Por Isayen Herrera
armando.info
Un cardiólogo de Ciudad Bolívar cultivaba una aparente vida doble que nunca se habría evidenciado de no ser porque el FBI lo puso entre sus buscados hace unos meses. Según la acusación en Estados Unidos, mientras por un lado, visible, era profesor universitario, cirujano abnegado y casi un asceta, por el otro, furtivo, programaba software malicioso que vendía para su uso por parte de agentes iraníes y extorsionadores. ¿Quién es Moisés Luis Zagala González? Armando.info fue a la antigua Angostura para averiguarlo.
Para seguir los pasos que el presunto pirata cibernético marca al caminar, hay que atravesar un pasillo sombrío. Las filtraciones corroen el techo y las paredes alrededor de su oficina. Los bombillos del largo corredor se dañaron en algún momento y nadie se acordó de repararlos. Algunas personas esperan en este precario lugar, pero no lo esperan a él. Ya se sabe que poco aparece desde mayo de este año, cuando se anunció que estaba en la mira del Buró Federal de Investigaciones (FBI, por sus siglas en inglés) de Estados Unidos.
La descripción encajaría como locación para una película de suspenso, pero en realidad corresponde a la oficina en Ciudad Bolívar de Moisés Luis Zagala González. Allí, en la Policlínica Santa Ana, desde hace años, ejerce la consulta como médico cardiólogo, una práctica de servicio público que le ganó reputación y que contrasta con el deseo de querer pasar inadvertido ahora, cuando también es reconocido como un cracker. Traducción: un experto en vulnerar sistemas informáticos.
Moisés Luis Zagala González es el ciudadano venezolano-francés buscado en Estados Unidos para que comparezca en un juicio que debería determinar si es culpable o no de varios ciberdelitos del más puro estilo matrix, solo que esta vez llevados a cabo lejos de la clásica estampa ultraurbana de Nueva York: en la capital del estado Bolívar, la antigua Angostura, un puerto de aires coloniales a orillas del río Orinoco, en el sur de Venezuela. Ciudad Bolívar, para más señas, se cuenta entre las ciudades del país azotadas por las precarias condiciones de vida que incluyen, sin reparos, problemas de conectividad. Este inhóspito contexto hace que muchos descarten la posibilidad de que algún delito informático de envergadura pueda gestarse allí; aunque, viéndolo bien, tal vez sea eso precisamente lo que lo convierte en el contradictorio y perfecto escenario para ello.
El médico, profesor de Cardiología de los estudiantes de pregrado de Medicina de la Universidad de Oriente, fue acusado por la Fiscalía del Distrito Este de Nueva York y el FBI de dos cargos -intento de intrusiones informáticas y conspiración para cometer intrusiones informáticas- por haber diseñado múltiples herramientas de ransomware, un software malicioso capaz de infiltrarse en las computadoras y encriptar sus contenidos (secuestrarlos, prácticamente, desde contraseñas hasta fotos, información bancaria o académica). Tras el ataque, el software sólo puede ser desactivado por sus creadores con una clave que le dan a sus víctimas tras pagar el rescate -más bien, la extorsión- que se les exige.
Un delito en ascenso
La acusación contra Zagala González se publicó tras una investigación con agente encubierto del FBI entre abril de 2019 y marzo de 2021, que develó no solo los seudónimos con los que pretendía ocultarse, sino también su modus operandi.
Los ransomware -por ransom; «rescate» en inglés- aplicados por ciberdelincuentes se ciernen cada vez más como una nueva modalidad de delito informático que genera ganancias a través de la extorsión. El FBI emitió una alerta a principios de 2021 tras 16 ataques de ransomware dirigidos a las redes de atención médica y de primeros auxilios de Estados Unidos, apenas una fracción de las más de 400 organizaciones en todo el mundo que reportaron haber sido víctimas de esta modalidad de secuestro y extorsión online, de las cuales 290 eran estadounidenses
Entre los ataques más polémicos se cuenta el que ocurrió el 7 mayo de 2021, cuando Colonial Pipeline, operador de uno de los oleoductos más grandes de ese país, anunció que había recibido un ataque de ransomware. La compañía cerró de manera preventiva su tubería, que entrega casi la mitad del combustible para aviones y la gasolina que se usa en la costa atlántica, lo que generó interrupción de viajes aéreos y compras nerviosas de combustible entre el público. Según una investigación del diario The New York Times, la empresa terminó pagando a los chantajistas 75 bitcoin, equivalentes entonces a cinco millones de dólares.
En junio de ese mismo año hubo otro ciberataque que afectó a los servidores que soportan la plataforma tecnológica del proveedor de carne JBS, corporación global de origen brasileño, en Norteamérica y Australia. La empresa debió pagar 11 millones de dólares para recuperar su operatividad, pues el ataque afectó a la cadena de suministro. En ese momento, el gobierno de Washington atribuyó la responsabilidad a una banda criminal que, se cree, tiene su sede en Rusia o Europa del Este.
En esos casos, que se sepa, no participó el médico de Ciudad Bolívar. Pero Zagala representa un engranaje que permite descifrar y cauterizar el sistema de este nuevo delito, con dimensiones de industria.
Según la acusación federal, este médico creó, vendió y alquiló su software a piratas que lo utilizaron para atacar redes informáticas, enseñó a sus clientes cómo usarlo y, como estrategia de negocio, creó un «programa de afiliados», en el que proporcionó acceso de usuario a uno de los programas a cambio de una parte de las ganancias obtenidas por los ataques. También publicó, como parte de su mercadeo enlaces en foros para promocionar el historial de los clientes con el software.
“Como se alega, el médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética (…) se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó sobre ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán”, declaró el Fiscal Federal Breon Peace.
El buen doctor
En los servicios de mensajería de texto compartidos por doctores y allegados al gremio médico de la capital bolivarense, la noticia corrió como pólvora el 16 de mayo de 2022: un colega conocido en la ciudad por ser hijo de un matrimonio honorable de la localidad, excelente estudiante y profesor universitario, era acusado por un delito informático que a la fecha de hoy pocos entienden y muchos, en cambio, subestiman.
Algunos médicos y amigos de la adolescencia lo defendieron sin dudar. Contactados por Armando.info comentaron que “era imposible” que un hijo de Moisés Zagala, un ingeniero y profesor de origen francés, y de Rosalía González, conocida por vender artesanías indígenas, pudiera ser capaz de hacer algo ilegal.
Presuponen, además de la honorabilidad de su familia, que su sencillez contrasta con el perfil de alguien que pueda estar obteniendo grandes ganancias a partir de un delito informático. Aseguran que el dinero no podría ocultarse y Zagala González, al menos en Ciudad Bolívar, mantiene un estricto bajo perfil, además de una vida muy frugal. Aún maneja la misma camioneta Jeep Cherokee, que tiene al menos diez años de uso. Su consultorio se encuentra en un edificio terriblemente deteriorado y a la fachada del edificio en donde reside solo le quedan vestigios de que alguna vez estuvo pintado.
Su estilo de vida no es ostentoso, hasta el punto que tanta austeridad llama la atención no solo en contraste con la imagen de un mago de la piratería informática, sino para ser un médico destacado, conocido, pero de pocos amigos. En general, las fuentes consultadas por Armando.info lo describen como una persona arrogante y algo egocéntrica. Evita los saludos de sus colegas. Eso sí, nadie titubea al admitir que es un hombre muy inteligente.
De todas las fuentes consultadas, el cardiólogo Reinaldo Brines fue de los pocas que ofreció su testimonio dando la cara, junto a su nombre y apellido. Brines tiene su consultorio también en la Policlínica Santa Ana, frente al de Zagala. Han hecho intervenciones quirúrgicas juntos. Muestra una revista en donde salen uno al lado del otro en una fotografía en quirófano; el título de la nota a la que la foto acompaña destaca la innovación en la cardiología. “Él no tiene ni Internet en su casa”, dice. “Lo he llamado y no me puedo ni comunicar y he tenido que ir a buscarlo”, alega, aunque señala que jamás ha entrado a su apartamento.
Otros médicos, compañeros de la Facultad de Medicina de la Universidad de Oriente, de donde egresó, recuerdan en cambio que la primera vez que en sus vidas vieron una computadora fue en la casa de Zagala, en la década de los 80. Un antiguo pupilo del médico dijo que en cierto momento este recomendó ciertas aplicaciones informáticas para facilitar algún trabajo, y otro médico deslizó el comentario de que Zagala tenía “otras fuentes” de ingresos y que logró arreglar una computadora de su propiedad. Pero solo hasta aquí llegan las anécdotas más cercanas a la informática de las que sus conocidos disponen.
Nadie de su entorno se atreve a decir si este médico brillante tiene una doble vida, pero una anécdota de su juventud activa una ligera duda. Hace 30 años, cuando las computadoras caseras se usaban casi solo para escribir -con los llamados «procesadores de palabras»- y las letras en las pantallas eran de color verde, Zagala, junto a tres amigos más, crearon un programa para calcular la probabilidad de ganar carreras de caballos. Diseñaron el programa para obtener las estadísticas de quién era mejor jinete, mejor entrenador y qué caballo hacía los mejores tiempos. Lo usaron. Una vez pegaron cinco carreras del juego dominical del 5y6 solo porque desconfiaron de su propio programa y no apostaron al ejemplar que arrojaba su desarrollo como posible vencedor de la sexta válida, cuentan dos personas cercanas a su círculo de cuando eran jóvenes.
Ojos que no ven
Aunque el Tribunal Federal de Primera Instancia del Distrito Este de Nueva York en Brooklyn, Nueva York, emitió una orden federal para arrestarlo y el alerta del FBI insta a dar información sobre el paradero de Zagala o contactar a la embajada más cercana, ninguna autoridad venezolana se ha acercado a su sitio de trabajo para indagar sobre él, según afirma Margot Gutiérrez, la directora del centro de salud público donde el controvertido médico labora.
Por lo demás, la funcionaria alega que no se mete en la vida personal de los médicos. Otro tanto argumentaron los vigilantes de la Policlínica Santa Ana, que a su manera fungieron como voceros o intermediarios de la directiva del recinto, cuyos miembros no quisieron hablar con Armando.info. “Acá los médicos son autónomos”, expresó un vigilante después de notificar que nadie daría declaraciones sobre el tema por orden de la administración de la clínica.
Es así, amparado por la escasa comprensión colectiva de la magnitud de lo sucedido y por una férrea defensa de su privacidad, que Zagala se sigue moviendo por Ciudad Bolívar. Va menos a su consulta privada, pero atiende llamados de los pacientes y continúa caminando por los pasillos del Hospital Dr Héctor Nouel Joubert, adscrito al Seguro Social, donde también presta sus servicios.
Zagala ha sido muy puntual con sus explicaciones. Su colega, el doctor Brines, asegura que él llegó a excusarse con su círculo íntimo asegurando que, en algún momento, su correo electrónico fue intervenido y que no tiene dinero para pagar una defensa en Estados Unidos que le permita enfrentar el proceso judicial que le espera. Su colega, luego de escucharlo, tiene como hipótesis que hubo una usurpación de su identidad.
A otros amigos les dijo que temía por su seguridad, que solo quería que el tema se olvidara y estaba resignado a no salir más del país. Al ser contactado por Armando.info para este reportaje, Zagala mantuvo un largo silencio que fue por fin interrumpido con una solicitud de no buscarle más a él, a su familia o amigos, y que no daría entrevistas por sugerencia de sus abogados.
Ciberpirata y tutor helenista
El trabajo encubierto del FBI entre abril de 2019 y marzo de 2021 detectó que Zagala tenía dos productos estrellas. Uno era un ransomware llamado Jigsaw v.2, que tenía, en la descripción de Zagala, un contador que registra cuántas veces el usuario había intentado eliminar el software malicioso de su computadora. Con esta herramienta, él aconsejaba a sus clientes que lo usaran como castigo y para determinar qué tanto podían conseguir de la víctima: «Si el usuario elimina el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro», explicaba el mecanismo de represalia, como parte de sus tutoriales que fueron citados en el expediente judicial.
Para abril de 2019, según las investigaciones, el pirata cibernético vendía su producto con el valor agregado de evadir los antivirus y configurarse para pedir cuentas de bitcoin diferentes a cada víctima, además de la capacidad de robar las contraseñas y datos de la tarjeta de crédito de la persona atacada. Esta herramienta la fue perfeccionando con el tiempo. Zagala vendía su producto en foros de Internet por 500 dólares y el código fuente por 3.000 dólares.
A finales de 2019, anunció otro producto que llamó Thanos, una referencia simultánea al villano ficticio de la serie Avengers y a Thanatos, la muerte de la mitología griega. En otro foro dijo que los interesados en usar su herramienta debían compartir con él una parte de las ganancias obtenidas como producto de los ataques cibernéticos. Un funcionario infiltrado del FBI le compró esta licencia en septiembre de 2020.
Aunque los agentes no saben cuántas licencias de Thanos se vendieron, sí confirmaron algunas transacciones. “El servidor de control de Thanos contenía un archivo que enumeraba el estado de las licencias de 38 clientes, lo que indica que al menos 38 copias se han vendido del programa ransomware”, detalla el expediente. Y agrega que “su uso de un programa de afiliados le permite beneficiarse directamente de tales intrusiones”.
El FBI acota en su expediente que la afición de Zagala por la informática empezó desde su juventud. Lo describen como un “pirata informático” autodidacta que comenzó su clandestinidad al menos en el año 1997, a través de participaciones en línea en la High Craking University (HCU), una comunidad en línea selecta de piratas informáticos de élite e ingenieros. El expediente agrega al caso la comprobación de que Zagala usaba seudónimos también de origen griego: Esculapio, en referencia al antiguo dios de la medicina, o Nosophoros, palabra que significa “portador de enfermedades”, también en griego. El FBI encontró que una persona identificada como Aesculapiues tenía tutoriales en línea publicados por la HCU sobre cómo descifrar programas shareware y desafíos de codificación que sirvieron como prueba de admisión para la universidad élite.
Lea completo aquí