Operación Bayonet: Cómo el FBI desmanteló AlphaBay y Hansa
Tabla de contenido
Pero hubo fallos en el desmantelamiento de la seguridad operativa de estos mercados.
Dos medidas para dos cierres de la red Tor
Aún hoy, sigue siendo un brillante ejemplo de uno de los esfuerzos más elaborados y cooperativos de las agencias internacionales de aplicación de la ley para combatir la ciberdelincuencia. En julio de 2017, tanto los mercados AlphaBay como Hansa fueron desmantelados con éxito.
Sin embargo, solo AlphaBay fue desconectado, lo que plantea la pregunta: ¿qué pasó exactamente con el mercado AlphaBay?
Prueba 1: Desmantelar AlphaBay, el mayor mercado de la darknet
AlphaBay, fue un mercado de la darknet de vanguardia que ha estado facilitando transacciones ilegales desde 2014. Fue un heredero significativamente más grande de la plataforma pionera de la darknet, Silk Road, que a su vez había sido cerrada en 2013.
El 5 de julio de 2017, la policía real tailandesa arrestó a un ciudadano canadiense, Alexandre Cazes en Bangkok, Tailandia. Fue el presunto fundador y administrador del sitio, utilizando el nombre en clave “Alpha02” en las comunicaciones.
Las autoridades tailandesas incautaron los servidores que alojaban AlphaBay y cortaron el acceso a los usuarios, pero no anunciaron públicamente el cierre o la toma de control de la plataforma. Los rumores que esto incitó entre los actores maliciosos en los foros de la dark web iban desde problemas técnicos, hasta estafas de salida en las que los administradores del mercado de la dark web cerraron la plataforma y robaron el dinero de los usuarios.
Independientemente de lo que haya sucedido con AlphaBay, el negocio continuó como de costumbre para sus usuarios, quienes rápidamente acudieron a otros mercados. Como una de las plataformas restantes, reputadas y populares de la dark web, tanto usuarios como vendedores acudieron a Hansa, lo que resultó en que Hansa experimentara un aumento de ocho veces en el número de usuarios.
Prueba 2: Preparando el honeypot perfecto para los ciberdelincuentes
Tras varios años de investigación y análisis, en 2016, el Centro Europeo de Ciberdelincuencia de Europol descubrió una pista sobre la infraestructura de backend de Hansa.
Esta fue una misión encubierta de Europol, con información compartida entre la policía nacional holandesa y, más tarde, con las autoridades estadounidenses. Mientras las autoridades estadounidenses y tailandesas trabajaban juntas para cerrar AlphaBay, Europol y la policía holandesa se habían infiltrado en secreto y tomado el control de la infraestructura de Hansa.
Durante las semanas que la policía holandesa operó encubiertamente Hansa, recopiló las direcciones IP reales de los vendedores, restableció la configuración de seguridad para exponer las ubicaciones de los compradores y entregó 10.000 direcciones de entrega internacionales a Europol. Fue una operación de inteligencia diseñada deliberadamente, no solo una desmantelación. Esto esencialmente condujo a la creación de una trampa de miel (honeypot) después del cierre de AlphaBay.
Utilizando este acceso, la policía había modificado el código de la plataforma para recopilar datos de vendedores y compradores de productos falsificados como drogas, productos químicos tóxicos, armas de fuego, malware y otras actividades fraudulentas. Se rastrearon datos que incluían direcciones de correo electrónico, contraseñas, claves PGP, historial, mensajes y más. Se abrieron enormes bases de datos y se brindaron a los equipos globales de aplicación de la ley información sobre miles de ciberdelincuentes.
Julian King, comisario europeo para la Unión de Seguridad, comentando este caso, señaló que, “Este último éxito demuestra no solo la creciente amenaza que representan las empresas criminales cada vez más sofisticadas que explotan el espacio en gran medida no regulado ocupado por Internet, sino también el papel vital de la cooperación internacional.”
Por el momento, parecía que las fuerzas del orden estaban manejando todo sin problemas.
¿Quiénes fueron los cerebros detrás de estos mercados de la dark web?
Alexandre Cazes fue descubierto en Bangkok gracias a una pista que las autoridades obtuvieron del propio correo electrónico de bienvenida de su mercado. Se trataba de un correo electrónico de bienvenida que AlphaBay enviaba a sus nuevos usuarios y vendedores, con una dirección de Hotmail vinculada en su encabezado. Este correo electrónico estaba vinculado a las cuentas de LinkedIn y MySpace de Cazes.
Según Agente Especial del FBI El colapso de estos ciberdelincuentes se debió a la arrogancia, Chris Thomas.“Entendieron que las fuerzas del orden estaban monitoreando su actividad, pero se sintieron tan protegidos por la tecnología de la dark web que pensaron que podrían salirse con la suya con sus crímenes..”
Tras el arresto, mientras esperaba la extradición a Estados Unidos, Cazes aparentemente murió por suicidio mientras estaba bajo custodia en Tailandia. Ese mismo mes, la Fiscalía de Estados Unidos en California presentó una demanda de decomiso civil contra Cazes y los bienes de alto valor de su esposa ubicados en todo el mundo, incluyendo varios vehículos de lujo, residencias, un hotel en Tailandia y millones en criptomonedas. Estos fueron incautados por el FBI y la Administración para el Control de Drogas.
Tras el cierre de Hansa, una investigación posterior de la policía neerlandesa condujo al arresto de dos de sus administradores, ciudadanos alemanes, así como a la incautación de sus servidores ubicados en los Países Bajos, Alemania y Lituania. Las identidades de los administradores no fueron reveladas. La Policía Nacional de los Países Bajos, Europol, el FBI y la DEA de EE. UU. estuvieron involucrados en la operación coordinada para desmantelar Hansa.
¿Qué ocurrió después de estas enormes redadas en la dark web?
A pesar de estas desarticulaciones, el impacto y las consecuencias de los delitos que facilitó continúan hasta hoy.
Un impacto importante han sido las muertes relacionadas con drogas. En la cúspide de su reinado, AlphaBay tenía más de 250.000 anuncios para drogas ilegales y químicos tóxicos.
Según denuncias presentadas en el Distrito de Carolina del Sur, una investigación sobre una muerte por sobredosis relacionada con un opioide sintético reveló que las drogas fueron compradas en AlphaBay. Otra denuncia en Florida indica que el fentanilo que causó otra muerte por sobredosis también fue comprado en la plataforma. Múltiples muertes por sobredosis en todo Estados Unidos han conducido a los servicios y productos maliciosos e ilegales que se venden en AlphaBay y plataformas similares.
Sin embargo, como vimos con la migración masiva a Hansa, el cibercrimen no se limita a los mercados específicos de la dark web. Según un artículo de investigación de 2023 de la Instituto de Ciberseguridad para la Sociedad, los datos muestran que después de que un mercado cierra, los usuarios de la dark web se trasladan rápidamente a otros mercados reputados tan pronto como es posible.
El vacío creado por AlphaBay y Hansa fue llenado en 2018 por Empire Market. Posteriormente, fue desmantelado en 2020. A esto le siguió la incautación de Genesis Market en abril de 2023. Luego vinieron los repetidos desmantelamientos y renovaciones de BreachForum, otro foro de la dark web. Lee nuestro blog “Principales actores de amenazas en la Dark Web | Resumen de 2023” para obtener más información sobre los nuevos jugadores.
AlphaBay 2.0
Aunque el creador y administrador de AlphaBay fue arrestado, su segundo al mando, conocido como “DeSnake”, seguía activo.
A principios de agosto de 2021, un usuario verificado por fuentes independientes como “DeSnake” lanzó AlphaBay 2.0 con una publicación en el foro de la darknet, “Temor. Publicaron eso, ”Quiero dedicar esto a alpha02 ante todo, nos prometimos llegar hasta el final, aquí estoy cumpliendo mi parte del trato.”
El Nueva AlphaBay se llenó de varias políticas nuevas, como restricciones estrictas sobre la venta de vacunas contra el Covid-19, fentanilo, armas de fuego, etc. DeSnake también lanzó una característica completamente nueva que tenía como objetivo eludir las infiltraciones en la infraestructura secreta. Con el objetivo de evitar lo ocurrido con Hansa, esta característica se denominó AlphaGuard.
AlphaGuard es una tecnología que permite a los usuarios retirar fondos y al servidor que aloja el mercado autodestruirse en caso de cualquier cambio inesperado en uno o todos los servidores. Solo aquellos con acceso administrativo, como DeSnake, tenían la capacidad de desactivarla, ingresando una clave dentro de las 72 horas.
AlphaBay 2.0 operó bajo DeSnake hasta febrero de 2023, cuando se desconectó sin explicación. A diferencia del cierre original, no se reclamó ninguna acción policial públicamente, lo que dejó abiertas preguntas sobre si fue una estafa de salida, un fallo técnico o algo más deliberado.”
Terminando
La Operación Bayonet sigue siendo el ejemplo más claro de cómo las fuerzas del orden pueden convertir una redada en una operación de inteligencia, utilizando un mercado criminal para vigilar a los usuarios que huyen a otro. Para los equipos de seguridad, la lección es la misma que sigue vigente en 2026: la actividad en la dark web no desaparece cuando un mercado cierra. Migra. CybelAngel monitorea esa migración continuamente, rastreando a dónde se mueven los actores de amenazas y qué se llevan consigo.
