Durante casi una docena de años, los investigadores estatales y federales han mantenido a los residentes de Carolina del Sur en la ignorancia sobre quién fue responsable de piratear el departamento de ingresos del estado en 2012 y robar información fiscal y de cuentas bancarias de 3,6 millones de personas. La respuesta puede que ya no sea un misterio: KrebsOnSecurity encontró pistas convincentes que sugieren que la intrusión fue llevada a cabo por el mismo equipo de hackers ruso que robó millones de registros de tarjetas de pago de grandes minoristas como Home Depot y Target en los años siguientes. Las preguntas sobre quién robó datos fiscales y financieros de aproximadamente tres cuartas partes de todos los residentes de Carolina del Sur salieron a la luz la semana pasada en la audiencia de confirmación de Mark Keel, quien fue designado en 2011 por la gobernadora Nikki Haley para encabezar la división de aplicación de la ley del estado. Si se aprueba, este sería el tercer mandato de seis años de Keel en ese cargo. Associated Press informa que Keel tuvo cuidado de no revelar muchos detalles sobre la violación en su audiencia y les dijo a los legisladores que sabe quién lo hizo, pero que no estaba listo para nombrar a nadie. «Creo que el hecho de que no hayamos encontrado mucha información de personas que hayan sido violadas es un testimonio del trabajo que la gente ha hecho en este caso», afirmó Keel. Una retrospectiva de diez años publicada en 2022 por The Post and Courier en Columbia, SC, dijo que los investigadores determinaron que la infracción comenzó el 13 de agosto de 2012, después de que un contratista estatal de TI hiciera clic en un enlace malicioso en un correo electrónico. Los funcionarios estatales dijeron que se enteraron del ataque por parte de las autoridades federales el 10 de octubre de 2012. KrebsOnSecurity examinó publicaciones en docenas de foros sobre delitos cibernéticos en esa época y encontró solo un caso de alguien vendiendo grandes volúmenes de datos fiscales en el año que rodeó la violación. fecha. El 7 de octubre de 2012, tres días antes de que los funcionarios de Carolina del Sur dijeran que se enteraron de la intrusión, un notorio cibercriminal que se hace llamar «Rescator» anunció la venta de «una base de datos del departamento de impuestos de uno de los estados». “Información de la cuenta bancaria, número de seguro social y toda otra información”, decía el hilo de ventas de Rescator en el foro sobre delitos en ruso Embargo. «Si compras la base de datos completa, te daré acceso a ella». Una semana después, Rescator publicó una oferta similar en el exclusivo foro ruso Mazafaka, diciendo que estaba vendiendo información de una base de datos de impuestos estatales de EE. UU., sin nombrar el estado. Rescator dijo que los datos expuestos incluían el número de seguro social (SSN), el empleador, el nombre, la dirección, el teléfono, los ingresos imponibles, el monto del reembolso de impuestos y el número de cuenta bancaria. «Hay mucha información, estoy dispuesto a vender la base de datos completa, con acceso a la base de datos y en partes», dijo Rescator a los miembros de Mazafaka. «También hay información sobre los contribuyentes corporativos». El 26 de octubre de 2012, el estado anunció públicamente la violación. Los funcionarios estatales dijeron que estaban trabajando con investigadores del Servicio Secreto de EE. UU. y expertos forenses digitales de Mandiant, que produjeron un informe del incidente (PDF) que luego fue publicado por el Departamento de Ingresos de Carolina del Sur. KrebsOnSecurity buscó comentarios del Servicio Secreto, los fiscales de Carolina del Sur y la oficina del Sr. Keel. Esta historia se actualizará si alguno de ellos responde. El 18 de noviembre de 2012, Rescator dijo a sus compañeros del foro Verified que estaba vendiendo una base de datos de 65.000 registros con información de cuentas bancarias de varias instituciones financieras regionales más pequeñas. El hilo de ventas de Rescator en Verified enumera más de una docena de campos de base de datos, incluido el número de cuenta, nombre, dirección, teléfono, identificación fiscal, fecha de nacimiento, empleador y ocupación. Cuando se le pidió que proporcionara más contexto sobre la base de datos en venta, Rescator dijo a los miembros del foro que la base de datos incluía registros financieros relacionados con declaraciones de impuestos de un estado de EE. UU. Rescator agregó que había una segunda base de datos de alrededor de 80.000 corporaciones que incluía números de seguridad social, nombres y direcciones, pero no información financiera. La AP dice que Carolina del Sur pagó 12 millones de dólares a Experian por protección contra robo de identidad y monitoreo de crédito para sus residentes después de la violación. «En ese momento, fue una de las violaciones más grandes en la historia de Estados Unidos, pero desde entonces ha sido superada ampliamente por ataques a Equifax, Yahoo, Home Depot, Target y PlayStation», escribió Jeffrey Collins de AP. Da la casualidad de que el equipo de piratería criminal de Rescator fue directamente responsable de la violación de Target en 2013 y del hackeo de Home Depot en 2014. La intrusión de Target hizo que las tiendas de cibercrimen de Rescator vendieran aproximadamente 40 millones de tarjetas de pago robadas y 56 millones de tarjetas de clientes de Home Depot. ¿Quién es Rescator? El 14 de diciembre de 2023, KrebsOnSecurity publicó los resultados de una investigación de 10 años sobre la identidad de Rescator, también conocido como Mikhail Borisovich Shefel, un hombre de 36 años que vive en Moscú y que recientemente cambió su apellido a Lenin. La afirmación del Sr. Keel de que de alguna manera los esfuerzos de los funcionarios de Carolina del Sur después de la infracción pueden haber disminuido su impacto en los ciudadanos parece poco probable. Los datos fiscales y financieros robados parecen haber sido vendidos abiertamente en foros de cibercrimen por uno de los grupos de hackers más agresivos y exitosos de la clandestinidad rusa. Si bien no hay indicios al revisar las publicaciones del foro de que Rescator haya vendido alguna vez los datos, sus hilos de ventas llegaron en un momento en que la incidencia del fraude de devolución de impuestos se estaba disparando. El robo de identidad relacionado con los impuestos ocurre cuando alguien usa una identidad y un número de seguro social robados para presentar una declaración de impuestos a nombre de esa persona reclamando un reembolso fraudulento. Las víctimas generalmente se enteran del delito por primera vez después de que sus declaraciones sean rechazadas porque los estafadores se les adelantaron. Incluso aquellos que no están obligados a presentar una declaración pueden ser víctimas de fraude de reembolso, al igual que aquellos a quienes en realidad no se les debe un reembolso del Servicio de Impuestos Internos de EE. UU. (IRS). Según un informe de 2013 de la oficina del Inspector General del Tesoro, el IRS emitió casi 4.000 millones de dólares en reembolsos de impuestos falsos en 2012, y más de 5.800 millones de dólares en 2013. El dinero se envió en gran medida a personas que robaron números de seguro social y otra información sobre ciudadanos estadounidenses. y luego presentaron declaraciones de impuestos fraudulentas sobre aquellas personas que reclamaban un reembolso grande pero en una dirección diferente. Aún no está claro por qué Shefel nunca ha sido implicado oficialmente en las infracciones en Target, Home Depot o Carolina del Sur. Puede ser que Shefel haya sido acusado y que esas acusaciones permanezcan selladas por alguna razón. Quizás los fiscales esperaban que Shefel decidiera abandonar Rusia, momento en el que sería más fácil detenerlo si creyera que nadie lo estaba buscando. Pero todo indica que Shefel está profundamente arraigado en Rusia y no tiene planes de irse. En enero de 2024, las autoridades de Australia, Estados Unidos y el Reino Unido impusieron sanciones financieras contra el ruso Aleksandr Ermakov, de 33 años, por supuestamente robar datos de 10 millones de clientes del gigante australiano de seguros médicos Medibank. Una semana después de que se implementaran esas sanciones, KrebsOnSecurity publicó un análisis profundo sobre Ermakov, que encontró que codirigía una empresa de consultoría de seguridad de TI con sede en Moscú junto con Mikhail Shefel llamada Shtazi-IT. Una versión traducida por Google de Shtazi dot ru. Imagen: Archive.org.