Brian Krebs, el azote del pirata ruso

Durante el último año, delincuentes informáticos de Europa del Este han usurpado la identidad de Brian Krebs media docena de veces, han hecho caer su web, han enviado excrementos y heroína a la puerta de su casa y han llamado a un equipo de las fuerzas especiales para que acuda a su domicilio. “No puedo ni imaginar lo que los vecinos pensarán de mí”, dice el afectado.

Junto a una escopeta del calibre 12, este periodista de 41 años escribe un blog muy leído, Krebs on Security (Krebs sobre la seguridad) que trata de arrojar luz sobre un rincón especialmente oscuro de Internet: el de los cibercriminales. Muchos de estos delincuentes sacan miles de millones de la venta de productos farmacéuticos, el software malicioso, el correo basura, los fraudes y el robo de tarjetas de crédito. Krebs ha penetrado tanto en ese mundo clandestino que se tutea con algunos de los principales ciberpiratas rusos. Le llaman para que filtre información sobre sus rivales e intentan sobornarle o amenazarle para que retire sus nombres del blog.

La obsesión de Krebs empezó cuando él mismo se convirtió en una víctima más. En 2001, un gusano —programa informático malicioso que se propaga rápidamente — bloqueó su ordenador y le impidió entrar en él. “Me sentí como si alguien hubiese asaltado mi casa”, recuerda. Empezó a investigar. Estudió el correo basura, los gusanos informáticos y el sector clandestino que se oculta tras ellos. Aprendió a leer en ruso. Al final, su enfado y curiosidad se convirtieron en un trabajo a jornada completa, primero en The Washington Post y luego en su propio blog.

“Muchos de los que trabajamos en el sector acudimos a él para comprender lo que hacen los criminales de Europa del Este”, decía Rodney Joffe, de Neustar, una empresa de infraestructuras en Internet. En diciembre, Krebs descubrió lo que podría ser el mayor robo conocido de tarjetas de crédito a través de la Red. Puso al descubierto las brechas de tiendas como Target, Neiman Marcus y Michaels, y en White Lodging, que gestiona grandes cadenas hoteleras como Hilton, Marriott y Starwood Hotels. Al menos otros 10 minoristas podrían haber sido atacados por los mismos piratas informáticos que asaltaron Target, pero son reacios a admitirlo.

Las empresas afectadas, que temen que la revelación les perjudique más que el propio ataque informático, suelen acallarlos. Esto permite a los piratas asaltar compañías antes de que los consumidores se enteren. “En este sector hay muchas cosas que obstaculizan la información”, afirma Krebs. La lista de víctimas de los asaltos a Target, Neiman Marcus y otros supera ya la tercera parte de la población de Estados Unidos; un dato sombrío que puede dar al periodista una extraña sensación de justificación profesional.

En 2005, empezó a escribir el blog Security Fix (Dosis de seguridad) en The Washington Post. Los responsables se quejaron de su jerga informática y algunos recelaban de su cercanía con las fuentes. Así que en 2009, The Post pidió a Krebs que ampliase sus temas y tratase otros asuntos. Cuando rehusó, le echaron.

Aprovechó el cese para escribir su propio blog desde el cuarto de invitados de la casa que comparte con su mujer en Annandale, Virginia. Allí, tres pantallas de ordenador le ayudan a estar al tanto de lo que sucede en los bajos fondos, mientras otra controla las grabaciones de seguridad de la residencia. El número de lectores de su bitácora digital va en aumento. En diciembre tuvo 850.000 visitas y dice que los ingresos por la publicidad, las charlas y su labor como asesor superan por un “buen pico” lo que ganaba en The Post.

Pero actuar solo tiene sus riesgos. “La labor que ha hecho sacando a la luz a los piratas informáticos de Europa del Este ha sido fundamental”, afirma Tom Kellermann, un experto en ciberseguridad. “Pero necesita un guardaespaldas”.

Mientras Kreb escribe un libro titulado Spam Nation (La nación del correo basura) —que se publicará este año— los piratas han organizado una peligrosa competición para ver quién le gasta la broma más pesada. Suelen usurpar su identidad y uno abrió una línea de crédito de 20.000 dólares a su nombre. Otros delincuentes le han pagado la factura de la televisión por cable con tarjetas robadas.

En marzo, mientras Krebs esperaba a su madre para cenar, abrió la puerta de casa y se topó con un equipo de las fuerzas especiales apuntándole con armas semiautomáticas. Un desconocido había llamado a la policía para informar de un falso asesinato en su casa. Cuatro meses después, alguien envió unos paquetes de heroína a su casa y llamó a la policía haciéndose pasar por el vecino. Pero Krebs estaba controlando el fraude a través de un foro privado —donde un criminal había publicado el número de envío del paquete— y había avisado a la policía local y al FBI. En enero, su mujer recibió un correo electrónico de Target en el que les informaban de que les habían robado su dirección electrónica y otros datos personales durante el ciberasalto. “Cuando lo leí no pude evitar echarme a reír”, recuerda Krebs.

© 2013 New York Times News Service