El doctor Zagala y míster Cracker

Un cardiólogo de Ciudad Bolívar cultivaba una aparente vida doble que nunca se habría evidenciado de no ser porque el FBI lo puso entre sus buscados hace unos meses. Según la acusación en Estados Unidos, mientras por un lado, visible, era profesor universitario, cirujano abnegado y casi un asceta, por el otro, furtivo, programaba software malicioso que vendía para su uso por parte de agentes iraníes y extorsionadores. ¿Quién es Moisés Luis Zagala González? Armando.info fue a la antigua Angostura para averiguarlo. 

11 septiembre 2022

Para seguir los pasos que el presunto pirata cibernético marca al caminar, hay que atravesar un pasillo sombrío. Las filtraciones corroen el techo y las paredes alrededor de su oficina. Los bombillos del largo corredor se dañaron en algún momento y nadie se acordó de repararlos. Algunas personas esperan en este precario lugar, pero no lo esperan a él. Ya se sabe que poco aparece desde mayo de este año, cuando se anunció que estaba en la mira del Buró Federal de Investigaciones (FBI, por sus siglas en inglés) de Estados Unidos.

La descripción encajaría como locación para una película de suspenso, pero en realidad corresponde a la oficina en Ciudad Bolívar de Moisés Luis Zagala González. Allí, en la Policlínica Santa Ana, desde hace años, ejerce la consulta como médico cardiólogo, una práctica de servicio público que le ganó reputación y que contrasta con el deseo de querer pasar inadvertido ahora, cuando también es reconocido como un cracker. Traducción: un experto en vulnerar sistemas informáticos.

Moisés Luis Zagala González es el ciudadano venezolano-francés buscado en Estados Unidos para que comparezca en un juicio que debería determinar si es culpable o no de varios ciberdelitos del más puro estilo matrix, solo que esta vez llevados a cabo lejos de la clásica estampa ultraurbana de Nueva York: en la capital del estado Bolívar, la antigua Angostura, un puerto de aires coloniales a orillas del río Orinoco, en el sur de Venezuela. Ciudad Bolívar, para más señas, se cuenta entre las ciudades del país azotadas por las precarias condiciones de vida que incluyen, sin reparos, problemas de conectividad. Este inhóspito contexto hace que muchos descarten la posibilidad de que algún delito informático de envergadura pueda gestarse allí; aunque, viéndolo bien, tal vez sea eso precisamente lo que lo convierte en el contradictorio y perfecto escenario para ello.

El médico, profesor de Cardiología de los estudiantes de pregrado de Medicina de la Universidad de Oriente, fue acusado por la Fiscalía del Distrito Este de Nueva York y el FBI de dos cargos -intento de intrusiones informáticas y conspiración para cometer intrusiones informáticas- por haber diseñado múltiples herramientas de ransomware, un software malicioso capaz de infiltrarse en las computadoras y encriptar sus contenidos (secuestrarlos, prácticamente, desde contraseñas hasta fotos, información bancaria o académica). Tras el ataque, el software sólo puede ser desactivado por sus creadores con una clave que le dan a sus víctimas tras pagar el rescate -más bien, la extorsión- que se les exige. 

Un delito en ascenso

La acusación contra Zagala González se publicó tras una investigación con agente encubierto del FBI entre abril de 2019 y marzo de 2021, que develó no solo los seudónimos con los que pretendía ocultarse, sino también su modus operandi.

Los ransomware -por ransom; "rescate" en inglés- aplicados por ciberdelincuentes se ciernen cada vez más como una nueva modalidad de delito informático que genera ganancias a través de la extorsión. El FBI emitió una alerta a principios de 2021 tras 16 ataques de ransomware dirigidos a las redes de atención médica y de primeros auxilios de Estados Unidos, apenas una fracción de las más de 400 organizaciones en todo el mundo que reportaron haber sido víctimas de esta modalidad de secuestro y extorsión online, de las cuales 290 eran estadounidenses

Entre los ataques más polémicos se cuenta el que ocurrió el 7 mayo de 2021, cuando Colonial Pipeline, operador de uno de los oleoductos más grandes de ese país, anunció que había recibido un ataque de ransomware. La compañía cerró de manera preventiva su tubería, que entrega casi la mitad del combustible para aviones y la gasolina que se usa en la costa atlántica, lo que generó interrupción de viajes aéreos y compras nerviosas de combustible entre el público. Según una investigación del diario The New York Times, la empresa terminó pagando a los chantajistas 75 bitcoin, equivalentes entonces a cinco millones de dólares.

En junio de ese mismo año hubo otro ciberataque que afectó a los servidores que soportan la plataforma tecnológica del proveedor de carne JBS, corporación global de origen brasileño, en Norteamérica y Australia. La empresa debió pagar 11 millones de dólares para recuperar su operatividad, pues el ataque afectó a la cadena de suministro. En ese momento, el gobierno de Washington atribuyó la responsabilidad a una banda criminal que, se cree, tiene su sede en Rusia o Europa del Este.

En esos casos, que se sepa, no participó el médico de Ciudad Bolívar. Pero Zagala representa un engranaje que permite descifrar y cauterizar el sistema de este nuevo delito, con dimensiones de industria. 

Según la acusación federal, este médico creó, vendió y alquiló su software a piratas que lo utilizaron para atacar redes informáticas, enseñó a sus clientes cómo usarlo y, como estrategia de negocio, creó un "programa de afiliados", en el que proporcionó acceso de usuario a uno de los programas a cambio de una parte de las ganancias obtenidas por los ataques. También publicó, como parte de su mercadeo enlaces en foros para promocionar el historial de los clientes con el software.

 “Como se alega, el médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética (...) se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó sobre ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán”, declaró el Fiscal Federal Breon Peace.

El FBI hizo un trabajo de inteligencia en la Dark web entre los años 2019 y 2021 para dar con la identidad de este presunto pirata cibernético. Los detalles están en el expediente del Tribunal de Distrito Este de New York de los Estados Unidos.

El buen doctor

En los servicios de mensajería de texto compartidos por doctores y allegados al gremio médico de la capital bolivarense, la noticia corrió como pólvora el 16 de mayo de 2022: un colega conocido en la ciudad por ser hijo de un matrimonio honorable de la localidad, excelente estudiante y profesor universitario, era acusado por un delito informático que a la fecha de hoy pocos entienden y muchos, en cambio, subestiman.

Algunos médicos y amigos de la adolescencia lo defendieron sin dudar. Contactados por Armando.info comentaron que “era imposible” que un hijo de Moisés Zagala, un ingeniero y profesor de origen francés, y de Rosalía González, conocida por vender artesanías indígenas, pudiera ser capaz de hacer algo ilegal.

Presuponen, además de la honorabilidad de su familia, que su sencillez contrasta con el perfil de alguien que pueda estar obteniendo grandes ganancias a partir de un delito informático. Aseguran que el dinero no podría ocultarse y Zagala González, al menos en Ciudad Bolívar, mantiene un estricto bajo perfil, además de una vida muy frugal. Aún maneja la misma camioneta Jeep Cherokee, que tiene al menos diez años de uso. Su consultorio se encuentra en un edificio terriblemente deteriorado y a la fachada del edificio en donde reside solo le quedan vestigios de que alguna vez estuvo pintado. 

Su estilo de vida no es ostentoso, hasta el punto que tanta austeridad llama la atención no solo en contraste con la imagen de un mago de la piratería informática, sino para ser un médico destacado, conocido, pero de pocos amigos. En general, las fuentes consultadas por Armando.info lo describen como una persona arrogante y algo egocéntrica. Evita los saludos de sus colegas. Eso sí, nadie titubea al admitir que es un hombre muy inteligente.

De todas las fuentes consultadas, el cardiólogo Reinaldo Brines fue de los pocas que ofreció su testimonio dando la cara, junto a su nombre y apellido. Brines tiene su consultorio también en la Policlínica Santa Ana, frente al de Zagala. Han hecho intervenciones quirúrgicas juntos. Muestra una revista en donde salen uno al lado del otro en una fotografía en quirófano; el título de la nota a la que la foto acompaña destaca la innovación en la cardiología. “Él no tiene ni Internet en su casa”, dice. “Lo he llamado y no me puedo ni comunicar y he tenido que ir a buscarlo”, alega, aunque señala que jamás ha entrado a su apartamento. 

Otros médicos, compañeros de la Facultad de Medicina de la Universidad de Oriente, de donde egresó, recuerdan en cambio que la primera vez que en sus vidas vieron una computadora fue en la casa de Zagala, en la década de los 80. Un antiguo pupilo del médico dijo que en cierto momento este recomendó ciertas aplicaciones informáticas para facilitar algún trabajo, y otro médico deslizó el comentario de que Zagala tenía “otras fuentes” de ingresos y que logró arreglar una computadora de su propiedad. Pero solo hasta aquí llegan las anécdotas más cercanas a la informática de las que sus conocidos disponen. 

El médico Reinaldo Brines asegura que su colega Moisés Zagala es un buen profesional y honesto. Créditos: Isayen Herrera.

Nadie de su entorno se atreve a decir si este médico brillante tiene una doble vida, pero una anécdota de su juventud activa una ligera duda. Hace 30 años, cuando las computadoras caseras se usaban casi solo para escribir -con los llamados "procesadores de palabras"- y las letras en las pantallas eran de color verde, Zagala, junto a tres amigos más, crearon un programa para calcular la probabilidad de ganar carreras de caballos. Diseñaron el programa para obtener las estadísticas de quién era mejor jinete, mejor entrenador y qué caballo hacía los mejores tiempos. Lo usaron. Una vez pegaron cinco carreras del juego dominical del 5y6 solo porque desconfiaron de su propio programa y no apostaron al ejemplar que arrojaba su desarrollo como posible vencedor de la sexta válida, cuentan dos personas cercanas a su círculo de cuando eran jóvenes.

Ojos que no ven

Aunque el Tribunal Federal de Primera Instancia del Distrito Este de Nueva York en Brooklyn, Nueva York, emitió una orden federal para arrestarlo y el alerta del FBI insta a dar información sobre el paradero de Zagala o contactar a la embajada más cercana, ninguna autoridad venezolana se ha acercado a su sitio de trabajo para indagar sobre él, según afirma Margot Gutiérrez, la directora del centro de salud público donde el controvertido médico labora.

Por lo demás, la funcionaria alega que no se mete en la vida personal de los médicos. Otro tanto argumentaron los vigilantes de la Policlínica Santa Ana, que a su manera fungieron como voceros o intermediarios de la directiva del recinto, cuyos miembros no quisieron hablar con Armando.info. “Acá los médicos son autónomos”, expresó un vigilante después de notificar que nadie daría declaraciones sobre el tema por orden de la administración de la clínica.

Es así, amparado por la escasa comprensión colectiva de la magnitud de lo sucedido y por una férrea defensa de su privacidad, que Zagala se sigue moviendo por Ciudad Bolívar. Va menos a su consulta privada, pero atiende llamados de los pacientes y continúa caminando por los pasillos del Hospital Dr Héctor Nouel Joubert, adscrito al Seguro Social, donde también presta sus servicios. 

Zagala ha sido muy puntual con sus explicaciones. Su colega, el doctor Brines, asegura que él llegó a excusarse con su círculo íntimo asegurando que, en algún momento, su correo electrónico fue intervenido y que no tiene dinero para pagar una defensa en Estados Unidos que le permita enfrentar el proceso judicial que le espera. Su colega, luego de escucharlo, tiene como hipótesis que hubo una usurpación de su identidad. 

A otros amigos les dijo que temía por su seguridad, que solo quería que el tema se olvidara y estaba resignado a no salir más del país. Al ser contactado por Armando.info para este reportaje, Zagala mantuvo un largo silencio que fue por fin interrumpido con una solicitud de no buscarle más a él, a su familia o amigos, y que no daría entrevistas por sugerencia de sus abogados.  

Ciberpirata y tutor helenista

El trabajo encubierto del FBI entre abril de 2019 y marzo de 2021 detectó que Zagala tenía dos productos estrellas. Uno era un ransomware llamado Jigsaw v.2, que tenía, en la descripción de Zagala, un contador que registra cuántas veces el usuario había intentado eliminar el software malicioso de su computadora. Con esta herramienta, él aconsejaba a sus clientes que lo usaran como castigo y para determinar qué tanto podían conseguir de la víctima:  "Si el usuario elimina el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro", explicaba el mecanismo de represalia, como parte de sus tutoriales que fueron citados en el expediente judicial.

Para abril de 2019, según las investigaciones, el pirata cibernético vendía su producto con el valor agregado de evadir los antivirus y configurarse para pedir cuentas de bitcoin diferentes a cada víctima, además de la capacidad de robar las contraseñas y datos de la tarjeta de crédito de la persona atacada. Esta herramienta la fue perfeccionando con el tiempo. Zagala vendía su producto en foros de Internet  por 500 dólares y el código fuente por 3.000 dólares.

A finales de 2019, anunció otro producto que llamó Thanos, una referencia simultánea al villano ficticio de la serie Avengers y a Thanatos, la muerte de la mitología griega. En otro foro dijo que los interesados en usar su herramienta debían compartir con él una parte de las ganancias obtenidas como producto de los ataques cibernéticos. Un funcionario infiltrado del FBI le compró esta licencia en septiembre de 2020.

Aunque los agentes no saben cuántas licencias de Thanos se vendieron, sí confirmaron algunas transacciones. “El servidor de control de Thanos contenía un archivo que enumeraba el estado de las licencias de 38 clientes, lo que indica que al menos 38 copias se han vendido del programa ransomware”, detalla el expediente. Y agrega que “su uso de un programa de afiliados le permite beneficiarse directamente de tales intrusiones”.

El FBI acota en su expediente que la afición de Zagala por la informática empezó desde su juventud. Lo describen como un “pirata informático” autodidacta que comenzó su clandestinidad al menos en el año 1997, a través de participaciones en línea en la High Craking University (HCU), una comunidad en línea selecta de piratas informáticos de élite e ingenieros. El expediente agrega al caso la comprobación de que Zagala usaba seudónimos también de origen griego: Esculapio, en referencia al antiguo dios de la medicina, o Nosophoros, palabra que significa “portador de enfermedades”, también en griego. El FBI encontró que una persona identificada como Aesculapiues tenía tutoriales en línea publicados por la HCU sobre cómo descifrar programas shareware y desafíos de codificación que sirvieron como prueba de admisión para la universidad élite.  

Los rastros del ego

“Es imposible que esto sea cierto. Trata solo de hacer un pago móvil y verás”, dijo uno de sus amigos y colegas para defenderlo, echando mano a los problemas de conectividad que hay en Ciudad Bolívar. Luego se detiene a pensar en medio de la conversación. “Aunque Moisés sí sería capaz de querer un feedback para que le dijeran que es el mejor, tal cual como lo describe el FBI. Él es ególatra. ¿Será que sí es cierto? Pero los errores existen”, dice, al contradecirse a la vez.

Zagala, cuando hacía los foros de entrenamientos para usar su programa que cifraba datos de sus víctimas, solo tenía una solicitud: "Si tiene tiempo y no es demasiado problema para usted, describa su experiencia conmigo”, pedía en línea. Y así se abría la ventana de los elogios.

“Eres el mejor desarrollador de todos los tiempos”, le dijo un cliente citado en el expediente. Y él respondió:  "Gracias, es bueno escucharlo. Estoy muy halagado y orgulloso".

Zagala, aunque se escudaba bajo tres seudónimos, no logró hacerse tan invisible en la llamada Dark web. De hecho, en medio de tanta enjundia cibernética, cometió errores de novato que dejó pistas clamorosas para los investigadores. Por ejemplo: el médico pedía pagos en criptomonedas o transferencias de Paypal. Esta empresa, que ofrece un servicio de monedero digital, suministró información al FBI y aseguró que el correo electrónico afiliado de quien recibía los pagos era moiseszagala@gmail.com, y el nombre que la persona reportó era Moisés Zagala. Este mismo email lo reportó el médico en Estados Unidos en sus datos migratorios. Además, Google aportó información del número telefónico que este usuario registró para abrir su correo electrónico y dio acceso a la información que contenía, por el proceso judicial en curso.

El FBI descifró la identidad del médico porque usó su correo personal para recibir pagos por Paypal y abrir servidores en Estados Unidos. Créditos: Tribunal de Distrito Este de New York de Estados Unidos.

También el pirata informático derivó pagos a la cuenta Paypal de un pariente, que quedó identificado como un hermano residenciado en Florida y que luego fue interrogado. Según el expediente, el familiar confirmó que Zagala reside en Venezuela y reveló que era un autodidacta en programación informática. El individuo también mostró a los agentes la información de contacto de Zagala en su teléfono, que coincidía con el correo electrónico registrado para la infraestructura maliciosa asociada con Thanos.

Sus allegados aseguran que este hermano regresó de Estados Unidos, luego de haber migrado hace cuatro años, porque se sintió “asediado” por el FBI. Regresó de Florida y se atrincheró en la antigua casa de dos pisos de sus padres, ubicada en Ciudad Bolívar, de linda fachada, recién pintada y en la que un trabajador procura que el jardín se mantenga en óptimas condiciones.

Para este reportaje se contactó a sus hermanos, pero solo uno respondió. Le espetó a la reportera que ningún periodista buscó la verdad, pero, aunque fuera su oportunidad para decir esa verdad, se negó a dar su versión. Aseguró que se encontraba en Estados Unidos para el momento en que respondió a la petición de entrevista.

Nadie quiso contar su versión.

¡Hola! Gracias por leer nuestro artículo.


A diferencia de muchos medios de comunicación digital, Armandoinfo no ha adoptado el modelo de subscripción para acceder a nuestro contenido. Nuestra misión es hacer periodismo de investigación sobre la situación en Venezuela y sacar a la luz lo que los poderosos no quieren que sepas. Por eso nos hemos ganado importantes premios como el Pulitzer por nuestros trabajos con los Papeles de Panamá y el premio Maria Moors Cabot otorgado por la Universidad de Columbia. 

Para poder continuar con esa misión, te pedimos que consideres hacer un aporte. El dinero servirá para financiar el trabajo investigativo de nuestros periodistas y mantener el sitio para que la verdad salga al aire.

ETIQUETAS:                    

Artículos Relacionados

06-09-20
En estos puntos rojos tu celular es un libro abierto

Actividades y detalles recabados durante 2019 y plasmados en un informe técnico al que tuvo acceso Armando.info dan cuenta de que en Venezuela funcionaron al menos 80 “antenas sospechosas”, dispositivos que actuaron de un modo errático y, algunas, hasta capaces de desviar las frecuencias de los celulares a redes menos avanzadas, desde las que se puede acceder a sus datos y localización a través de tecnología IMSI Catcher. Algunas de estas antenas estuvieron ubicadas en sitios estratégicos de Caracas y aeropuertos que sirven a la capital venezolana, y también en la frontera con Colombia.

Hacking Team casi corona en Venezuela

Aunque ahora nadie quiere ver con ella, la empresa italiana especializada en software para pinchar comunicaciones electrónicas, proveedora para regímenes violadores de los derechos humanos en todo el mundo, mantuvo durante los últimos dos años un flirteo con autoridades del Gobierno de Nicolás Maduro, que empezó justo el día después de la muerte de Hugo Chávez y llegó a apuntar a Pdvsa. Así lo revelan sus correos, filtrados hace dos semanas.

Otras historias

29-01-23
Los pleitos del ‘Altum’ dan vértigo

Como no deja de ser habitual, el último grito del estilo de vida en la burbuja caraqueña llega entre controversias. El nuevo restaurante aéreo en Altamira, así como su gemelo contiguo, ‘Buono’, se alzan sobre dos valiosas parcelas cuyo inquilino -el dueño de ambos comedores- se convirtió en propietario mediante una maniobra en tribunales.Sus anteriores caseros siguen reclamando infructuosamente los inmuebles, un litigio que se suma a los comentarios de inconformidad provenientes de la cadena internacional que ve calcado su concepto original.

22-01-23
Siguieron el camino de ladrillos color onoto

Con la compra de un apartamento aterrizaron los Ayoub Ayoub en Dubai, emirato al que, en vez de Oz, los condujo el éxito en negocios de importación y distribución de especias. Pero la familia de origen árabe y base en Lara vio cambiar su suerte cuando fue señalada por el mismísimo vicepresidente de la República de conformar una trama para sobrefacturar importaciones y tener acceso irregular a divisas preferenciales, acusaciones de las que la justicia los absolvió. Esta es una entrega de la serie ‘Dubai Uncovered’ sobre venezolanos con inmuebles en el lujoso emirato.

15-01-23
Meritocracia militar: el más aventajado a la cárcel, el menos a Pdvsa

La promoción ‘Coronel Miguel Antonio Vásquez’ de la Academia Militar es un espejo que refleja la encrucijada que depara la llamada Revolución Bolivariana. A la primera cohorte de oficiales del Ejército graduada bajo el chavismo, que tuvo como padrino al propio Hugo Chávez, el fallecido mandatario le asignó un destino privilegiado que solo a medias se ha cumplido: mientras una parte, comandada por el coronel Antonio Pérez Suárez, número 114 del escalafón, ocupó hasta hace poco cargos clave en la petrolera estatal, otra, simbolizada en el teniente coronel Igbert Marín, número uno de la promoción, vive la cárcel y el exilio.

Llega Forum, se van las tiendas de Alex Saab

Una tercera metamorfosis en apenas diez años es lo que experimenta lo que alguna vez fue la red de supermercados del Grupo Casino. Nacionalizada para dar lugar a los Abastos Bicentenario y vuelta a privatizar de manera disimulada por el gobierno de Nicolás Maduro, ahora se asigna a un nuevo grupo económico en alza. El arribo de los que han quedado a cargo certifica la retirada de Saab, preso en Miami, y de su marca, la de las llamadas Tiendas CLAP.

En Washington es un ‘hacedor de lluvia’,  en Madrid ¿un cazador cazado?

En el submundo de las operaciones encubiertas, el venezolano Martín Rodil se hizo una carrera y fama de agente con poderes casi mágicos para identificar y ayudar a entregar a informantes, corruptos del chavismo y narcotraficantes ante la justicia estadounidense. Sus logros podrían convertirlo en un héroe de la democracia, si acaso no fuera suficiente su éxito como consultor privado. Pero ahora en España se inicia un proceso judicial en el que se le investiga bajo sospecha de que extorsiona a los mismos fugitivos a los que debe entregar.

16-12-22
Cuando el esbirro se vuelve jefe

De un cuerpo especializado para afrontar a potenciales enemigos externos a una banda que secuestra y martiriza a opositores políticos: la conversión de la Dirección de Contrainteligencia Militar ha coincidido con la gestión de Alexander Granko Arteaga en un cargo clave. Su responsabilidad en el régimen de torturas no es solo intelectual; numerosos testimonios le muestran ordenando en persona, e incluso infligiendo, castigos físicos. Eso sí, la fama que tiene no la ganó de modo espontáneo: sigue órdenes del general Hernández Dala, director de la Dgcim, de quien ha pasado a ser su ‘mano negra’.

ELENCO DE 
PERSONAJES
Sitio espejo
usermagnifierchevron-down linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram