"Estaba solo en mi habitación y he derrapado": la cruda confesión del jardinero de 21 años que hackeó a todo un país
Faouzi C. es sospechoso de robar las bases de datos de 90 organizaciones públicas y privadas en Francia.
La vida de Faouzi C. dio un vuelco de 180 grados el pasado 20 de abril, los agentes de la brigada de ciberdelincuecia de Francia se presentaron en la localidad de Aizenay (Vendée), en su casa, para desmantelar sus acciones ilícitas como "HexDex", un enorme hacker.
"Sabía que este día llegaría. Me siento aliviado. Se estaba convirtiendo en una droga, no podía parar", fue su respuesta. En su ordenador, estaba a punto de publicar datos personales robados de millones de conductores que habían pasado la inspección técnica de su vehículo.
El 23 de abril, al finalizar su custodia policial, el joven fue imputado en París y encarcelado por múltiples delitos, incluyendo "extracción fraudulenta de datos y dificultad para el funcionamiento de un sistema automatizado de procesamiento de datos personales implementado por el Estado".
94 ciberataques registrados
Según los documentos policiales consultados por Le Monde, se han retenido 94 ciberataques contra Faouzi C. y su pseudónimo online "HexDex", dirigidos a una amplia variedad de objetivos: marcas comerciales, como Darty o Florajet, la prefectura de Mosela, la Universidad de Angers, los sindicatos CFDT y FO, muchas federaciones deportivas francesa, rugby, atletismo, gimnasia, kárate, esquí...
Pero también, administraciones públicas sensibles como, plataformas del Ministerio del Interior o del Ministerio de Educación francés.
"A diferencia de los ataques de ransomware, que paralizan sistemas y provocan una respuesta de emergencia, 'HexDex' opera en silencio: se exfiltra, vende y desaparece. A menudo, las víctimas no se enteran de que sus datos han sido robados hasta que aparecen a la venta, a veces semanas después", explican los investigadores, sorprendidos por el modus operandi del hacker.
El 'modus operandi'
Según ha podido saber el medio de comunicación francés, el hacker identificaba fallos en los portales web de sus objetivos para extraer datos. De este modo, "HexDex" logró infiltrarse en la cuenta de una agente administrativa del Ministerio del Interior de Francia que había utilizado sus credenciales profesionales navegando por Internet con su cuenta personal de Google, para conectarse a la plataforma nacional de formación de la policía, e-Campus. Allí, aprovechó una vulnerabilidad para consultar los perfiles de otros agentes y robar la información personal de 176.000 funcionarios.
Del mismo modo, hackeó una organización sindical del país, en la que pudo confiscar nombres, direcciones e información privada de 161.000 miembros. "Lamento anunciar que vuestros datos personales han sido extraídos con éxito y serán vendidos posteriormente", escribió el joven hacker en un correo electrónico a las víctimas.
"Estaba solo en mi habitación y derrapé"
Durante su custodia policial, Faouzi C, explicó que no tenía conocimientos avanzados de ciberseguridad y que, en la mayor parte de sus ataques utilizó principalmente inteligencia artificial. "Hago pruebas para ver si las credenciales son válidas y, si es así, reviso la web y busco fallos. Luego, envío una inteligencia artificial para programar un script que me permita extraer los datos y luego indexar".
Sobre los motivos que le llevaron a esta situación: "Es un personaje. Era para crear ruido, para hacer ruido, para que la gente hablara de mí y también para la adrenalina. No podía lograr nada en la vida real. Necesitaba atención y estaba solo en mi habitación. No veía a nadie, me aburrí y derrapé".