Las fuerzas del orden europeas han hecho lo que cualquier buen portero haría: hackearon un servicio VPN utilizado por bandas de ransomware y otros delincuentes digitales, identificaron a miles de usuarios, luego cerraron todo el tinglado y arrestaron al administrador.
Europol anunció ayer que la operación se dirigió contra First VPN, un servicio cuyo sitio web ahora muestra un aviso de incautación en lugar de sus habituales promesas de invisibilidad total. "Durante años, el servicio, conocido como 'First VPN', fue promocionado en foros de ciberdelincuencia de habla rusa como una herramienta confiable para permanecer fuera del alcance de la ley", dijo la agencia. Resulta que esa confianza estaba algo fuera de lugar.
La investigación comenzó en diciembre de 2021, y en algún momento los investigadores lograron ingresar al servicio, obtener su base de datos de usuarios e identificar conexiones VPN utilizadas por delincuentes que intentaban ocultarse. Bitdefender, el proveedor de seguridad, echó una mano. "La inteligencia recopilada expuso a miles de usuarios vinculados al ecosistema de la ciberdelincuencia", dijo Europol.
El Cuerpo Nacional de Policía de los Países Bajos señaló que antes de incautar los dominios, "la policía tenía acceso al tráfico criminal de los usuarios del servicio, quienes erróneamente se creían seguros". Eso es el equivalente digital de descubrir que tu escondite secreto tenía una cámara oculta todo el tiempo.
El sitio web de First VPN, conservado por Internet Archive, prometía ocultar direcciones IP, cifrar comunicaciones y ocultar acciones "del proveedor y otras personas interesadas". También hacía la clásica promesa de "sin registros", asegurando a los clientes que no se guardarían registros para las fuerzas del orden u otros terceros. "¡El Gran Hermano te vigila, nosotros no!", proclamaba el sitio. Bueno, el Gran Hermano estaba vigilando, solo que no el que esperaban.
La VPN se anunciaba principalmente en foros de ciberdelincuentes, dirigida a criminales como clientes potenciales y afirmando que nunca cooperaría con ninguna autoridad judicial. Eurojust, la agencia de cooperación judicial de la UE, dijo que First VPN prometía que "no cooperaría con ninguna autoridad judicial, que no almacenaría datos y que el servicio no estaría sujeto a ninguna jurisdicción".
First VPN había estado activo desde 2014 y proporcionaba 32 servidores de nodo de salida en 27 países, dijo el FBI en una alerta de inteligencia. Se anunciaba en foros en ruso que "proporcionan mercados para que los ciberdelincuentes compren y vendan acceso no autorizado a sistemas informáticos, información de identificación personal robada, herramientas de hacking y contrabando". Al menos 25 grupos de ransomware, incluido Avaddon Ransomware, utilizaron la infraestructura de First VPN para reconocimiento de redes e intrusiones. El FBI señaló que sus direcciones IP se utilizaron para actividades de escaneo, botnets, ataques de denegación de servicio, estafas y hacking.
La operación produjo 83 "paquetes de inteligencia", compartió información sobre 506 usuarios a nivel internacional y ha avanzado 21 investigaciones apoyadas por Europol hasta ahora. Las autoridades derribaron la VPN el 19 y 20 de mayo, "entrevistaron al administrador y realizaron un registro domiciliario en Ucrania", y desmantelaron 33 servidores. Las incautaciones de dominios se dirigieron a 1vpns.com, 1vpns.net, 1vpns.org y dominios onion asociados. "Los usuarios del servicio criminal han sido notificados del cierre y se les ha informado de que han sido identificados", añadió Europol, que probablemente no es la notificación que esperaban.