Joe Tidy
Corresponsal de Cyber, Colorado
BBC
Vyacheslav Penchukov, también conocido como "Tank", dejó miles de víctimas en todo el mundo.
Después de años leyendo sobre "Tank" y meses planeando visitarlo en una prisión de Colorado, escuché la puerta abrirse antes de verlo entrar en la habitación.
Me levanté para darle un saludo profesional a este ex capo del cibercrimen. Pero, como un personaje de dibujos animados travieso, asomó la cabeza detrás de una columna con una enorme sonrisa y guiñó un ojo.
Tank, cuyo nombre real es Vyacheslav Penchukov, llegó a la cima del submundo cibernético no tanto con habilidades técnicas, sino con su carisma criminal.
"Soy un tipo amigable, hago amigos fácilmente", dice el ucraniano de 39 años con una amplia sonrisa.
Tener amigos en altos cargos es una de las razones por las que Penchukov logró evadir a la policía por tanto tiempo. Pasó casi 10 años en la lista de los Más Buscados del FBI y fue líder de dos bandas diferentes en dos periodos distintos de la historia del cibercrimen.
Es raro hablar con un cibercriminal de tan alto nivel que haya dejado tantas víctimas; Penchukov nos habló durante seis horas a lo largo de dos días como parte de la serie de podcasts Cyber Hack: Evil Corp.
La entrevista exclusiva –la primera de Penchukov– revela el funcionamiento interno de estos grupos cibernéticos, la mentalidad de sus miembros y detalles nunca antes conocidos sobre hackers que todavía están libres –incluyendo al supuesto líder del grupo ruso sancionado, Evil Corp.
Las autoridades tardaron más de 15 años en arrestar finalmente a Penchukov en una operación dramática en Suiza en 2022.
"Había francotiradores en el tejado y la policía me tiró al suelo, me esposó y me puso una bolsa en la cabeza en la calle, delante de mis hijos. Ellos estaban asustados", recuerda con molestia.
Todavía está resentido por cómo fue arrestado, argumentando que fue excesivo. Sus miles de víctimas en todo el mundo estarían en desacuerdo con él: Penchukov y las bandas que lideró o en las que participó robaron decenas de millones de libras.
A finales de la década de 2000, él y el infame grupo Jabber Zeus usaron tecnología cibercriminal revolucionaria para robar directamente de las cuentas bancarias de pequeñas empresas, autoridades locales e incluso organizaciones benéficas. Las víctimas vieron sus ahorros desaparecer y sus balances arruinados. Solo en el Reino Unido, hubo más de 600 víctimas que perdieron más de £4 millones en solo tres meses.
Entre 2018 y 2022, Penchukov apuntó más alto, uniéndose al ecosistema del ransomware con bandas que atacaron corporaciones internacionales e incluso un hospital.
El Centro Correccional de Englewood, donde Penchukov está recluido, no nos permitió llevar equipos de grabación, así que un productor y yo tomamos notas durante la entrevista mientras un guardia nos vigilaba.
Corresponsal Joe Tidy fuera del Centro Correccional de Englewood en Colorado
Lo primero que llama la atención de Penchukov es que, aunque quiere ser liberado, parece de buen humor y está aprovechando su tiempo en prisión. Me dice que hace mucho deporte, está aprendiendo francés e inglés –un diccionario ruso-inglés muy usado permanece a su lado durante la entrevista– y está obteniendo diplomas de secundaria. "Debe ser inteligente", le digo. "No lo suficiente –estoy en prisión", bromea.
Englewood es una prisión de baja seguridad con buenas instalaciones. El edificio, bajo pero extenso, está en las faldas de las Montañas Rocosas de Colorado. Los bordes de hierba polvorientos que rodean la prisión están llenos de perritos de las praderas que corren hacia sus madrigueras cuando los molestan los vehículos de la prisión.
Está muy lejos de Donetsk, Ucrania, donde dirigió su primera banda de cibercrimen después de iniciarse en el hacking a través de foros de trucos para videojuegos, donde buscaba trucos para sus juegos favoritos como FIFA 99 y Counter-Strike.
Se convirtió en el líder del prolífico grupo Jabber Zeus –llamado así por su uso del revolucionario malware Zeus y su plataforma de comunicación favorita, Jabber.
Penchukov trabajó con un pequeño grupo de hackers que incluía a Maksim Yakubets –un ruso que luego sería sancionado por el gobierno estadounidense, acusado de liderar el infame grupo cibernético Evil Corp.
Penchukov dice que a fines de la década de 2000, el grupo Jabber Zeus trabajaba desde una oficina en el centro de Donetsk, dedicando de seis a siete horas al día a robar dinero de víctimas en el extranjero. Penchukov a menudo terminaba su día actuando como DJ en la ciudad, bajo el nombre de DJ Slava Rich.
El cibercrimen en esos días era "dinero fácil", dice. Los bancos no sabían cómo detenerlo y la policía en Estados Unidos, Ucrania y el Reino Unido no podía seguir el ritmo.
Después de hackear de día, Penchukov actuaba como DJ Slava Rich de noche
A sus veinte años, ganaba tanto dinero que se compraba "coches nuevos como si fueran ropa". Tuvo seis en total –"todos alemanes y caros".
Pero la policía obtuvo un avance cuando logró interceptar los chats de texto de los criminales en Jabber y descubrió la verdadera identidad de Tank usando detalles que él había dado sobre el nacimiento de su hija.
La red se cerró sobre el grupo Jabber Zeus, y una operación liderada por el FBI llamada Trident Beach resultó en arrestos en Ucrania y el Reino Unido. Pero Penchukov escapó gracias a un aviso de alguien que no nombra. Y gracias a uno de sus coches rápidos.
"Tenía un Audi S8 con un motor Lamborghini de 500 caballos, así que cuando vi a la policía con las luces en mi espejo retrovisor, salté el semáforo en rojo y los perdí fácilmente. Fue una oportunidad para probar la potencia total de mi coche", dice.
Se escondió con un amigo por un tiempo, pero cuando el FBI salió de Ucrania, las autoridades locales parecieron perder interés en él.
Así que Penchukov mantuvo un perfil bajo y, dice, se dedicó a actividades legales. Empezó una empresa de compra y venta de carbón, pero el FBI todavía lo seguía.
"Estaba de vacaciones en Crimea cuando un amigo me envió un mensaje diciendo que estaba en la lista de los Más Buscados del FBI. Pensé que lo había superado todo –entonces me di cuenta de que tenía un nuevo problema", dice, un claro eufemismo.
FBI
Penchukov (derecha) estaba entre los más buscados del FBI; sus dos cómplices aún no han sido capturados
Su abogado en ese momento estaba tranquilo y le aconsejó que no se preocupara: mientras no viajara fuera de Ucrania o Rusia, la policía estadounidense no podía hacer mucho.
Las autoridades ucranianas eventualmente llamaron a su puerta –pero no para arrestarlo.
Penchukov había sido señalado como un hacker rico buscado por Occidente y alega que casi todos los días, funcionarios iban a extorsionarlo por dinero.
Su negocio de venta de carbón iba bien hasta la invasión rusa de Crimea en 2014. Los llamados "Hombres Verdes" del presidente Putin –soldados rusos con uniformes sin identificar– arruinaron su negocio y misiles dañaron su apartamento en Donetsk, afectando la habitación de su hija.
Penchukov dice que los problemas comerciales y los constantes sobornos a funcionarios ucranianos lo llevaron a encender su portátil y volver al cibercrimen.
"Simplemente decidí que era la forma más rápida de ganar dinero para pagarles", dice.
Su trayectoria muestra la evolución del cibercrimen moderno –desde el robo rápido y fácil de cuentas bancarias hasta el ransomware, el tipo de ataque cibernético más dañino y pernicioso usado en hackeos de alto perfil este año, incluso en la conocida marca británica Marks & Spencer.
Dice que el ransomware era más trabajoso, pero el dinero era bueno. "La ciberseguridad había mejorado mucho, pero podíamos ganar unos $200,000 al mes. Mucho más lucrativo."
En una anécdota reveladora, recuerda los rumores sobre un grupo que recibió $20 millones de un hospital paralizado por ransomware.
Penchukov dice que la noticia emocionó a los cientos de hackers en los foros criminales, quienes luego atacaron instituciones médicas estadounidenses para repetir el éxito. Estas comunidades de hackers tienen una "mentalidad de rebaño", dice: "A la gente no le importa el lado médico –solo ven los 20 millones pagados."
La banda de Penchukov dejó muchas víctimas; una dijo que sintió "incredulidad y horror" al perder su dinero
Penchukov reconstruyó sus conexiones y habilidades para convertirse en uno de los principales afiliados de servicios de ransomware, incluyendo Maze, Egregor y el prolífico grupo Conti.
Cuando se le pregunta si estos grupos criminales trabajaban con los servicios de seguridad rusos –una acusación común de Occidente– Penchukov se encoge de hombros y dice: "Por supuesto." Dice que algunos miembros de bandas de ransomware a veces hablaban de contactar con "sus manejadores" en los servicios de seguridad rusos, como el FSB.
La BBC escribió a la Embajada Rusa en Londres preguntando si el gobierno ruso o sus agencias de inteligencia colaboraban con cibercriminales para ayudar en el espionaje cibernético, pero no recibió respuesta.
Penchukov pronto volvió a la cima y se convirtió en líder de IcedID –una banda que infectó más de 150,000 computadoras con software malicioso y llevó a varios tipos de ciberataques, incluyendo ransomware. Penchukov estaba a cargo de un equipo de hackers que revisaba las computadoras infectadas para decidir cómo sacarles dinero.
Una víctima que infectaron con ransomware en 2020 fue el Centro Médico de la Universidad de Vermont en EE. UU. Según los fiscales estadounidenses, esto causó pérdidas de más de $30 millones y dejó al centro médico incapaz de brindar muchos servicios críticos durante más de dos semanas.
Aunque nadie murió, los fiscales dicen que el ataque, que inutilizó 5,000 computadoras del hospital, creó un riesgo de muerte o lesiones graves para los pacientes. Penchukov niega haberlo hecho, afirmando que solo lo admitió para reducir su condena.
En general, Penchukov, que ahora cambió su apellido a Andreev, cree que las dos condenas de nueve años que está cumpliendo simultáneamente son excesivas para lo que hizo (espera salir mucho antes). También se le ordenó pagar $54 millones en restitución a las víctimas.
Su perspectiva como hacker joven que comenzó en el cibercrimen siendo adolescente es que las empresas y personas occidentales podían permitirse perder dinero y que todo estaba cubierto por seguros de todas formas.
Pero cuando hablo con una de sus primeras víctimas de la época de Jabber Zeus, queda claro que sus ataques sí tuvieron un impacto dañino en personas inocentes.
Lieber’s Luggage, un negocio familiar en Albuquerque, Nuevo México, tuvo $12,000 robados de una vez por la banda. La propietaria Leslee aún recuerda el shock años después.
"Fue incredulidad y horror cuando el banco llamó, porque no teníamos idea de lo que había pasado, y el banco claramente tampoco tenía ni idea", dice.
Aunque era una suma modesta, fue devastadora para el negocio, ya que el dinero se usaba para pagar el alquiler, comprar mercancía y pagar a los empleados.
No tenían ahorros para recuperarse y, para empeorar las cosas, la madre anciana de Leslee estaba a cargo de las cuentas de la empresa y se culpó a sí misma hasta que se descubrió el robo.
"Tuvimos todos esos sentimientos, la ira, la frustración, el miedo", dice.
Cuando les pregunto qué les gustaría decirle a los hackers responsables, piensan que es inútil intentar cambiar la mente de estos criminales insensibles.
"No hay nada que podamos decir que lo afecte", dice Leslee.
"Yo no le daría ni la hora", añade su esposo Frank.
Penchukov dice que no pensaba en las víctimas, y parece que tampoco lo hace mucho ahora. La única señal de remordimiento en nuestra conversación fue cuando habló de un ataque de ransomware a una organización benéfica para niños discapacitados.
Su único arrepentimiento real parece ser que confió demasiado en sus compañeros hackers, lo que finalmente llevó a que él y muchos otros criminales fueran capturados.
"No puedes hacer amigos en el cibercrimen, porque al día siguiente, tus amigos serán arrestados y se convertirán en informantes", dice.
"La paranoia es una amiga constante de los hackers", dice. Pero el éxito lleva a errores.
"Si haces cibercrimen por mucho tiempo, pierdes tu ventaja", dice, con nostalgia.
FBI
Yakubets –conocido como ‘Aqua’– fue agregado a la lista de los Más Buscados del FBI en 2019
Como para resaltar la naturaleza desleal del submundo cibernético, Penchukov dice que evitó deliberadamente cualquier contacto adicional con su ex colaborador y amigo Maksim Yakubets después de que el ruso fuera expuesto y sancionado en 2019 por las autoridades occidentales.
Penchukov dice que notó un cambio claro en la comunidad hacker cuando la gente evitaba trabajar con Yakubets y muchos de sus supuestos asociados de Evil Corp.
Anteriormente, Penchukov y "Aqua", como se conocía a Yakubets, solían salir en Moscú, bebiendo y comiendo en restaurantes de lujo. "Tenía guardaespaldas, lo que me parecía extraño –casi como si quisiera presumir de su riqueza o algo así", dice.
Ser apartado del mundo del cibercrimen no disuadió a Evil Corp, y el año pasado, la Agencia Nacional del Crimen del Reino Unido acusó a otros miembros de la familia Yakubets de participar en la ola criminal de una década, sancionando a 16 miembros de la organización en total.
Pero a diferencia de Penchukov, las posibilidades de que la policía capture a Yakubets u otros de la banda parecen bajas. Con una recompensa de $5 millones por información que lleve a su arresto, Yakubets y sus supuestos cómplices es poco probable que repitan el error de Penchukov de salir de su país.