Declaran culpable a hacker acusado de vulnerar Dropbox y LinkedIn

Un jurado encontró al hacker ruso Yevgeniy Nikulin culpable de hackear las redes internas de LinkedIn, Dropbox y Formspring en 2012. Posteriormente vendió las bases de datos de usuarios en el mercado negro.

El veredicto se aprobó el viernes pasado durante el primer juicio que se celebró en California desde el inicio de la pandemia de coronavirus.

Los tres incidentes

Según los documentos judiciales y las pruebas presentadas en el juicio, Nikulin hackeó tres empresas en la primavera de 2012. Los afectados fueron: Dropbox, LinkedIn y Formspring

El hacker vulneró por primera vez LinkedIn entre el 3 y el 4 de marzo de 2012. Logró su cometido después de infectar la computadora portátil de un empleado con malware. Esto le permitió a Nikulin abusar de la VPN del empleado y acceder a la red interna de LinkedIn.

Desde aquí, el hacker robó aproximadamente 117 millones de registros de usuarios, datos que incluían nombres de usuario, contraseñas y correos electrónicos.

Nikulin luego usó los datos de LinkedIn para enviar correos electrónicos de phishing a empleados de otras compañías. Los correos estaban dirigidos a personas que trabajan en Dropbox. En Dropbox pudo acceder a una cuenta de empleado, y luego invitarse a una carpeta de Dropbox que contiene datos de la compañía.

Esta intrusión duró desde el 14 de mayo de 2012 hasta el 25 de julio de 2012. Las autoridades dicen que Nikulin pudo obtener una gran cantidad de información sobre 68 millones de usuarios de Dropbox. Obtuvo nombres de usuario, correos electrónicos y contraseñas hash.

Nikulin también pudo ingresar a la cuenta de empleados de un ingeniero de Formspring. Ahí, en junio de 2012, se cree que obtuvo acceso a la base de datos interna de usuarios de la compañía. La base de datos consta de 30 millones de detalles de usuarios.

Nikulin luego vendió los datos en la dark web en sitios de hackers a otros hackers. Los datos aparecieron en línea en 2015 y 2016. Esto porque varios comerciantes de datos pusieron los datos a la venta en foros de acceso público y tiendas de comercio electrónico delictivas.

Los arrestos, la extradición y el juicio en los Estados Unidos

Las autoridades comenzaron una investigación después de que las tres compañías presentaron denuncias penales en California, en 2015. Nikulin fue arrestado un año después, en octubre de 2016, mientras estaba de vacaciones en Praga con su novia.

Un editorial de Radio Free Europe publicado en 2016 destacó el estilo de vida extravagante de Nikulin financiado por sus actividades de hacking. Esto incluyó varios automóviles de lujo, relojes caros y viajes por Europa. En una entrevista con el sitio ruso AutoRambler, Nikulin admitió ser dueño de un Lamborghini Huracan, un Bentley, un Continental GT y un Mercedes-Benz G-Class.

A pesar de los intentos de luchar contra su extradición en la República Checa, el hacker finalmente fue enviado a los EE. UU. En el verano de 2017, donde fue procesado frente a un juez.

Desde 2017, el hacker permaneció encarcelado. Durante todo esto, Nikulin cambió de abogado varias veces, se negó a cooperar con la investigación o llegar a un acuerdo de culpabilidad. Luego fue trasladado a varias cárceles y fue examinado por psicólogos bajo la orden del tribunal en medio de preocupaciones por su salud mental. Esto después de que Nikulin se negó a hablar y a comparecer ante la corte. Se descubrió que Nikulin era mentalmente apto para un juicio.

El juicio real se estableció inicialmente para principios de 2020, pero se retrasó dos veces debido a la pandemia de coronavirus.

Durante el juicio, que tuvo lugar bajo circunstancias especiales y medidas de protección, Nikulin se declaró inocente. Los fiscales de Estados Unidos probaron su caso, pero también trataron de ligarlo a otros hackers y conspiraciones criminales.

Desenlace

El juez que supervisó el caso cuestionó los esfuerzos de la fiscalía pocos días antes de que finalizara el juicio. El juez describió sus esfuerzos y pruebas como “mumbo jumbo”. Él preguntó si los fiscales estaban perdiendo el tiempo del jurado y también preguntó en voz alta si los fiscales tenían algo real en evidencia contra Nikulin.  Quería saber si tenían evidencia además de mensajes privados enviados entre dos nicks en chats de internet.

Sin embargo, a pesar de que el juez criticó a los fiscales por su manejo del caso, el jurado encontró a Nikulin culpable. Esto después de solo seis horas de deliberaciones.

La sentencia de Nikulin estaba programada para el 29 de septiembre de 2020.