En una actuación sin precedentes a nivel mundial, agentes de la Policía Nacional y de la Guardia Civil, con el apoyo de EUROPOL, han participado en una operación en la que 17 países, entre ellos España, aunaron sus esfuerzos para desmantelar la mayor plataforma conocida hasta ahora de venta de credenciales de accesos a servicios on-line de todo tipo: Genesis Market.
Como resultado de esta operación, se ha detenido a 119 personas y se han practicado 208 entradas y registros. La plataforma, conocida como Génesis Market, fue desactivada el pasado 4 de abril, coincidiendo con la detención de todos los usuarios de la misma, que habrían hecho uso de la información facilitada en Génesis para acceder de forma fraudulenta a diversos servicios online, suplantando la identidad de sus víctimas.
¿Qué era Genesis Market?
Genesis Market operaba como un mercado clandestino de credenciales desde 2018. Este market ofrecía a sus clientes la posibilidad de adquirir credenciales de diferentes administraciones públicas, entidades privadas o particulares y, por medio de un software especifico poder recrear su huella digital.
La principal mercancía delictiva de Genesis Market eran las identidades digitales. Al comprar un bot de este tipo, los delincuentes obtenían acceso a todos los datos recopilados por él, como huellas dactilares, cookies, inicios de sesión guardados y datos de rellenado automático de formularios.
Junto a los datos, Genesis Market también proporcionaba a la comunidad hacker un programa especialmente diseñado para usar los datos robados e imitar el ordenador de la víctima. El sistema o plataforma entendía que se trataba del usuario legítimo desde su ordenador ya registrado y no un desconocido.
Lea también: Todo Riesgo con Franquicia Génesis: ¿Vale la pena?
¿Cómo actuaba Genesis Market?
Este mercado ofrecía bots que se utilizaban para robar datos de usuarios a través de un malware que infectaba los dispositivos o de ataques que daban acceso a las cuentas de servicios digitales. Así, proporcionaban las bases de datos que robaban y las herramientas para el uso de los bots.
Los usuarios podían realizar búsquedas de bots de interés en base a distintos parámetros, como país de ubicación del equipo infectado, servicios online a los que se deseaba acceder con las credenciales y huella digital sustraídas, etc.
Los delincuentes que compraban estos bots especiales no sólo recibían datos robados, sino también los medios para utilizarlos. A los compradores se les proporcionaba un navegador personalizado que imitaba el de su víctima. Esto permitía a los delincuentes acceder a la cuenta de su víctima sin activar ninguna de las medidas de seguridad de la plataforma en la que estaba la cuenta.
El precio por bot oscilaba entre 0,70 dólares y varios cientos de dólares, dependiendo de la cantidad y la naturaleza de los datos robados. Esta accesibilidad hacía que la adquisición de bots estuviese al alcance de un amplio rango de potenciales clientes.
Entre los ataques informáticos que esta actividad comercial provocaba está el ransomware en el que los cibercriminales accedían a los perfiles de las víctimas, secuestraban información importante y pedían un rescate por recuperarlos.
Lea también: Génesis: ¿Qué dicen los usuarios?
Además, a diferencia de otros mercados delictivos, Genesis Market era accesible en la web abierta, aunque oculto a las fuerzas de seguridad tras un velo de sólo invitación.
Magnitud del mercado clausurado
Para dar una idea de la magnitud del mercado de credenciales ahora clausurado, basta decir que los datos a la venta ascendían a más de 1,5 millones de bots, que incluían información de más de 2 millones de identidades a nivel mundial. El número total de credenciales comprometidas en España supera las 700.000.
La magnitud de este negocio ilegal ascendía a datos de venta de más de 1,5 millones de bots, que incluían información de más de 2 millones de identidades a nivel mundial.
Investigación y colaboración internacional
La investigación ha sido liderada por el FBI y la Policía Holandesa y ha contado con el apoyo de EUROPOL, que dispuso un Centro de Control en sus instalaciones de La Haya para centralizar la información facilitada por los países participantes y agilizar las comunicaciones entre ellos.
El Centro Europeo de Ciberdelincuencia (EC3) de Europol ha estado apoyando esta investigación desde 2019 coordinando la actividad internacional con la ayuda del Grupo de Acción Conjunta contra la Ciberdelincuencia (J-CAT) alojado en Europol. El apoyo del EC3 incluyó el análisis de datos, la organización de reuniones operativas y la facilitación del intercambio de información.
Lea también: Guía Completa: Carrefour Market
Eurojust facilitó activamente la cooperación judicial transfronteriza entre las autoridades nacionales implicadas.
La dispersión geográfica de los países que han colaborado en esta investigación ha supuesto un tremendo reto de coordinación a la hora de hacer coincidir el momento de las detenciones y registros domiciliarios, debido a los diferentes husos horarios aplicables a cada uno de ellos.
Las investigaciones en España han sido llevadas a cabo por un equipo conjunto formado por especialistas en ciberdelincuencia de Policía Nacional y Guardia Civil, tanto de sus servicios centrales como periféricos y han supuesto la participación en múltiples reuniones de coordinación, tanto a nivel nacional como internacional.
Del análisis de los datos recuperados de Génesis Market se pudo determinar la existencia de usuarios afincados en España, cuyos datos han sido minuciosamente analizados y contrastados para verificar su grado de implicación en actividades ilícitas que conlleven el uso de las credenciales sustraídas.
En el aviso que apareció en el sitio web de Genesis Market pueden verse en la esquina inferior de la izquierda los logos de la Guardia Civil y la Policía Nacional de España, país participante en la mega-operación. En declaraciones recientes, el entorno del FBI ha afirmado que sospecha que la procedencia del mercado sea Rusia.
La Policía holandesa ha desarrollado un portal para comprobar si su información se ha visto comprometida.
Las autoridades y los expertos en ciberseguridad recomiendan aplicar medidas extra a los sistemas informáticos y perfiles digitales para dificultar el trabajo a los piratas informáticos.