Un 'hacker' español vende centenares de contraseñas de 'Hotmail'
La policía detiene al sospechoso en Lleida y los 'clientes' serán arrestados en las próximas semanas y meses
Un 'hacker' español ha estado ofreciendo como mínimo desde hace más de un año en su web, por un mínimo de 30 euros, centenares de contraseñas de cuentas de correo electrónico, la mayoría de Hotmail. El Cuerpo Nacional Policía ha detenido esta mañana en Lleida al sospechoso, D.C.E., de 23 años. Las investigaciones se iniciaron en abril del pasado año y al menos ha facilitado 400 contraseñas a 'clientes' de España y el extranjero, aunque probablemente hayan "muchos más".
El detenido es experto en material informático de la compañía de software Microsoft, propietaria de Hotmail, con la que ha realizado diversos cursos. Fuentes de la compañía han negado cualquier responsabilidad y anunciaron que están estudiando personarse en la causa, que de momento investiga un juzgado de Lleida. El arrestado pasará a disposición judicial en las próximas horas.
Fuentes policiales han explicado que la operación, denominada 'Hackwebmail', está "absolutamente abierta", ya que en los próximos días y semanas se prevé detener a los 'clientes' del 'hacker', que podrían ascender a centenares de toda España y del extranjero. Entre los usuarios del servicio que ofrecía hasta hoy mismo el detenido, no sólo figurarían curiosos sino también miembros de agencias de detectives y otro tipo de profesionales, según fuentes de la investigación.
Las citadas fuentes han explicado que la dimensión del caso "es extraordinaria", ya que tras la obtención de las contraseñas por parte de los clientes del 'hacker' -lo que comporta un delito de descubrimiento y revelación de secretos-, podrían hallarse estafas u otros tipos de actividades fraudulentas, puesto que Hotmail no es únicamente utilizado por particulares sino que también es usado por empresas.
En este sentido, uno de los investigadores ha señalado que la operación puede tardar "meses" en concluirse, dado que se procederá a identificar a los usuarios del servicio, muchos de los cuales son de nacionalidad extranjera, para lo que se pedirán comisiones rogatorias a los países en los que residan los 'clientes'. Asimismo, la citada fuente ha explicado que "tampoco se descarta" que el detenido "no haya actuado sólo". Las mismas fuentes señalan que en los próximos meses se ofrecerá la posibilidad de iniciar acciones legales y solicitar indemnizaciones a todas las personas a las que hayan vulnerado su correo electrónico.
Un dominio en el Pacífico
Las pesquisas se iniciaron el pasado mes de abril después de que lo denunciara un abogado y de un redactor de Europa Press que relataron a la policía las investigaciones que habían llevado a cabo y que han acabado dando con el sospechoso.
Tras la denuncia, un juzgado de Barcelona abrió diligencias y, tras conocerse que el 'hacker' reside en Lleida, se inhibió en favor de un juzgado de esta última localidad. Las dificultades para la averiguación de este tipo de delitos -el 'hacker' actúa desde un dominio de una isla del Pacífico- han dilatado la investigación.
Fuentes policiales han explicado que esta misma mañana se detuvo al sospechoso en la empresa de informática en la que trabaja, en Lleida, a instancias de la juez que investiga el caso. Asimismo, agentes del Grupo de Delitos Tecnológicos de Barcelona del CNP realizaron registros en dos domicilios del detenido, en Huesca y Lleida, y han incautado numeroso material informático.
El arrestado aparecía en foros populares de Internet ofreciendo contraseñas de cuentas de correo de Hotmail y de Microsoft (msn), poniendo como contacto una dirección de una página web (www.contrasenias.tk) y asegurando que no se trata de "ningún engaño" sino de "un servicio". La dirección de la página se trata de un dominio gratuito de Tokelau, una isla del Pacífico Sur, que es redirigido a otro servidor de alojamiento con dominio de Italia y finalmente la web es alojada en Suecia.
Todos los usuarios de Hotmail, servicio de correo gratuito que tiene más de más de siete millones de "clientes activos" -que utilizan de forma continuada el correo- en España y 187 millones en todo el mundo, tienen un nombre clave (login) y una contraseña (password), que deben teclear para acceder al servicio.
En la página creada por el 'hacker' se anunciaba el servicio y se aseguraba que se garantiza "que el dueño" de la cuenta que se solicitaba "nunca se dará cuenta" de que han averiguado "el password". "No nos hacemos responsables del uso fraudulento" y "cualquier acción ilegal realizada con la información que nosotros le facilitamos será de su responsabilidad", aseguraba el web.
Después de que el cliente hubiera rellenado un formulario, recibía un correo del 'hacker' confirmando su registro y, tras validarlo, ya podía empezar a solicitar contraseñas. Las peticiones se realizaban a través de un correo electrónico en el que se especificaba la dirección o direcciones de las que se pretendía obtener la contraseña.
El 'hacker' enviaba a los pocos días a la dirección de correo del solicitante la captura de pantalla de la 'Bandeja de entrada' de la víctima y le indicaba un número de cuenta para que realizara el ingreso de 30 euros. Una vez realizado, el 'hacker' remitía al cliente la contraseña.
Debido a las "altas comisiones por transferencias desde el extranjero", el detenido ofrecía la posibilidad de pagar a través de 'pay-pal' o giro postal con un coste adicional de 35 euros de comisión, además de los 30 euros por la obtención de la contraseña.
Tras el envío del 'password', el cliente tenía la posibilidad de entrar en las cuenta solicitadas y leer sus mensajes, borrarlos o enviarlos a otros. Según fuentes de la investigación, "en todo momento la víctima sigue teniendo control sobre su cuenta de correo, lo que hace que no detecte la vulneración de su privacidad".
"Un amigo le envía una tarjeta"
Uno de los métodos utilizados por el 'hacker' para conseguir la contraseña de sus víctimas consistía en el envío, por parte del detenido, de un correo electrónico a la persona de la que pretendía obtener la contraseña en el que se comunica que alguien conocido le ha enviado una tarjeta electrónica. "Un amigo le envía una tarjeta", señalaba el e-mail.
Dicho correo aparenta estar alojado bajo el dominio de Microsoft, reproduciendo los logos de dicha compañía. El e-mail, que contenía un hiperenlace que lleva a una página web 'Spoonfing' de MSN, solicitaba el usuario y la contraseña de su dirección para acceder a la tarjeta enviada.
Automáticamente, la víctima ponía la información a disposición del autor de este 'phising' o ingeniería social habiendo conseguido el propósito de conocer la contraseña solicitada. Fuentes policiales explicaron que ésta es una de los métodos utilizadas por el detenido, pero no se descarta que utilizara otros técnicas cuando la víctima no "picara" con esta "argucia". Según los investigadores, el sospechoso "ha ido mejorando sus métodos".
Fuentes de la investigación han explicado que al detenido se le imputa un delito del artículo número 197 del Código Penal que se refiere al que, "para descubrir los secretos o vulnerar la intimidad del otro, sin su consentimiento, se apodere de sus papeles, cartas" o "mensajes de correo electrónico".
En el caso del 'hacker', además habría revelado a terceros los la información obtenida que contienen datos personales y con fines lucrativos, lo que conlleva penas de cuatro a siete años de prisión. Según fuentes judiciales, los clientes que hayan obtenido contraseñas podrían ser condenados a penas de hasta cinco años de cárcel. Las citadas fuentes explicaron que desde la reforma del Código Penal de 1995 se han endurecido las condenas para este tipo de delitos.
