26 residentes en Florida y el 19 de diciembre de 2018 repitieron la operación con otro servidor. Habasescu había caído en la trampa. Las investigaciones confluyeron a finales de 2018, cuando los investigadores europeos y norteamericanos se reunieron para compartir datos. En enero de 2019, los equipos de ciberseguridad de todas estas policías tumbaron xDedic Marketplace.

Aunque el comunicado emitido entonces por la Agencia Europea para la Cooperación Judicial (Eurojust) hablaba de que se habían registrado nueve domicilios en Ucrania y tres personas habían sido interrogadas, Alex Habasescu salió aparentemente indemne de aquella persecución y quiso convertirse en una persona legal. De hecho, según su perfil en Linkedin, en octubre de 2019 comenzó a trabajar como programador y, paradójicamente, diseñador de sistemas de ciberseguridad para la empresa Design Bundles, con sede en Londres.

Más tarde, en junio de 2021 cambió de empleo, aunque en el mismo sector, y fichó por la italiana Jagaad. Apenas un mes antes de ser detenido, Hasabescu organizaba un evento en internet con el objetivo de reclutar nuevos trabajadores para la compañía. Ya estaba planeando su viaje a Tenerife, pero no podía imaginar que en la isla iba a acabar su odisea.