Evgeniy Bogachev: el creador de Zeus y el hacker más buscado

El titular

El Cyber Most Wanted del FBI incluye un nombre con una recompensa de 3 millones de dólares: Evgeniy Mikhailovich Bogachev, alias "lucky12345", alias "slavik". Es el cibercriminal individual con la recompensa más alta jamás ofrecida por el gobierno de EEUU. Y lleva más de una década libre.

Bogachev es el creador de Zeus, el troyano bancario más exitoso de la historia, y de GameOver Zeus (GOZ), la botnet P2P que robó cientos de millones a bancos y empresas. Pero su historia tiene un giro: la inteligencia estadounidense cree que Bogachev compartía datos de sus víctimas con la inteligencia rusa a cambio de protección.

Zeus: el troyano que definió el banking malware

Qué era Zeus

Zeus (2007-2010) era un troyano bancario que robaba credenciales de banca online. Se propagaba por phishing y exploit kits. Una vez en el sistema de la víctima, inyectaba código en las páginas web de bancos para capturar credenciales, números de cuenta y tokens de autenticación.

Por qué fue tan exitoso

• Web injects: modificaba las páginas de banco en el navegador de la víctima en tiempo real. El usuario veía una página normal, pero con campos adicionales que capturaban datos extra
• Form grabbing: interceptaba datos de formularios antes de que el cifrado SSL los protegiera
• Modular: se podía personalizar para atacar cualquier banco con configuraciones específicas
• Kit de construcción: Zeus se vendía como herramienta, permitiendo a otros criminales crear sus propias variantes

El código fuente

En 2011, el código fuente de Zeus se filtró públicamente. Esto generó una explosión de variantes (Citadel, Ice IX, KINS, Pandemiya) y convirtió a Zeus en la base de la mayoría del banking malware durante una década.

GameOver Zeus: la evolución P2P

La innovación

En 2011, Bogachev lanzó GameOver Zeus (GOZ), una evolución con arquitectura P2P (peer-to-peer) en lugar de servidores C2 centralizados. Esto lo hacía extremadamente difícil de desmantelar: no había un servidor central que las fuerzas del orden pudieran incautar.

Escala

GOZ infectó entre 500,000 y 1 millón de sistemas globalmente. Las pérdidas directas superaron los 100 millones USD. La botnet también se usó para distribuir CryptoLocker, uno de los primeros ransomware exitosos.

Operation Tovar (2014)

En junio de 2014, una operación multinacional (FBI, NCA, Europol, y empresas de seguridad) logró desmantelar la red P2P de GOZ mediante sinkholing coordinado. Simultáneamente, DOJ acusó formalmente a Bogachev.

Pero Bogachev no fue arrestado.

El ángulo del espionaje

La protección rusa

Según investigaciones del New York Times y otros medios, Bogachev tiene un acuerdo implícito con la inteligencia rusa (FSB). A cambio de no ser perseguido, Bogachev compartía datos obtenidos de sus víctimas que eran de interés para el espionaje ruso: correos electrónicos de funcionarios, documentos de gobiernos, información de defensa.

La evidencia

• Bogachev vive abiertamente en Anapa (costa del Mar Negro ruso)
• Tiene un yate y coches de lujo (estilo de vida visible, no se esconde)
• Rusia no responde a solicitudes de extradición
• Módulos de GOZ buscaban información de inteligencia (documentos clasificados, correos de gobierno) además de datos bancarios

El precedente

El caso Bogachev ejemplifica la relación simbiótica entre cibercrimen ruso y el estado: los criminales operan con impunidad mientras compartan inteligencia útil. Este modelo se ha documentado con otros grupos (Evil Corp/Yakubets, que tiene conexión documentada con el FSB).

Las lecciones

1. El cibercrimen y el espionaje se solapan

Bogachev es simultáneamente cibercriminal (robo bancario) y activo de inteligencia (espionaje). La línea entre crimen y espionaje estatal en Rusia es difusa, y esto complica la respuesta legal internacional.

2. Las recompensas no funcionan sin extradición

3 millones USD de recompensa no sirven si el buscado vive en un país que no coopera. Las sanciones económicas y las acusaciones públicas tienen valor simbólico pero impacto práctico limitado mientras Rusia no extradite.

3. El código filtrado tiene vida propia

El código fuente de Zeus, filtrado en 2011, generó una década de banking malware derivado. Los Conti leaks (2022) podrían tener un efecto similar con ransomware. Cuando el código se libera, no se puede controlar.

4. P2P complica los takedowns

La arquitectura P2P de GOZ requirió una operación multinacional coordinada (Operation Tovar) para desmantelar. Las botnets centralizadas son más fáciles de tumbar. Los criminales lo saben y evolucionan hacia arquitecturas resilientes.

Estado actual

Bogachev: libre en Rusia. Recompensa FBI: 3M USD (la más alta para un cibercriminal). Zeus como código: su legado vive en docenas de variantes de banking malware. GameOver Zeus: desmantelado desde 2014. El modelo Bogachev (crimen + espionaje + protección estatal): replicado por otros actores rusos.