Dark PFA bajo la lupa: el sitio web que robaba bases de datos oficiales y de los que se sirvió el hacker para entrar a teléfonos de jueces y funcionarios

En una investigación paralela, la Justicia allanó la casa de uno de los líderes de esa comunidad de hackers. Según revelaron a Infobae fuentes del caso, secuestraron todas sus computadoras y celulares que pueden ser clave. Cómo llegaron a él: el agente encubierto digital y el seguimiento hasta un cajero

Guardar
Descubren un malware llamado njRAT. (foto: ifep.com/Scyther)
Descubren un malware llamado njRAT. (foto: ifep.com/Scyther)

El mismo día en que un hacker de 22 años activaba desde Misiones el cambio de la tarjeta SIM del celular del entonces ministro de Justicia porteño Marcelo D’Alessandro, la Justicia allanaba la casa del principal sospechoso de administrar el sitio DARK PFA, el lugar desde donde se podía acceder a la base de datos de la deep web de cualquier persona que se eligiera. El dato, al que accedió Infobae, se mantuvo hasta ahora secreto porque forma parte de una causa paralela al espionaje a jueces y funcionarios y cuyos resultados podrían ser claves en esa investigación.

El foco en esa causa estuvo puesto en cómo funcionaba esa página de la Deep Web desde donde los hackers accedíeron a bases de datos de registros oficiales. El blanco elegido no solo fue el funcionario de Horacio Rodríguez Larreta sino también distintos jueces de causas clave. Infobae tuvo acceso a la investigación en donde se revela el submundo en el que orbitan los hackers.

Hay un entramado de causas abiertas que investigan distintas aristas de este tema. Una de esas causas se movió silenciosamente durante todo el año pasado y logró seguir, localizar, identificar y allanar a uno de los responsables de la página DARK PFA, el sitio que del que se sirvió el hacker de 22 años que, en Misiones, entró a los celulares del ex ministro de Seguridad porteño Marcelo D’Alessandro y de los jueces Rodrigo Giménez Uriburu, Andrés Basso y Gustavo Hornos, entre otros.

La investigación sobre DARK PFA

La imagen con la que se presenta DARK PFA
La imagen con la que se presenta DARK PFA

La causa comenzó el 3 de enero del 2022, cuando las bases de datos del RENAPER o Migraciones ya habían sido atacadas por hackers. El comisario Carlos Alberto Aguirre, en su carácter de jefe de la División Delitos Tecnológicos de la Policía Federal Argentina, denunció ese día en los tribunales de Comodoro Py que un grupo en Telegram, agrupado como “DPFA - announcements”, estaba ofreciendo acceso a una web denominada “Dark PFA”, en donde, una vez logueado, se tendría acceso a la base de datos del Registro Nacional de las Personas. Al entrar, el interesado se podía encontrar con frases como “canal donde publicaremos los avances del proyecto”, y “anunciamos que ya está disponible la Beta Oficial de Dark PFA por el valor de 15K ($15.000)”.

Te puede interesar Cuáles son las principales hipótesis detrás del hackeo a la base del Renaper

La denuncia la recibió el juez Sebastián Ramos y el fiscal Franco Picardi. A ese expediente se anexaron otras denuncias más que aparecieron después. Una que radicó la Policía Federal porque en Twitter un usuario avisaba la existencia de un sitio web denominado “DARKPFA”, al que se podría ingresar mediante el pago de unas credenciales que permitían tener acceso al sitio y como obtener datos del RENAPER. Otra que se inició en junio por impulso de la Gendarmería Nacional porque el mismo sitio ofrecía “acceso ilimitado a la base de datos del SAG a cambio de sumas de dinero en distintas redes sociales”.

Una tercera presentada por la fiscalía Especializada en Ciberdelincuencia (UFECI) de la Procuración, a cargo de Horacio Azzolin, que recibió la presentación del área Tecnología de la Prefectura Naval Argentina por “un presunto acceso ilegítimo a bases de datos de entes públicos –entre las que se encontraría el RENAPER, la Policía Federal Argentina, la Gendarmería Nacional, la Policía de la Ciudad y el SISA”. Y la cuarta una presentación de la División Ciberpatrullaje de la Policía de la Ciudad de Buenos Aires.

En todas, el objetivo era el mismo: “DARK PFA” y su oferta pública sobre bases de datos. La investigación llevó a insertar un agente encubierto digital en el grupo, revelaron a Infobae las fuentes consultadas.

El hackeo al RENAPER en 2021 (Marcelo Regalado)
El hackeo al RENAPER en 2021 (Marcelo Regalado)

El grupo de Telegram DARK PFA se había creado el 13 de noviembre de 2021 y sus responsables eran los usuarios @pr1sox, @akaxspirit, @boludeada y @pibetranki. Las sospechas se posaron sobre @pr1sox, como el administrador. En sus redes abiertas, hablaba de ciberseguridad, hacking, hackers, tecnología o intrusión a sistemas informáticos. La investigación se profundizó sobre usuarios y contactos.

En uno de sus diálogos se veía como “Pr1sox” ponía 22 números. Parecía una cuenta bancaria. Casi: era una cuenta de Mercado Pago. Analizando el CVU (clave virtual universal), se confirmó cómo la cuenta recibía gran cantidad de transferencias bancarias de distintas personas, en su mayoría por montos entre los 2 mil a los 20 mil pesos. Entre el 14 de noviembre del 2021 y el 13 de junio del 2022, sumó más de dos millones de pesos.

Como contracara, “Pr1sox” también compraba: una suscripción a una firma de servidores de alojamiento y servidores web, tarjetas de juegos de PlayStation y PC y artículos de informática. De ahí, se llegó a saber un nombre real. La investigación también detectó extracciones en efectivo en dos cajeros de la localidad de Quilmes. La Justicia ordenó entonces buscar los videos para saber si estaba la imagen de la persona retirando dinero. Con los videos y datos biométricos, el juez Ramos y el fiscal Picardi dieron con el protagonista de esta historia, cuyo nombre Infobae mantendrá por el momento en reserva para no perjudicar la investigación.

Picardi le pidió al juez el allanamiento, que se ordenó ese mismo día. Fue el 19 de octubre. Se llevaron computadoras y celulares que sigue siendo analizado por los investigadores, revelaron a Infobae fuentes consultadas. Casualidad o no, ese día no es un día cualquiera en la historia del hackeo a Marcelo D’Alessandro. El mismo día que el juez Ramos y el fiscal Picardi estaban allanando la casa a “Pr1sox”, el hacker misionero consultó en el sitio Dark PFA los datos del entonces ministro de Seguridad para poder tener los datos que le permitieran cambiar su tarjeta SIM, según pudo corroborar Infobae a través de fuentes de la investigación.

El hacker misionero

Elias Nuñes Pinheiro
Elias Nuñes Pinheiro

En su declaración como imputado en la causa que investiga el hackeo al celular de Marcelo D’Alessandro, Elias Nuñes Pinheiro aseguró que a principios del 2022, cuando él ya ofrecía el negocio de recuperar tarjetas SIM de Movistar, por Telegram le escribió una persona que no conocía.

Qué onda amigo, ¿vos haces recuperos de SIM?”, le preguntó “Pr1sox”. Cuando le respondió afirmativamente, “Pr1sox contestó: “bueno, bueno, para tenerlo en cuenta”. Siempre según la declaración indagatoria del hacker de 22 años, hablaron durante un tiempo sobre cómo y dónde conseguir tarjetas SIM. Aseguró que no le dio demasiada información. Suena lógico, después de todo era su negocio.

Más tarde, fue el propio Nuñez Pinheiro el que le ofreció a “Pr1sox” venderles tarjetas cuando un proveedor de la zona le dejó una gran cantidad. “como esta persona quería que yo lo tomara en cuenta, me regaló un acceso a DARK PFA, al cual yo entraba a través de mi celular”. Nuñez Pinheiro la describió: “una plataforma donde yo puedo buscar el dato que yo quiero”. Su interlocutor le envía un link vía Telegram para entrar y ahí buscaba nombre, apellido, DNI, número de trámite, patentes y números de teléfonos. “Pr1sox me dio la posibilidad de elegir un nombre de usuario en DARK PFA”. Se puso “Ashlucif” y una contraseña. Desde ahí buceaba en información reservada a gusto.

El mismo día que el juez Ramos y el fiscal Picardi estaban allanando la casa a “Pr1sox”, el hacker misionero consultó en el sitio Dark PFA los datos de Marcelo D’Alessandro. “Desde allí me enviaron información relativa” al entonces ministro de Seguridad porteño. El dato se lo envió una persona con credenciales en RENAPER que figuran como MME.

”Volviendo sobre el vínculo con el usuario de Telegram Pr1sox, con él nunca realicé ninguna recuperación ni nada -subrayó- La última vez que hablé con él había sido en junio, julio. Si necesitaba algo de DARK PFA, yo directamente consultaba en el grupo de Telegram” Para esa altura ya sabía entrar a informes de NOSIS.

El joven aseguró que en agosto del 2022 se contactó con él, también vía Telegram, el usuario “ElJuanxd” que, sin foto ni perfil, le preguntó si hacía recuperos de teléfonos de línea. Le empezó a pasar teléfonos, nombres, apellidos, nosis, números de trámites. Otras veces solo era el nombre y apellido y el número de teléfono. A él le tocaba entrar a NOSIS y al RENAPER. Los datos eran necesarios para contestar la trivia de Movistar. Cuando le preguntó por qué necesitaba esos datos, el misterioso “Eljuanxd” le respondió que para averiguar “infidelidades”.

Marcelo D'Alessandro
Marcelo D'Alessandro

Fue en ese contexto que le pidió recuperar el SIM de D’Alessandro. Entró a NOSIS con un perfil a nombre de “Nicanor Moreno Crotto”, “al cual tuve que asociar a una cuenta para poder operar”. Con los datos de NOSIS, fue al RENAPER, con la ayuda de DARK PFA. Activó el SIM en otro dispositivo, un Samsung S7, que después descartó. Cuando logró controlar la línea de D’Alessandro y le llegó el código para activar Telegram, le pasó el dato al misterioso “Eljuanxd”. Sacó el chip y lo rompió. El joven aseguró que no fue él quien accedió a las conversaciones de D’Aessandro. A cambio recibió entre 12 mil y 15 mil pesos, a través de una billetera virtual.

“Eljuanxd” no fue el único trabajo que le encargó. La Justicia porteña le endilga haber violentado los teléfonos del diputado Diego Santilli, los jueces Rodrigo Giménez Uriburu y Andres Basso, del tribunal oral que juzgó a Cristina Kirchner; y el camarista de Casación Gustavo Hornos, junto a los de los ciudadanos Fabio Segurado, Cristina Figueroa, Veronica Salido, Alicia Rosen White y Adriana Lazaro. El joven sólo recordó los nombres de Santilli y “Uriburu”, aunque admitió: “es probable que los consulté”.

El contenido de los diálogos entre “Eljuanxd” y Nuñez Pinheiro fue borrado. El joven aseguró que la última vez que hablaron fue en noviembre y que “para diciembre ya no usaba más Telegram”. A inicios de diciembre, apenas unos días antes de la condena a Cristina Kirchner, estalló el escándalo por la difusión del contenido de diálogos del teléfono de D’Alessandro tras un viaje a Lago Escondido.

Seguir leyendo

Guardar