Cinco años de cárcel para el ‘hacker’ detenido en Estepona tras piratear el Twitter de Joe Biden y Elon Musk

La carrera como pirata informático del británico Joseph James O’Connor, alias PlugwalkJoe, de 24 años, le ha llevado a la cárcel. O’Connor y sus cómplices se hicieron pasar por Barack Obama, Elon Musk, Bill Gates, Jeff Bezos, Warren Buffett, Kanye West o Kim Kardashian, apoderándose de sus cuentas de Twitter para tratar de captar dinero mediante engaños. También piratearon cuentas de TikTok y Snapchat de famosos y las cuentas de Twitter de empresas como Apple y Uber en uno de los ataques informáticos más conocidos. Fue detenido en Estepona (Málaga) en julio de 2021 por la Policía Nacional. Casi dos años después, ha sido condenado a cinco años de cárcel por un juzgado de Nueva York, según ha informado el fiscal del Distrito Sur de Nueva York.

O’Connor fue extraditado por España el 26 de abril pasado y desde entonces su caso se ha resuelto por la vía rápida. El pasado 9 de mayo se declaró culpable de numerosos delitos cibernéticos y este viernes se ha hecho pública la sentencia. O’Connor ha sido condenado por dos conjuntos de cargos.

Por una parte, por conspiración para cometer piratería informática y otros cargos relacionados con un esquema fraudulento perpetrado con otros cómplices para utilizar una técnica de intrusión cibernética conocida como ataque de intercambio SIM para robar criptodivisas, entonces valoradas en aproximadamente 794,000 dólares, de una compañía de criptodivisas con sede en Manhattan y luego para blanquear las ganancias de esos delitos

Por otro lado, un conjunto de cargos en relación con el papel de O’Connor en el hackeo de Twitter en julio de 2020, las intrusiones informáticas relacionadas con las tomas de cuentas de usuarios de TikTok y Snapchat, y el acoso cibernético a dos víctimas separadas. A una de las víctimas la chantajeó tras hacerse con imágenes privadas. A la otra, menor de edad, la acosó y amenazó y llegó a hacer llamadas de emergencia falsas con el fin de provocar una respuesta de las fuerzas del orden que pueda poner en peligro a la víctima o a otras personas, una práctica conocida como swatting. Este segundo grupo de cargos empezaron a ser perseguidos en California y luego transferidos a Nueva York, donde se agruparon unos y otros.

Finalmente, por el primer grupo de cargos O’Connor se ha declarado culpable de conspiración para cometer intrusiones informáticas, conspiración para cometer fraude electrónico, y conspiración para cometer blanqueo de dinero. Y, en relación con el segundo conjunto, el británico ha admitido conspiración para cometer intrusiones informáticas, dos cargos de cometer intrusiones informáticas, realizar comunicaciones extorsivas, dos cargos de acoso, y realizar comunicaciones amenazantes.

Además de la pena de prisión de cinco años, O’Connor ha sido condenado a tres años de libertad vigilada. La sentencia, fruto aparentemente de un acuerdo, es relativamente benévola si se toma en cuenta que algunos de los delitos por los que ha sido sentenciado tienen penas de hasta 20 años de prisión. La condena máxima agregada de todos los delitos sumaba un máximo potencial de 70 años. Al declararse culpable, el condenado accedió también a renunciar a 794.012,64 dólares y a indemnizar a las víctimas de sus delitos y eso se recoge también en la sentencia.

“Las actividades delictivas de O’Connor fueron flagrantes y malintencionadas, y su conducta afectó a la vida de muchas personas. Acosó, amenazó y extorsionó a sus víctimas, causándoles importantes daños emocionales”, declaró a través de un comunicado el fiscal General Adjunto Kenneth A. Polite, Jr. de la División Penal del Departamento de Justicia, en mayo pasado, cuando el acusado se declaró culpable. “Al igual que muchos actores criminales, O’Connor trató de permanecer en el anonimato utilizando un ordenador para esconderse detrás de cuentas furtivas y alias desde fuera de los Estados Unidos. Pero esta declaración de culpabilidad demuestra que nuestros investigadores y fiscales identificarán, localizarán y llevarán ante la justicia a este tipo de delincuentes para garantizar que se enfrentan a las consecuencias de sus delitos”, añadió.

“O’Connor ha dejado un impresionante rastro de destrucción en la estela de su ola de criminalidad”, dijo el fiscal federal Ismail J. Ramsey para el Distrito Norte de California. “Este caso sirve como advertencia de que el alcance de la ley es largo, y los delincuentes de cualquier lugar que utilizan ordenadores para cometer delitos pueden acabar enfrentándose a las consecuencias de sus actos en lugares que no habían previsto”.

Detenciones rápidas

La operación policial española, denominada Portland, fue llevada a cabo por la Unidad Central de Ciberdelincuencia en colaboración con la Oficina Federal de Investigación (FBI) de Estados Unidos. La investigación arrancó en España el mes de abril de 2020, cuando Estados Unidos avisó a la Policía Nacional de que el joven, que ya estaba siendo investigado por otros delitos, podría estar en territorio español. Las pesquisas fueron dirigiendo a los investigadores hasta la Costa del Sol, donde se hallaba.

El hackeo de las cuentas de Twitter, más de un centenar, tuvo lugar la noche del 15 de julio de 2020 y fue realizado con otros cómplices. Los mensajes con los intentos de estafa llegaron a más de 350 millones de personas, lo que permitió que en apenas unas horas los delincuentes se hicieran con 117.000 dólares con mensajes que animaban a los seguidores a enviar bitcoins a una cuenta. Prometían que a todo el que lo hiciese se le devolvería el doble de la cantidad ingresada. Es un ataque muy conocido, que cuenta con su propia página en Wikipedia.

La propia red social lanzó un mensaje confirmando el ataque: “Tenemos conocimiento de un incidente de seguridad que afecta a cuentas de Twitter. Estamos investigando y tomando medidas para solucionarlo. Informaremos a todos en breve.”, tuiteó la red social, que fue haciendo seguimiento del incidente.

“Hemos detectado lo que creemos que es un ataque coordinado de ingeniería social por parte de personas que consiguieron que algunos de nuestros empleados accedieran a sistemas y herramientas internas”, explicó al día siguiente. Y añadió en otro tuit: “Sabemos que han utilizado este acceso para tomar el control de muchas cuentas muy visibles (incluidas las verificadas) y tuitear en su nombre. Estamos investigando qué otras actividades maliciosas pueden haber llevado a cabo o a qué información pueden haber accedido”.

Dos semanas después del ataque, el 31 de julio de 2020, el Departamento de Justicia de Estados Unidos anunció la detención y la imputación de tres personas relacionadas con la estafa. Un joven de 19 años del Reino Unido fue acusado de múltiples cargos de conspiración para cometer fraude electrónico, conspiración para cometer blanqueo de capitales y acceso intencionado a un ordenador protegido, y un joven de 22 años de Florida fue acusado de complicidad en el acceso internacional. Un tercer individuo, Graham Ivan Clark, un menor del condado de Hillsborough (Florida), también fue acusado. Aceptó un acuerdo con la fiscalía en marzo de 2021 y fue condenado a tres años de prisión seguidos de tres años de libertad condicional.

Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.