Operación Bayoneta (red oscura)

Operación policial multinacional de 2017 dirigida a los mercados de la Darknet de Alphabay y Hansa

La Operación Bayoneta fue una operación policial multinacional que culminó en 2017 y que tenía como objetivo los mercados de la darknet AlphaBay y Hansa . ^{[1] [2] [3]} Muchos otros mercados de la darknet también fueron cerrados. ^[4]

Metodología

Investigadores de varias agencias policiales, incluido el FBI , la DEA y Europol, localizaron al canadiense Alexandre Cazes, el presunto fundador de AlphaBay, debido a una serie de errores de seguridad operativa :

• Cuando el servicio comenzó a funcionar en diciembre de 2014, Cazes utilizó su dirección de Hotmail [email protected] como dirección "De" en los correos electrónicos de bienvenida y restablecimiento de contraseña generados por el sistema, que también utilizó para su perfil de LinkedIn y su negocio legítimo de reparación de computadoras en Canadá. ^[5]
• Cazes utilizó un seudónimo , Alpha02, para administrar el sitio que había utilizado anteriormente (por ejemplo, en foros de carding y tecnología) desde al menos 2008, y publicitó esta identidad de diversas formas como "diseñador", "administrador" y "propietario" del sitio. ^{[5] [6]}
• Cuando Cazes fue arrestado, estaba conectado a su computadora portátil mientras realizaba un reinicio administrativo en un servidor AlphaBay como respuesta directa a una falla artificial del sistema creada por las fuerzas del orden; además, el cifrado estaba completamente ausente en esa computadora portátil. ^{[5] [7]}
• Según se informa, la computadora portátil de Cazes contenía una declaración de patrimonio neto personal no cifrada que mapeaba todos los activos globales en múltiples jurisdicciones, lo que llevó convenientemente a la policía a completar la incautación de activos. ^[5]
• Los servidores estaban alojados en una empresa en Canadá vinculada directamente a su persona. ^[5]
• Los servidores contenían múltiples billeteras de criptomonedas activas y constantemente abiertas (sin cifrar). ^[5]
• El ostentoso uso que Cazes hizo de las ganancias para comprar propiedades, pasaportes y coches de lujo y sus frecuentes alardes en línea sobre sus éxitos financieros, incluyendo la publicación de vídeos de él mismo conduciendo coches de lujo adquiridos con dinero ilegal, no sólo revelaron su ubicación geográfica, sino que también hicieron imposible negar la conexión con el servicio. ^[5]
• Los activos adquiridos a través de las ganancias se mantuvieron en una variedad de cuentas vinculadas directamente a Cazes, su esposa y las empresas que poseían en Tailandia (la jurisdicción en la que vivían), así como en cuentas personales directamente mantenidas en Liechtenstein, Chipre, Suiza y Antigua. ^[5]
• Las declaraciones de Cazes sobre el objetivo del sitio —"lanzado en septiembre de 2014 y su objetivo es convertirse en el mayor mercado clandestino al estilo eBay"— ayudaron a establecer legalmente la intención. ^[5]

Objetivo AlphaBay

Las fuerzas del orden tardaron al menos un mes en obtener una orden judicial estadounidense, y luego más de un mes en obtener órdenes judiciales extranjeras, preparar y ejecutar registros e incautaciones en Canadá y Tailandia: ^[5]

• Principios de mayo de 2017: Se ha podido comprobar que las fuerzas del orden están activas en el sitio al menos desde este período. ^[5]
• 1 de junio de 2017: Orden de arresto emitida por el Tribunal de Distrito de los Estados Unidos para el Distrito Este de California por crimen organizado, tráfico de estupefacientes, robo de identidad y fraude con dispositivos de acceso, transferencia de identificación falsa, tráfico de equipos para la fabricación ilegal de dispositivos y conspiración para cometer lavado de dinero . ^[5]
• 30 de junio de 2017: Se emite una orden de arresto contra Cazes en Tailandia a petición de Estados Unidos. ^{[8] [9]}
• 5 de julio de 2017:
  • La policía canadiense allana EBX Technologies en Montreal, la empresa canadiense de Cazes y la supuesta ubicación de los servidores físicos, así como dos propiedades residenciales en Trois-Rivières. ^[10]
  • Cazes es arrestado en Bangkok en su domicilio de Phutthamonthon Sai 3 Road en el distrito de Thawi Watthana, que es registrado por la Policía Real Tailandesa, con la ayuda del FBI y la DEA. ^{[5] [8]}
• 12 de julio de 2017: Se informó que a las 7 de la mañana se descubrió el supuesto suicidio de Cazes por ahorcamiento mientras se encontraba detenido en la sede de la Oficina de Supresión de Narcóticos de Tailandia en el distrito de Laksi, Bangkok. Estaba previsto que fuera extraditado a Estados Unidos. ^{[5] [8]}
• 16 de julio de 2017: Se informó que la esposa de Cazes había sido acusada de lavado de dinero . ^{[11] [12]}
• 20 de julio de 2017; el fiscal general de Estados Unidos, Jeff Sessions, anuncia el cierre del sitio. ^[13]
• 23 de julio de 2017: El jefe de la Oficina de Supresión de Narcóticos es entrevistado y sugiere que pronto se arrestará a más sospechosos. ^[14]

Objetivo de Hansa

Investigación de Hansa

La policía holandesa descubrió la verdadera ubicación del servicio Onion de Hansa después de que en 2016 los investigadores de seguridad dieran un aviso que habían descubierto una versión en desarrollo. ^[15] La policía comenzó rápidamente a monitorear todas las acciones en el sitio y descubrió que los administradores habían dejado atrás viejos registros de chat de IRC que incluían sus nombres completos e incluso una dirección de casa, y comenzaron a monitorearlos. Aunque los administradores pronto trasladaron el sitio a otro host desconocido, tuvieron otro avance en abril de 2017 al rastrear las transacciones de bitcoin, lo que les permitió identificar la nueva empresa de alojamiento, en Lituania.

Embargo de Hansa

El 20 de junio de 2017, la policía alemana arrestó a los administradores (dos hombres alemanes) y la policía holandesa pudo tomar el control total del sitio de Hansa y hacerse pasar por los administradores. Su plan, en coordinación con el FBI, era absorber a los usuarios que se trasladaran tras el cierre inminente del sitio web de AlphaBay. Se realizaron los siguientes cambios en el sitio web de Hansa para detectar a los usuarios descuidados:

• Todas las contraseñas de los usuarios se registraron en texto sin formato (lo que permitió a la policía iniciar sesión en otros mercados si los usuarios habían reutilizado sus contraseñas). ^[15]
• Los vendedores y compradores se comunicaban mediante mensajes cifrados con PGP . Sin embargo, el sitio web ofrecía una función de cifrado PGP que la policía modificó para registrar una copia en texto simple. ^[15]
• La herramienta de eliminación automática de metadatos de fotografías del sitio web se modificó para registrar metadatos (como la geolocalización) antes de que el sitio web los elimine. ^[15]
• La policía borró la base de datos de fotografías, lo que incitó a los vendedores a volver a cargar las fotos (ahora capturando metadatos). ^[15]
• Las transacciones multifirma de bitcoin fueron saboteadas, lo que en caso de cierre permitiría a la policía confiscar una mayor cantidad de fondos ilícitos. ^[15]
• La policía incitó a los usuarios a descargar un archivo de Microsoft Excel (disfrazado de archivo de texto) que, al abrirse, intentaría hacer ping a un servidor web de la policía y desenmascarar la dirección IP del usuario . ^{[15] [16] [17]}

Paradas de servicio

Según el plan, AlphaBay se cerró el 4 de julio de 2017 y, como se esperaba, una avalancha de usuarios sustituyó al mercado de Hansa, hasta su posterior cierre el 19 y 20 de julio de 2017. Durante este tiempo, la policía permitió que la base de usuarios de Hansa (que entonces crecía rápidamente de 1000 a 8000 vendedores por día ^[18] ) realizara 27 000 transacciones ilegales para recopilar pruebas para el futuro procesamiento de los usuarios. ^{[15] [19]} El fiscal local holandés de delitos cibernéticos Martijn Egberts afirmó haber obtenido alrededor de 10 000 direcciones de compradores de Hansa fuera de los Países Bajos. ^[20]

Después del cierre de Hansa, el sitio mostró un aviso de incautación y dirigió a los usuarios al servicio de cebolla de la Operación ^[21] para encontrar más información sobre la operación.

Agencias policiales participantes

La mayoría de los países involucrados forman parte del Grupo de Trabajo Global Virtual (VGT), aunque también hubo agencias policiales adicionales que desempeñaron un papel.

• El servidor donde se encontraba Alphabay fue rastreado hasta Lituania, lo que llevó a la participación de las fuerzas de seguridad lituanas en la operación.
• El fundador del sitio, Alexandre Cazes, fue arrestado en Tailandia, lo que provocó la intervención de la policía tailandesa.

Lista

• Canadá
• Europol – Centro Europeo de Ciberdelincuencia (EC3)
• Alemania
• Lituania
• Países Bajos – Policía Nacional de los Países Bajos – Politie
• Tailandia
• Reino Unido – Agencia Nacional contra el Crimen (NCA)
• Estados Unidos
  • Investigaciones de Seguridad Nacional (HSI)
  • Oficina Federal de Investigaciones (FBI)
  • Administración para el Control de Drogas (DEA)
  • Servicio de Inspección Postal de los Estados Unidos (USPIS)
  • Investigación criminal del IRS (IRS-CI)

Véase también

• Operación Dark Hunter

Referencias

1. McMillan, Robert; Viswanatha, Aruna (13 de julio de 2017). «El sitio web de productos ilegales AlphaBay cerró tras una acción de las fuerzas de seguridad». Wall Street Journal . Archivado desde el original el 24 de septiembre de 2020 . Consultado el 11 de marzo de 2018 .
2. Statt, Nick (14 de julio de 2017). «La policía cerró el mercado de drogas de la Dark Web AlphaBay». The Verge . Archivado desde el original el 15 de julio de 2017. Consultado el 11 de marzo de 2018 .
3. Greenberg, Andy (20 de julio de 2017). «La policía global tiende una trampa a miles de usuarios de la Dark Web». WIRED . Archivado desde el original el 24 de septiembre de 2020. Consultado el 3 de marzo de 2018 .
4. "Golpe masivo a las actividades criminales en la Dark Web tras una operación coordinada a nivel mundial". 20 de julio de 2017. Archivado desde el original el 24 de septiembre de 2020. Consultado el 20 de julio de 2017 .
5. "Denuncia de decomiso". Justice.gov. 20 de julio de 2017. pág. 27. Archivado desde el original el 23 de septiembre de 2020. Consultado el 23 de julio de 2017 .
6. Cox, Joseph (20 de julio de 2017). "El presunto capo de la Dark Web se hizo un dox con su dirección personal de Hotmail". Vice . Vice Media . Archivado desde el original el 9 de noviembre de 2020.
7. McCarthy, Kieren (20 de julio de 2017). "Cierre de Alphabay: chicos malos, chicos malos, ¿qué van a hacer? No usar su Hotmail..." The Register . Situation Publishing. Archivado desde el original el 20 de julio de 2017.
8. «Un fugitivo canadiense muerto vivía en el lujo tailandés». Bangkok Post . 14 de julio de 2017. Archivado desde el original el 14 de julio de 2023. Consultado el 15 de octubre de 2021 .
9. Ngamkham, Wassayos (12 de julio de 2017). «Sospechoso de tráfico de drogas canadiense encontrado ahorcado en su celda». Bangkok Post . Archivado desde el original el 14 de julio de 2023. Consultado el 15 de octubre de 2021 .
10. "La investigación de la RCMP en la 'Dark Web' conduce a búsquedas en Montreal y Trois-Rivières". Montreal Gazette . Postmedia Network . 5 de julio de 2017. Archivado desde el original el 5 de julio de 2017.
11. Swenson, Kyle (18 de julio de 2017). «El presunto fundador de AlphaBay muere en la cárcel de Bangkok tras el cierre del mercado negro online». The Washington Post . Archivado desde el original el 20 de julio de 2017.
12. "Tailandia confisca 21 millones de dólares en activos del fundador fallecido del mercado de la red oscura AlphaBay". Reuters . Thomson Reuters . 24 de julio de 2017. Archivado desde el original el 9 de junio de 2018.
13. "Se suspenden las sesiones en la dark web de Alphabay y Hansa". BBC News . BBC . 20 de julio de 2017. Archivado desde el original el 23 de julio de 2017.
14. "Nueve naciones se unen a la investigación sobre el sitio 'darknet'". Bangkok Post . 24 de julio de 2017. Archivado desde el original el 14 de julio de 2023 . Consultado el 24 de julio de 2017 . NSB se prepara para atacar a más sospechosos
15. "Operación Bayoneta: Dentro de la operación que secuestró todo un mercado de drogas en la Dark Web". Wired . 2018-03-08. Archivado desde el original el 2024-03-12 . Consultado el 2024-03-12 .
16. Cox, Joseph (25 de agosto de 2017). «Así es como los policías engañan a los criminales de la Dark Web para que se desenmascaren». The Daily Beast . Archivado desde el original el 12 de marzo de 2024. Consultado el 12 de marzo de 2024 .
17. pxx51092 (25 de julio de 2017). "NO abra el archivo xlsx locktime, la imagen de baliza confirmada en él con la dirección IP del servidor de Hansa". reddit . Archivado desde el original el 9 de octubre de 2017.{{cite news}}: CS1 maint: nombres numéricos: lista de autores ( enlace )
18. "El mercado subterráneo de Hansa fue ocupado y cerrado". Politie (Policía holandesa). 20 de julio de 2017. Archivado desde el original el 21 de julio de 2017 . Consultado el 21 de julio de 2017 .
19. Riggs, Mike (26 de julio de 2017). "Cinco lecciones de los desmantelamientos de Hansa y AlphaBay". Reason Hit&Run . Archivado desde el original el 29 de julio de 2017. Consultado el 26 de julio de 2017 .
20. Satter, Raphael; Bajak, Frank (21 de julio de 2017). «Cierran el mercado de drogas de la red oscura holandesa». Portland Press Herald . Archivado desde el original el 22 de julio de 2017. Consultado el 22 de julio de 2017 .
21. DeepDotWeb (31 de octubre de 2016). «La Fiscalía Nacional y la policía holandesas lanzan el servicio oculto en una operación global de control de la Darknet». Archivado desde el original el 1 de noviembre de 2016. Consultado el 26 de julio de 2017 .