La semana pasada, la Oficina Nacional de Investigación de Finlandia, fue noticia al poder registrar las huellas financieras de un ciberataque y posterior filtración de datos de la clínica Vastaamo, del cual Julius Aleksanteri Kivimäki, resultó ser identificado como el ciberatacante y extorsionador responsable, según el fiscal regional Pasi Vainio.
Los investigadores finlandeses de la Oficina Nacional de Investigación (KRP, «por sus siglas en finlandés»), realizaron un meticuloso análisis de transacciones que reveló una compleja red operaciones en las que se utilizó la criptomoneda Monero (XMR), un activo digital especialmente diseñado para mantener la privacidad de sus usuarios.
Esta criptomoneda creada en 2014, prioriza la privacidad y la descentralización por encima de todo y para ello, oculta la identidad de emisores y receptores, así como también las cantidades de las transacciones dentro del blockchain. Sus desarrolladores, afirman que es “imposible de rastrear” o al menos hasta ahora.
Monero es la criptomoneda favorita de las personas defensoras de la privacidad pero también de los ciberpiratas que buscan eludir a las fuerzas del orden al momento de mover los fondos provenientes de sus actividades delictivas.
Por otra parte, la característica del minado igualitario ha sido usada para distribuir la minería ayudando a editores de Internet legítimos pero también a ciberpiratas que insertan estos códigos de minado en Webs y aplicaciones para Smartphones, con la finalidad de obtener un rédito con la minería de Monero.
A pesar de su capacidad de ofuscación de datos en su blockchain, las autoridades de Finlandia pudieron seguir el rastro del dinero, que comenzó con una fuerte demanda de rescate de 40 BTC en octubre de 2022 (unos 450.000 euros aproximadamente en aquel momento), a cambio de no publicar los registros de más de 33.000 pacientes del proveedor de servicios finlandés de psicoterapia Vastaamo.
Dada la negativa de Vastaamo de pagar lo exigido, llevó al ciberpirata a apuntar a pacientes individuales. Pero, los investigadores de alto nivel de la KRP lograron supuestamente seguir el flujo financiero de Kivimäki con un envío falso, el cual pudo ser reconstruido con detalle.
Según el análisis este flujo inicialmente arrancó con Bitcoin (BTC), para luego pasar por un intercambio que no cumplía con ni con KYC ni con AML, el cual cambió a XMR los fondos antes de llegar a una billetera dedicada. Posteriormente, estos fondos en XMR llegaron a una billetera en Binance, donde se convirtieron nuevamente a BTC, tras lo cual se dispersaron en varias billeteras.
En Finlandia, la policía ha mantenido un estricto control sobre sus métodos de investigación y no han querido revelar más detalles sobre su análisis on-chain. El propio jefe de la investigación, Marko Leposen, dijo que la información es secreta porque se trata de métodos técnicos de la policía pero la evidencia obtenida apunta a que poseen la capacidad de descifrar la cadena de bloques de XMR.
Esto demuestra, cómo los policías finlandeses, poseen una sofisticada capacidad a nivel de análisis forense de blockchain, que pudo descifrar las características de privacidad de Monero, incluidas Ring Confidential Transactions (RingCT), firmas ring y direcciones stealth, para ofuscar sus direcciones.
Básicamente el protocolo RingCT mezcla las transacciones de los usuarios, para ocultar el origen real de los fondos. Luego, las firmas ring ocultan la identidad del remitente mostrándolo como parte de un grupo de posibles remitentes.
Y finalmente, las direcciones stealth de Monero, permiten generar una dirección de uso único para cada transacción, dificultando que se pueda vincular varias transacciones al mismo monedero del destinatario, haciendo aún más complicado la identificación de usuarios en esa criptomoneda.
Debido a estas capacidades de Monero, en 2020 las autoridades del Servicio de Impuestos Internos de Estados Unidos (IRS, «por sus siglas en inglés»), ofrecieron un reto público que consistía en una recompensa de 625.000 dólares a quien pudiera descifrar las monedas privadas supuestamente imposibles de rastrear como XMR y Zcash (ZEC), cuyo resultado final se desconoce.
No obstante, en Finlandia parece que las autoridades dieron con el método correcto para descifrar las transacciones de Monero, ya que el fiscal Vainio reveló que la KRP investigó las transferencias de fondos que recibió el ciberdelincuente de Vastaamo demostrando que el dinero del rescate enviado al extorsionador terminó en la cuenta bancaria personal de Kivimäki.
La investigación fue solicitada por la fiscalía finlandesa en noviembre del año pasado a la KRP, la cual finalizó el análisis on-chain a mediados de este mes. El propio fiscal Vainio, calificó la investigación adicional como una prueba significativa contra Kivimäki.
Aunque, durante la audiencia la defensa no estuvo de acuerdo con las pruebas, ya que cuestionaron el informe de la KRP. Los abogados de Kivimäki, afirmaron que no era posible conocer los movimientos del dinero tal y lo como afirma la policía, por lo que el propio acusado negó todos los cargos penales.
En todo caso, lo sucedido con la KRP de Finlandia y su capacidad para rastrear transacciones en Monero, subraya las capacidades de las policías y agencias de investigación para realizar análisis on-chain de las criptomonedas anónimas. De ser cierto, las fuerzas del orden ahora pueden rastrear incluso las monedas digitales más privadas.
Por otro lado, ahora los usuarios de Monero que supuestamente utilizan esta criptomoneda para mantener la privacidad de sus transacciones, deben estar pensando que realmente sus operaciones con Monero, no son tan privadas e irrastreables después de todo.