Pirateó un mercado de droga ruso y desvió miles de dólares a una organización benéfica de Ucrania
Su nombre es Alex Hoden, es experto en ciberinteligencia y junto a su equipo de Hold Security se convirtió en el Robin Hood de la Dark Web.

Estas Navidades, el experto en ciberinteligencia ucraniano Alex Holden está jugándose la vida por su patria. Este residente de Mequon, Wisconsin, se convirtió en el Robin Hood de la Dark Web. ¿Por qué? Porque su equipo de Hold Security ha pirateado uno de los mayores mercados de droga en línea de Rusia, denominado Solaris, y ha desviado criptomonedas debidas a los traficantes y a los propietarios del sitio, a una organización benéfica, Enjoying Life, que proporciona ayuda humanitaria en toda Ucrania.

Holden, que abandonó Kiev cuando era adolescente en la década de 1980 en medio de las consecuencias del desastre nuclear de Chernóbil, no quiso revelar cómo lo hizo, pero dijo que pudo hacerse con el control de gran parte de la infraestructura de Internet que alimentaba Solaris, de varias cuentas de administrador que gestionaban el bazar ilícito, el código fuente del sitio web y una base de datos de sus usuarios; así como los lugares de entrega de la droga. 

Holden mostró a Forbes múltiples capturas de pantalla de acceso a las cuentas de administrador de Solaris y al "monedero maestro", y un experto en ciberseguridad ucraniano confirmó que las capturas de pantalla efectivamente parecían mostrar acceso a las cuentas backend de Solaris.

Como el dinero entraba y salía rápidamente del monedero, rara vez contenía más de 3 bitcoin, por valor de 50.000 dólares, dijo Holden. Eso significaba que no había una gran cantidad para desviar, aunque se las arregló para hacerse con 1,6 bitcoin, por valor de 25.000 dólares, y lo envió a Enjoying Life

La cofundadora de Enjoying Life, Tina Mikhailovskaya, confirmó que la organización sin ánimo de lucro había recibido la donación, afirmando que todas las contribuciones iban directamente a los ancianos, las familias y los desplazados internos que sufrieron a causa de la guerra de Rusia.

Holden dispone ahora de un importante alijo de información sobre los usuarios y las operaciones de Solaris, que cree que podría utilizarse para identificar el paradero de cualquier ciberdelincuente ruso que esté utilizando el sitio para alimentar sus operaciones. 

También ha mantenido el control sobre varias partes del mercado, hasta ahora sin ser detectado. Al hacerlo público a través de Forbes, quiere asustar a los propietarios para que cierren el sitio. El ataque también tiene un matiz político. "Quizá los rusos sin sus drogas miren sobriamente a su país y hagan algo", dijo. "Quizá el Kremlin no defienda el tráfico de drogas de su país y solucione los problemas de drogas en lugar de invadir Ucrania".

La conexión Killnet
 

Los ataques podrían tener repercusiones más allá del comercio de drogas en la red oscura de Rusia. Puede desestabilizar a uno de los asociados de Solaris: un grupo de piratas informáticos conocido como Killnet. Surgida a principios de año, Killnet se ofreció primero a derribar sitios web por una tarifa inundándolos de tráfico, lo que se conoce comúnmente como ataque de denegación de servicio distribuido (DDoS). 

Pero después de que Rusia invadiera Ucrania, Killnet se convirtió en un equipo de piratas mercenarios patrióticos, prometiendo atacar a los ucranianos y a sus partidarios. A continuación, atacó las páginas web de los aeropuertos estadounidenses, la Agencia Nacional de Inteligencia Geoespacial y varias páginas web de gobiernos estatales con ataques DDoS. 

Entre sus objetivos europeos se encontraban el concurso de la canción Eurovisión, el gobierno estonio y el Instituto Nacional de Salud italiano, según los informes. Aunque esos ataques lograron ralentizar o impedir el acceso a los sitios web de las organizaciones objetivo, tuvieron un impacto mínimo en comparación con el Ejército de TI ucraniano, que ha atacado con sus propios ataques DDoS a varias organizaciones rusas de renombre, como el Sberbank y la bolsa de Moscú.

Holden está dispuesto a obstaculizar a Killnet de cualquier forma que pueda, y su infiltración en Solaris le ofrece una vía, ya que la bolsa tiene numerosos vínculos con el grupo de piratas informáticos ruso. Durante el verano, este último llevó a cabo ataques DDoS contra el principal rival de Solaris, Rutor, que se había convertido en el líder del mercado clandestino de drogas de Rusia después de que otro bazar, Hydra, fuera clausurado en marzo. Los analistas de la empresa estadounidense de ciberseguridad ZeroFox afirmaron a principios de este año que parecía que Solaris estaba pagando por los servicios DDoS de Killnet.

La propia dirección de Killnet también se ha pronunciado sobre el apoyo de Solaris. En una entrevista concedida en octubre a la publicación rusa RT, uno de los fundadores de Killnet, conocido como KillMilk, afirmó que su banda contaba con el "enorme apoyo" del "atrevido y fuerte equipo" de Solaris. Tras comprometerse a piratear agencias gubernamentales estadounidenses en respuesta al apoyo de Estados Unidos a Ucrania, dijo que conocía al equipo de Solaris "desde hacía mucho tiempo".

Andras Toth-Czifra, analista de la empresa de ciberinteligencia Flashpoint, ha estado siguiendo las operaciones de Killnet durante el último año. Señaló que poco después de la entrevista de RT, los piratas informáticos dijeron en un post de Telegram que habían recibido contribuciones financieras de Solaris. "Era básicamente un anuncio colocado en el canal de Killnet", dijo Toth-Czifra.

Holden, que cree que Killnet se financia con el dinero de las drogas de Solaris, añadió que "tal vez cortar esta conexión elimine algo de combustible del fuego de la basura de Killnet".

Nota publicada en Forbes US.