La policía española cree que es responsable de 300 ciberataques contra organizaciones en 90 países desde 2020.
En un operativo que involucró a varias unidades policiales y fue coordinada por la Fiscalía de Alicante, la policía española arrestó a uno de los líderes del grupo de hackers Kelvin Security, de nacionalidad venezolana, en Alicante.
El detenido, del cual no se dio a conocer su nombre por temas de investigación, estuvo involucrado principalmente en el lavado de ganancias criminales obtenidas a través de la venta de datos robados, utilizando intercambios de criptomonedas para dificultar el seguimiento del dinero.
La policía española dijo que el hacker es responsable de 300 ciberataques contra organizaciones en 90 países desde 2020. “Los principales objetivos del grupo son las infraestructuras críticas y las instituciones gubernamentales”.
En México, este grupo ha vulnerado a la Secretaría de Administración y Finanzas de la Ciudad de México, al Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y municipios donde gobierna el Partido Morena.
Kelvin Security es un grupo de hackers que se cree que ha estado activo desde 2013, aprovechando las vulnerabilidades de los sistemas públicos para obtener credenciales de usuario válidas y robar datos confidenciales de los sistemas vulnerados.
Los criminales participaban activamente en foros de piratería como RaidForums y BreachForums, donde vendían los datos robados o los filtraban de forma gratuita a otros hackers.
Dos ejemplos notables de violaciones de Kelvin Security recientes son un ataque a Vodafone Italia en noviembre de 2022 y una violación a la consultora estadunidense Frost & Sullivan en junio de 2020. En ambos casos, los cibercriminales intentaron vender los datos que habían obtenido de las empresas víctimas en foros de piratas informáticos.
Más recientemente, en abril de 2023, la empresa de ciberseguridad Cyfirma informó haber descubierto vínculos entre Kelvin Security y ARES , una plataforma de cibercrimen recientemente surgida dedicada a vender bases de datos robadas de organizaciones estatales.
La policía española señaló que la investigación sobre el grupo comenzó en diciembre de 2021, lo que demuestra lo complicado que es rastrear e identificar a los ciberdelincuentes.
La autoridad confiscó varios artículos electrónicos para una investigación forense con la esperanza de que condujeran a la identificación de cómplices, compradores de datos, afiliados y otros y compartieron un video en redes sociales que muestra la redada en la casa del presunto hacker y su arresto.
DE VIGILAR A RECOPILAR INFORMACIÓN
En marzo de este año, Hiram Camarillo, CEO de la empresa de ciberseguridad Seekurity, pudo platicar con el líder de Kelvin Security sobre las campañas de ataque y vulneración que hacía el grupo a diferentes infraestructuras digitales de empresas y gobiernos, y aquí presentamos parte de esa entrevista.
¿Cuál es tu motivación de comprometer sitios e información?
KS: Creo que en la información no nos podemos quedar con un sólo punto de vista. Lo que pueda decir un medio digital hoy en día, la guerra de informacion también está en la red. hay medios de izquierda y de derecha actualmente que no cumplen el estándar de proporcionar la noticia legible, por tanto, como organización, siempre le dedico tiempo al pirateo de plataformas. Anteriormente la organización desconfiguraba páginas, pero ya esta etapa ha pasado de una de vigilancia digital a una de recopilacion de informacion. Además, la integración al mercado de datos beneficia a la organización para seguir trabajando todos los días y liderar el mercado. Nuestra misión es cubrir todos los países que sean necesarios para disponer la información a nuestros clientes.
¿Qué beneficios obtienes al publicar información gratuitamente?
KS: La reputación es importante. Además, a muchos usuarios nuevos les genero confianza al momento de anunciar gratuitamente algo y vienen a mí a comprarme información en la dark web. Es la manera de ganar reputación con la publicación gratuita, generar confianza y ganar un buen rango para luego poder negociar sin tantos intermediarios.
¿Cuál es el principal problema de los sitios de gobierno que han sido vulnerados?
KS: He vulnerado muchos sistemas, muchos no los he publicado porque tengo a las personas indicadas que trabajan en política, en una entidad comercial o espionaje digital a quienes les ofrezco la información en privado. En cuanto a Latinoamérica es tan fácil hackear. Creo que el tiempo estimado podría ser minutos.
¿Qué piensas de las personas encargadas de la seguridad de los sitios que has vulnerado?
KS: Siempre he sido optimista con ellos, muchos son habilidosos pero, en la actualidad, por más que sepas de técnicas existen otras. Puedes desarrollar habilidades pero todo esto se gana con experiencia de ataque en tiempo real. A los hackers de simulacion les diria en lo personal que nosotros los piratas de sombrero negro nos enfocamos en vivir experiencias en ataques de tiempo real y con vulnerabilidad reales y criticas.
¿Cuánto tiempo te toma vulnerar un sitio y extraer la información?
KS: Un reconocimiento, un intento de intrusión, todo depende de la plataforma. Las más fáciles de vulnerar son las que se basan en tecnología Apache, con lenguaje de programación PHP. El primer enfoque es determinar cuántos módulos y subdominios tienen esta tecnología, así que es la primera en ser explotada hasta poder escalar a un privilegio mayor.
¿Cómo eliges a tus objetivos?
KS: Tengo clientes para muchos países de alto rango, entidades gubernamentales sobre todo e independientes para seleccionar mi objetivo. Suelo atacar a la entidad con la cual no he logrado establecer un negocio. Por tanto, cuando existe una tendencia de mis ataques, estas personas de cierto país afectado me contactan para hacer negocios. La tasa de capital para invertir en un ataque cotiza desde mil hasta diez mil dólares. Existen otros usuarios que pueden financiar mil dólares por día y otros que te ofrecen un plan mensual de ocho mil dólares por mes, dependiendo de tu capacidad. Los integrantes de mi equipo están variados en distintos países como España, México, USA, Argentina, Emiratos y juntos cotizamos en ciertos negocios.
¿Crees que los sistemas de empresas o gobierno de Latam tienen el mismo nivel de seguridad que USA o Europa?
KS: No, para nada. Latam estudia el pentesting básico. Mis amigos de Europa y USA son muy avanzados. Mis amigos asiáticos han desarrollado muchas habilidades superiores. Creo que si aprendes a identificar, explotar y crear herramientas que exploten una vulnerabilidad identificada por ti, ya puedes ser de la categoría profesional.
¿A qué grupo APT admiras?
KS: APT a ninguno. Pero hace unos días me presentaron una entrevista de trabajo para un APT asiatico. Esta entidad APT estaba integrada por un equipo tailandés. Ellos ocupan los datos de todo China, partidos, gobiernos, estaciones de policía y su incursión era atacar sitios gubernamentales sobre todo de USA. Fue uno de mis primeros retos para pertenecer a la organización. Ellos tienen un sueldo tres mil dólares mensuales trabajando remotamente y diez mil si asistes a trabajar en las oficinas en Camboya.
¿Tienes miedo de que te identifiquen?
KS: Ya estoy identificado. Primero fue en USA. Pero los organismos de mi área ya me han contactado para trabajar en equipo, con integración de la organización a entidades policiales se ha llevado esto a un nivel de cooperación digital. Algunos miembros del organismo también fueron piratas informáticos.
