en En profundidad

Operación Bayonet

Operación Bayonet: Analizando la operación que secuestró todo un mercado de la droga en la dark web

Para aquellos que hayan sido testigos del juego del gato y del ratón en los mercados ocultos de la deep web el siguiente patrón les resultará familiar: un supermercado tipo Silk Roads atrae a miles de distribuidores de drogas y sus clientes siempre sometidos a un escrutinio intenso por parte de la policía y agencias de «tres letras» (NSA, FBI ….. agencias de seguridad). Las autoridades cazan a los administradores y dejan el sitio fuera de línea (ofline) sumergido en una dramática caída para comprobar que compradores y vendedores han emigrado a otro mercado en la dark web

Por eso, cuando la Policia Holandesa siguió la pista del popular mercado Hansa en otroño de 2016, decidieron otra estrategia: no tirar el mercado, mejor tomar el control

En entrevistas realizadas por WIRED (www.wired.com), dos oficiales de la Unidad contra el Crime Tecnológico de los Paises Bajos (NHTCU), antes de dar una conferencia en el Kaspersky Security Analyst Summit, decidieron  dar detalles de sus investigaciones durante 10 meses sobre Hansa que se había convertido en el mayor mercado opaco de la dark web en Europa. A esas alturas los 3.600 distribuidores de Hansa, ofrecían más de 24.000 productos distintos, desde cocaína a MDMA o heroína así como un pequeño entrenamiento sobre herramientas de fraude y falsificación de documentos.

A su investigación sobre esa zona de «libre-comercio» se le bautizó con el nombre de Operación Bayoneta. Los investigadores alemanes no solo identificaron a los dos supuestos administradores de Hansa en Alemania, sino que además llegaron a secuestrar las dos cuentas de los dos administradores que fueron arrestados

Los oficiales de la NHTCU explicaron cómo, en la investigación posterior, vigilaron a los compradores y vendedores de Hansa. Alteraron el código fuente de la página discretamente para recabar más información de esos usuarios e incluso engañaron a docenas de vendedores anónimos de Hansa para poder establecer su ubicación (en el original los vendedores abrieron un «beacon file» en sus ordenadores para revelar su ubicación. O sea, los buenos le colocaron un malware a los malos)

Las consecuencias de este golpe, según los oficiales, ha sido una de las operaciones más exitosas contra la dark web en su pequeña historia. Se confiscaron millones de dólares en bitcoins, más de una docena de arrestos y la lista de los principales traficantes de drogas del sitio. También se consiguió una amplia base de datos sobre información de usuarios que compraron o vendieron drogas en Hansa que las autoridades dicen que van a perseguir

«Cuando un mercado oscuro cae, todo el mundo va al siguiente». «Efecto whack-a-mole» dice Marinus Boekelo uno de los investigadores de la NHTCU que trabajó en la operación contra Hansa (ignoro lo que es el efecto wack-a-mole, traducción literal -golpe ruidoso a un espía»).

Al tomar el control del lugar, en lugar de «tirarlo», Boekelo dice que el y sus coleas de la Policía Alemana, acertaron no solo a destapar a los «inocentes» usuarios de Hansa, sino además a dar una bofetada psicológica al mercado de drogas de la dar web. «Pensamos que tal vez podríamos dañar la confianza en este sistema», dijo Boekelo

Mientras que la toma de Hansa a veces involucraba una estrecha cooperación de la aplicación de la ley estadounidense y alemana, ni el Departamento de Justicia de los EE. UU. Ni la Oficina Federal de Policía Criminal respondieron a las preguntas de WIRED, dejando algunos elementos de la cuenta del NHTCU sin confirmación. Lo que sigue es la propia descripción sincera de la policía holandesa de su experiencia de indagar -y finalmente ejecutar- una de las operaciones de narcóticos en línea más importantes del mundo.

Atando cabos sueltos

A pesar de los giros dramáticos, la investigación de Hansa comenzó siguiendo una moda tradicional: con un aviso. Una compañía de investigadores en temas de seguridad creyó que habían encontrado un servidor de Hansa en los Países Bajos en un centro de proceso de datos dedicado a alojar páginas web. (La compañía de seguridad BitDefender ha pedido que se reconozca su participación en la operación contra Hansa, pero la NHTCU declinó revelar el nombre de la compañía de seguridad o de la compañía de hosting asi como otros detalles que dicen mantener en secreto para proteger sus métodos y fuentes. Incluso los nombre de los dos detenidos alemanes permanece en secreto ya que la ley alemana prohibe su difusión hasta que no se celebre el juicio)

Como dijo Boekelo, la empresa de seguridad de alguna manera encontró el servidor de desarrollo de Hansa, una versión del sitio donde probaba nuevas características antes de implementarlas en la versión en vivo que manejaba su carga formidable de miles de visitas de compradores de drogas todos los días. Mientras que el sitio en vivo de Hansa estaba protegido por Tor, el servidor de desarrollo de alguna manera había sido expuesto en línea, donde la empresa de seguridad lo descubrió y registró su dirección IP

La policía holandesa se puso rápidamente en contacto con la empresa de hosting que alojaba la web, exigió el acceso a su centro de datos e instaló un equipo de monitoreo de red que les permitió espiar todo el tráfico hacia y desde la máquina. Inmediatamente descubrieron que el servidor de desarrollo también estaba conectado a un servidor Tor protegido en la misma ubicación que ejecutó el sitio en vivo de Hansa, así como a un par de servidores en otro centro de datos en Alemania. A continuación, hicieron una copia de la unidad completa de cada servidor, incluidos los registros de cada transacción realizada en la historia de Hansa, y cada conversación que tuvo lugar a través de su sistema de mensajería anónimo

Incluso esa brecha de seguridad masiva no debería necesariamente haber expuesto a los proveedores o administradores del sitio, ya que todos los visitantes y administradores de Hansa usaron seudónimos, y los sitios protegidos por Tor solo pueden acceder los usuarios que ejecutan Tor, anonimizando sus conexiones web. Pero después de revisar el contenido de los servidores, la policía encontró un error operativo importante: uno de los servidores alemanes contenía los registros de chat de los dos supuestos fundadores en el anticuado IRC. Las conversaciones se remontaban a años atrás e, increíblemente, incluían los nombres completos de los administradores y, en un caso, su dirección particular.

Preparando la trampa

Los dos presuntos administradores de Hansa, según descubrieron los policías holandeses, cuando cruzaban la frontera en Alemania: un hombre de 30 años en la ciudad de Siegen y otro de 31 años en Colonia. Pero cuando la NHTCU se puso en contacto con las autoridades alemanas para solicitar su arresto y extradición, descubrieron que ya estaban en el radar de la policía alemana, y bajo investigación para la creación de Lul.to, un sitio que vende libros electrónicos y audiolibros pirateados

Eso dio una idea a los investigadores holandeses: tal vez podrían usar la investigación alemana existente para encubrir su propia operación, permitiendo que la policía alemana atrape a sus sospechosos de piratería de libros electrónicos y luego se haga cargo en secreto de Hansa sin molestar a los usuarios del mercado. «Se nos ocurrió este plan para tomar el control. Podríamos utilizar el arresto por lo de los libros», dice Gert Ras, el director del NHTCU. «Tuvimos que deshacernos de los administradores reales para convertirnos en los administradores nosotros mismos».

Justo cuando la complicada trampa del NHTCU comenzaba a tomar forma, sin embargo, también se estaba desmoronando: los servidores de Hansa que los policías holandeses estaban analizanzo de repente se callaron. Ras y Boekelo dicen que sospechan que su copia de los servidores de alguna manera alertó a los administradores del sitio. Como resultado, habían movido el mercado a otra ubicación protegida por Tor, mezclándolo en la vasta plataforma de máquinas anónimas de Tor en todo el mundo. «Eso fue un revés», dice Ras

Incluso entonces, sorprendentemente, los policías holandeses no cesaron en su investigación e incluso pidieron a los alemanes que arrestaran a los administradores de Hansa. Usaron pistas de sus computadoras para encontrar los servidores en el sitio al que lo habían llevado y cerrarlos. En cambio, decidieron seguir con su sigiloso plan de adquisición y pasaron los meses siguientes estudiando detenidamente las pruebas. Incluso mientras el sitio continuaba su constante comercio de drogas, siguieron intentando localizar los servidores de Hansa nuevamente y secuestrarlos discretamente. Finalmente, en abril de 2017, obtuvieron otro golpe de suerte: los supuestos administradores habían realizado un pago de bitcoin desde una dirección que se había incluido en esos mismos registros de IRC. Usando el software de análisis de cadena de bloques Chainalysis, la policía pudo ver que el pago fue a un proveedor de pagos de bitcoin con una oficina en los Países Bajos. Y cuando la policía envió a esa firma de pagos de bitcoin una demanda legal para obtener más información, identificó al destinatario de esa transacción como otra empresa de hosting, esta vez en Lituania (¿anonimato en bitcoin?: No, no es cierto)

Dos por uno

No mucho tiempo después de localizar esos servidores por segunda vez, la NHTCU se enteró de otra sorpresa inesperada: el FBI se puso en contacto con ellos para decirles que habían localizado uno de los servidores de AlphaBay, el mercado de drogas oscuras más popular del mundo en ese momento. -mucho más grande que Hansa- en los Países Bajos. Los investigadores estadounidenses se estaban acercando y querían tirar del tapón («pull the plug», entiendo que en castellano podría ser «levantar la manta», «tirar de la manta»), justo cuando los holandeses planeaban apoderarse de Hansa

La policía holandesa se dio cuenta rápidamente de que después de que AlphaBay se cerrara, sus refugiados buscarían un nuevo mercado. Si su esquema funcionaba, los usuarios de AlphaBay inundarían a Hansa, que estaría secretamente bajo control policial. «No solo obtendríamos este efecto de socavar la confianza en los mercados oscuros, sino que también obtendríamos esta afluencia de personas», dice Ras. Podrían vigilar una porción mucho mayor de la economía de la red oscura, dice, e infundir en los usuarios la sensación de que no había dónde esconderse. Incluso huir a otro mercado no les permitiría escapar del alcance de las fuerzas del orden público

Con las piezas del plan de intervención de los servidores en su lugar, la policía holandesa envió un par de agentes al centro de datos de Lituania, aprovechando el tratado de asistencia legal mutua de los dos países. El 20 de junio, en un movimiento cuidadosamente programado diseñado para atrapar a los dos sospechosos alemanes en el teclado, la policía alemana entró en las casas de los dos hombres, los arrestó y se apoderó de sus computadoras con sus discos duros sin cifrar. Luego, los alemanes señalaron a la policía holandesa, que inmediatamente comenzó la migración de todos los datos de Hansa a un nuevo conjunto de servidores que ya estaban bajo control policial completo en los Países Bajos

«Coordinamos con los alemanes, de modo que cuando tiraron la puerta, inmediatamente comenzamos nuestra acción», dice Boekelo. «No queríamos tener ningún tiempo de inactividad».

Al ser interrogados en una cárcel alemana, los dos hombres entregaron las credenciales de sus cuentas, incluido el sistema de chat entre pares de Tor que habían usado para comunicarse con los cuatro moderadores del sitio. Después de tres días, Hansa fue «migrada» (entiéndase «secuestrada» por completo a los Países Bajos y bajo el control de la policía holandesa. Ningún usuario, o incluso esos moderadores, parecieron haber notado el cambio.

Control total

Durante el siguiente mes, la policía holandesa sacó provecho de su papel de «administrador» del mayor mercado de la droga en la dark web, para llevar a cabo una vigilancia cada vez más agresiva de sus usuarios. Reescribieron el código del sitio para registrar la contraseña de cada usuario, en lugar de almacenarla como hashes cifrados. Modificaron una función diseñada para cifrar automáticamente los mensajes con las claves PGP de los usuarios, de modo que guardase el texto completo de cada mensaje antes de cifrarlo, lo que en muchos casos les permitía capturar las direcciones de los compradores mientras enviaban la información a los vendedores. El sitio se configuró para eliminar automáticamente los metadatos de las fotos de los productos cargados en el sitio; alteraron esa función para que primero grabara una copia de la imagen con los metadatos intactos. Eso les permitió sacar datos de geolocalización de muchas fotos que los vendedores habían tomado de sus mercancías ilegales

Según cuentan, la policía finalmente se volvió tan «descarada» (confiada dentro del riesgo) que simularon un falso error del servidor que borró todas las fotos del sitio, lo que obligó a los vendedores a volver a subir fotos y a las autoridades holandesas tener otra oportunidad de capturar los metadatos. Ese simple maniobra consiguió las coordenadas geolocalizadas de más de 50 vendedores

En quizás su movimiento más intrusivo de todos, el NHTCU dice que esencialmente engañó a los usuarios para descargar y ejecutar un faro de referencia («homing beacon». Traducción literal «faro de vuelta al palomar». Digamos que simplemente les introdujeron un malware). Hansa ofreció a los vendedores un archivo para que sirviera como clave de respaldo, diseñado para permitirles recuperar el bitcoin que se les enviaba después de 90 días, incluso si los sitios estaban caídos. Los policías reemplazaron ese documento de texto inofensivo con un archivo Excel cuidadosamente elaborado, dice Boekelo. Cuando un vendedor lo abría, su dispositivo se conectaba a una URL única, revelando la dirección IP del vendedor a la policía. Boekelo dice que 64 vendedores cayeron en la trampa

(NOTA: No viene en el texto pero deduzco que de alguna forma se dejaba 1 BTC de señal, o algo parecido, que luego se les devolvía. Ese «faro de referencia» permitía recuperar el BTC aún estando el sitio de Hansa caído)

Durante todo el engaño, Hansa prosperó bajo el control secreto de la NCHTU. Los agentes encubiertos habían estudiado los registros de las conversaciones reales de los administradores con sus moderadores y los usuarios del sitio el tiempo suficiente para suplantarlos convincentemente, dicen Ras y Boekelo. De hecho, un equipo completo de oficiales se turnaron para hacerse pasar por los dos administradores, de modo que cuando las disputas entre compradores y vendedores escalaron más allá de la autoridad de los moderadores, los agentes encubiertos estaban listos para lidiar con ellos aún más eficientemente que los administradores reales. «La calidad realmente aumentó», dice Ras. «Todos estaban muy satisfechos con el nivel de servicio que obtuvieron»

Lanzar la trampa

Ese buen hacer también hizo de Hansa el destino natural cuando AlphaBay repentinamente desapareció  (5 de julio de 2017). A medida que los compradores de drogas se impacientaban, eventualmente más de 5,000 al día acudieron en manada a Hansa, ocho veces la tasa de registro normal, dice el NHTCU, y todos cayeron inmediatamente bajo vigilancia policial.

Una semana después de la última caída de Alphabay, el Wall Street Journal informó que los servidores del sitio habían sido confiscados en una redada policial y que su fundador, el canadiense Alexandre Cazès, aparentemente se había suicidado en una prisión tailandesa. Las noticias arrojaron al caos a la comunidad de compradores y vendedores de droga de la dark web. La inundación resultante de refugiados Alphabay se hizo tan grande que el NHTCU cerró nuevos registros durante diez días. La policía estaba obligada por la ley holandesa a rastrear e informar a Europol de todas las transacciones que ocurrían en el sitio bajo su control; con aproximadamente 1,000 transacciones ilegales ocurriendo todos los días bajo su vigilancia, la documentación se estaba volviendo inmanejable

Durante su tiempo como administradores del mercado negro, la policía holandesa solo prohibió un producto en Hansa: el opioide altamente peligroso Fentanyl. Todas las otras drogas en el sitio continuaron fluyendo libremente, una circunstancia sobre la cual Ras y Boekelo no presentaban objeciones. «Se habrían llevado a cabo de todos modos», dice Ras sin dudarlo, «pero en un mercado diferente».

Sin embargo, después de 27 días y alrededor de 27,000 transacciones, el NHTCU decidió terminar con la farsa (to hang up its ledger – colgar el libro mayor. No tiene traducción al castellano). Desconecto a Hansa, reemplazando el sitio con un aviso de incautación y un enlace al sitio Tor de la NHTCU que muestra una lista de compradores y vendedores de droga identificados y arrestados. «Hacemos un seguimiento de las personas que están activas en Dark Markets y ofrecen bienes o servicios ilícitos», decía el sitio. «¿Eres uno de ellos? Entonces tienes nuestra atención».

Las consecuencias (Fallout – precipitación radicativa, restos radiactivos)

La policía holandesa terminó con la suplantación en Hansa y ofreció recompensas concretas: obtuvieron al menos algunos datos sobre 420.000 usuarios, incluyendo al menos 10.000 direcciones de domicilios, que entregaron a Europol para ser distribuidas a otras agencias policiales de Europa y el mundo. Desde la finalización del engaño, dice Ras, han arrestado a una docena de los principales vendedores de Hansa, con más arrestos planificados para las próximas semanas. Se incautaron de 1.200 bitcoins de Hansa, por un valor de alrededor de 12 millones USD (al cambio en ese momento). Dado que Hansa utilizó transacciones multifirma de Bitcoin para proteger los fondos de la incautación policial, esa confiscación solo fue posible porque la NHTCU se había apoderado del sitio y saboteó su código para desactivar esa función durante el último mes que Hansa estuvo on line (se hizo con varias claves privadas)

La policía holandesa dice que también han realizado aproximadamente 50 visitas personales a los hogares de los compradores para avisarles que han sido identificados por sus compras de drogas en la red oscura, aunque dicen que solo uno, el que más volumen compró, ha sido arrestado hasta el momento. «Queremos que las personas estén al tanto», dice Ras. «Tenemos los datos. Está aquí y no va a desaparecer».

En cuanto al impacto de la operación en el comercio global de drogas, la policía señala un estudio de la Organización Holandesa para la Investigación Científica Aplicada, que encontró que el secuestro de Hansa tuvo un resultado significativamente diferente a los cierres realizados hasta la fecha. Si bien la mayoría de los vendedores de droga que huyeron de AlphaBay aparecieron poco después en otros sitios en la dark web, aquellos que huyeron de Hansa no lo hicieron, o si lo hicieron, cambiaron su identidad en línea lo suficiente como para no reconocerlos. «En comparación con los derribos de Silk Road, o incluso con el derribo de AlphaBay, el cierre de Hansa Market se destaca de manera positiva», dice el informe. «Vemos los primeros signos de una intervención policial que cambia el juego».

Otros investigadores de la dark web no están tan seguros. Nicolas Christin, investigador de Carnegie Mellon, dice que es difícil medir el impacto a largo plazo de la operación de Hansa, ya que los compradores y vendedores de drogas aún acuden a sitios alternativos como Dream Market, el nuevo sitio de compra venta de drogas en la dark web, e incluso a sitios de solo invitación creados por vendedores individuales. «Creo que en el corto plazo, creó una gran agitación», dice Christin. «Si fue sostenido, realmente no lo sé».

En cuanto a los usuarios de Hansa, la opinión parece dividida. «Parece que estaré sobrio por un tiempo. No confío en ningún mercado», escribió un usuario en el foro reddit de Reddit el día en que se anunció el derribo de Hansa el verano pasado.

Pero algunos insistieron en que la red oscura rebotaría, incluso desde la operación más elaborada que jamás se haya visto. «Las cosas se estabilizarán, siempre lo hacen», escribió ese usuario anónimo. «El gran juego de whack-a-mole nunca termina».