Adolescente hace perder millones a Reino Unido

En 2013, Daniel Kelley suspendió un examen y se quedó sin poder acceder a un curso de computación en su escuela. Esto dio lugar a una serie de eventos que terminaron con una condena de cuatro años en una institución para delincuentes juveniles.

Kelley, un estudiante británico de 16 años de Llaneli, en el sur de Gales, fue descrito como un “cibercriminal prolífico, hábil y cínico” que atacó y hackeó a compañías de todo el mundo. Esta semana fue condenado a permanecer cuatro años en una institución para delincuentes juveniles después de declararse culpable de 11 delitos relacionados con la piratería.

El adolescente no había logrado las calificaciones para acceder al nivel 3 de un curso de computación en su escuela local, el Colegio Sir Gar. En cambio, mientras que compañeros a los que describió como “tontos” comenzaron dicho curso, él tuvo que conformarse con acceder al nivel 2.

Para vengarse de aquellos que le habían negado el acceso al curso, Kelley llevó a cabo un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) contra la página web del colegio.

Entre septiembre de 2013 y abril de 2014 llevó a cabo más de 40 ataques cibernéticos. Los estudiantes perdieron cientos de horas de enseñanza y algunos abandonaron la escuela.

Los ataques no afectaron tan sólo al colegio. La red de la escuela estaba vinculada a la del sector público del gobierno galés, por lo que los ataques afectaron a hospitales, servicios de emergencia y otras escuelas y universidades.

Los radiólogos de la Junta Universitaria de Salud Hywel Dda, en el oeste de Gales, perdieron el acceso a los servicios de imágenes de diagnóstico, mientras que la comunicación entre los diferentes edificios del hospital se vio seriamente alterada.

La ofensiva cibernética tuvo repercusión también en la atención a pacientes críticamente enfermos los hospitales Prince Philip y Withybush, también de la región. Combatir los riesgos ocasionados por los ataques costó unos 500 mil dólares.

Fotografías de su hijo

Uno de sus siguientes objetivos fue la empresa Rogers Communications en Canadá.

Con la ayuda de un grupo de hackers conocido como Team Hans, Kelley accedió a los contratos de la empresa, a los registros de empleados y a otros datos confidenciales.

También se pusieron en contacto con uno de sus empleados y le informaron que estaban mirando fotografías de su hijo. Según la compañía el coste de este hackeo fue de entre 400 mil y 580 mil dólares. Kelley también chantajeó a la empresa de negocios australiana RC Hobbies y a la compañía For the Record (FTR).

FTR, que proporciona herramientas de grabación digital para evidencia judicial, pagó 10.5 bitcoins (mil 731 dólares en aquel momento) después de que Kelley amenazara al vicepresidente de la empresa.

ÚLTIMO GOLPE. Utilizando datos robados, Kelley intentó chantajear a la entonces directora ejecutiva de Talk Talk (2015), Dido Harding, exigiendo el equivalente en bitcoin de 80 mil dólares.
___________________

“PÉSIMA SEGURIDAD”

Pero no todo acabó ahí. Kelley volvió a ponerse en contacto con la compañía tras el chantaje, con una extraña oferta de ayuda. Por una tarifa de 5.2 bitcoins (861 dólares), dijo que les mostraría todas las vulnerabilidades de su sistema.

La empresa aceptó, y entonces Kelley subió el precio.

“He decidido que quiero otros 10.5 bitcoins (mil 706 dólares) como pago final. Por favor, tengan en cuenta que con el contenido que dispongo podría aniquilar su negocio en sólo unos días”.

La compañía pagó una vez más, pero cuando volvió a recibir otra solicitud de dinero, 25 bitcoins esta vez (4 mil 206 dólares), de una persona que luego fue identificada como Kelley, los representantes contactaron con la policía y con unos detectives de delitos cibernéticos.

Las demandas se volvieron cada vez más abusivas, hasta que el vicepresidente recibió un correo electrónico amenazando a su hijo de un año con una foto de él adjunta.

“¿Qué tan divertido sería encontrar el futuro de hijo arruinado en la web? Cualquier cosa es posible con un poco de edición y modificación”, decía el texto.

El vicepresidente explicó a la policía que creía que la implicación era que la imagen de su hijo se vería modificada para un propósito sexual. Aunque no se demostró que este correo electrónico proviniese de Kelley, según la fiscalía el autor era claramente alguien conocido con ese nombre.

El tiempo de Kelley se estaba acabando. El 2 de julio de 2015, la Unidad de Delitos Cibernéticos de Gales lo arrestó en su casa en Gales y confiscó sus dispositivos digitales durante una investigación sobre el ataque al colegio Coleg Sir Gar el año anterior. Increíblemente, esto no puso fin a las actividades criminales de Kelley.

En octubre de 2015 volvió a ponerse en contacto con FTR diciendo que había descifrado las contraseñas de las grabaciones judiciales y amenazó con hacerlas públicas.

Pero el mayor objetivo de Kelley fue la empresa de telecomunicaciones Talk Talk.

Mientras aún se encontraba en libertad condicional debido a los ataques al colegio, fue uno de los 10 hackers que participaron en un ataque a Talk Talk, una de las cuatro compañías de telecomunicaciones más grandes del Reino Unido, que dejó a su página web fuera de servicio.

Utilizando datos robados, Kelley intentó chantajear a la entonces directora ejecutiva, Dido Harding, exigiendo el equivalente en bitcoin de 80 mil dólares.

Talk Talk hizo pública la noticia del ataque el 23 de octubre, aconsejando a sus clientes a que cambiasen las contraseñas y observasen las cuentas bancarias en busca de actividades sospechosas.

No accedió al chantaje, pero estimó el costo del hackeo en 98 millones de dólares.

El análisis de las direcciones IP de las computadoras involucradas en el ataque llevó a la Unidad de Delitos Cibernéticos de la Policía Metropolitana a la puerta de Kelley en Gales, donde fue arrestado el 24 de noviembre de 2015.

En su computadora encontraron archivos que contenían miles de datos de tarjetas de crédito.

El 13 de diciembre de 2016 Kelley se declaró culpable de 11 cargos, entre ellos piratería y posesión de equipos informáticos con fines de fraude y chantaje.

“¿Qué tan divertido sería encontrar el futuro de su hijo arruinado en la web? Cualquier cosa es posible con un poco de edición y modificación”

Texto del hacker a empresario

Final

El 13 de diciembre de 2016 Kelley se declaró culpable de 11 cargos, entre ellos piratería y posesión de equipos informáticos con fines de fraude y chantaje. Esta semana fue sentenciado a cuatro años de prisión

JJ/I