El doctor Zagala y míster Cracker

Un cardiólogo de Ciudad Bolívar cultivaba una aparente vida doble que nunca se habría evidenciado de no ser porque el FBI lo puso entre sus buscados hace unos meses. Según la acusación en Estados Unidos, mientras por un lado, visible, era profesor universitario, cirujano abnegado y casi un asceta, por el otro, furtivo, programaba software malicioso que vendía para su uso por parte de agentes iraníes y extorsionadores. ¿Quién es Moisés Luis Zagala González? Armando.info fue a la antigua Angostura para averiguarlo. 

11 septiembre 2022

Para seguir los pasos que el presunto pirata cibernético marca al caminar, hay que atravesar un pasillo sombrío. Las filtraciones corroen el techo y las paredes alrededor de su oficina. Los bombillos del largo corredor se dañaron en algún momento y nadie se acordó de repararlos. Algunas personas esperan en este precario lugar, pero no lo esperan a él. Ya se sabe que poco aparece desde mayo de este año, cuando se anunció que estaba en la mira del Buró Federal de Investigaciones (FBI, por sus siglas en inglés) de Estados Unidos.

La descripción encajaría como locación para una película de suspenso, pero en realidad corresponde a la oficina en Ciudad Bolívar de Moisés Luis Zagala González. Allí, en la Policlínica Santa Ana, desde hace años, ejerce la consulta como médico cardiólogo, una práctica de servicio público que le ganó reputación y que contrasta con el deseo de querer pasar inadvertido ahora, cuando también es reconocido como un cracker. Traducción: un experto en vulnerar sistemas informáticos.

Moisés Luis Zagala González es el ciudadano venezolano-francés buscado en Estados Unidos para que comparezca en un juicio que debería determinar si es culpable o no de varios ciberdelitos del más puro estilo matrix, solo que esta vez llevados a cabo lejos de la clásica estampa ultraurbana de Nueva York: en la capital del estado Bolívar, la antigua Angostura, un puerto de aires coloniales a orillas del río Orinoco, en el sur de Venezuela. Ciudad Bolívar, para más señas, se cuenta entre las ciudades del país azotadas por las precarias condiciones de vida que incluyen, sin reparos, problemas de conectividad. Este inhóspito contexto hace que muchos descarten la posibilidad de que algún delito informático de envergadura pueda gestarse allí; aunque, viéndolo bien, tal vez sea eso precisamente lo que lo convierte en el contradictorio y perfecto escenario para ello.

El médico, profesor de Cardiología de los estudiantes de pregrado de Medicina de la Universidad de Oriente, fue acusado por la Fiscalía del Distrito Este de Nueva York y el FBI de dos cargos -intento de intrusiones informáticas y conspiración para cometer intrusiones informáticas- por haber diseñado múltiples herramientas de ransomware, un software malicioso capaz de infiltrarse en las computadoras y encriptar sus contenidos (secuestrarlos, prácticamente, desde contraseñas hasta fotos, información bancaria o académica). Tras el ataque, el software sólo puede ser desactivado por sus creadores con una clave que le dan a sus víctimas tras pagar el rescate -más bien, la extorsión- que se les exige. 

Un delito en ascenso

La acusación contra Zagala González se publicó tras una investigación con agente encubierto del FBI entre abril de 2019 y marzo de 2021, que develó no solo los seudónimos con los que pretendía ocultarse, sino también su modus operandi.

Los ransomware -por ransom; "rescate" en inglés- aplicados por ciberdelincuentes se ciernen cada vez más como una nueva modalidad de delito informático que genera ganancias a través de la extorsión. El FBI emitió una alerta a principios de 2021 tras 16 ataques de ransomware dirigidos a las redes de atención médica y de primeros auxilios de Estados Unidos, apenas una fracción de las más de 400 organizaciones en todo el mundo que reportaron haber sido víctimas de esta modalidad de secuestro y extorsión online, de las cuales 290 eran estadounidenses

Entre los ataques más polémicos se cuenta el que ocurrió el 7 mayo de 2021, cuando Colonial Pipeline, operador de uno de los oleoductos más grandes de ese país, anunció que había recibido un ataque de ransomware. La compañía cerró de manera preventiva su tubería, que entrega casi la mitad del combustible para aviones y la gasolina que se usa en la costa atlántica, lo que generó interrupción de viajes aéreos y compras nerviosas de combustible entre el público. Según una investigación del diario The New York Times, la empresa terminó pagando a los chantajistas 75 bitcoin, equivalentes entonces a cinco millones de dólares.

En junio de ese mismo año hubo otro ciberataque que afectó a los servidores que soportan la plataforma tecnológica del proveedor de carne JBS, corporación global de origen brasileño, en Norteamérica y Australia. La empresa debió pagar 11 millones de dólares para recuperar su operatividad, pues el ataque afectó a la cadena de suministro. En ese momento, el gobierno de Washington atribuyó la responsabilidad a una banda criminal que, se cree, tiene su sede en Rusia o Europa del Este.

En esos casos, que se sepa, no participó el médico de Ciudad Bolívar. Pero Zagala representa un engranaje que permite descifrar y cauterizar el sistema de este nuevo delito, con dimensiones de industria. 

Según la acusación federal, este médico creó, vendió y alquiló su software a piratas que lo utilizaron para atacar redes informáticas, enseñó a sus clientes cómo usarlo y, como estrategia de negocio, creó un "programa de afiliados", en el que proporcionó acceso de usuario a uno de los programas a cambio de una parte de las ganancias obtenidas por los ataques. También publicó, como parte de su mercadeo enlaces en foros para promocionar el historial de los clientes con el software.

 “Como se alega, el médico multitarea trató a los pacientes, creó y nombró su herramienta cibernética (...) se benefició de un ecosistema global de ransomware en el que vendió las herramientas para realizar ataques de ransomware, entrenó a los atacantes sobre cómo extorsionar a las víctimas y luego se jactó sobre ataques exitosos, incluso por parte de actores maliciosos asociados con el gobierno de Irán”, declaró el Fiscal Federal Breon Peace.

El FBI hizo un trabajo de inteligencia en la Dark web entre los años 2019 y 2021 para dar con la identidad de este presunto pirata cibernético. Los detalles están en el expediente del Tribunal de Distrito Este de New York de los Estados Unidos.

El buen doctor

En los servicios de mensajería de texto compartidos por doctores y allegados al gremio médico de la capital bolivarense, la noticia corrió como pólvora el 16 de mayo de 2022: un colega conocido en la ciudad por ser hijo de un matrimonio honorable de la localidad, excelente estudiante y profesor universitario, era acusado por un delito informático que a la fecha de hoy pocos entienden y muchos, en cambio, subestiman.

Algunos médicos y amigos de la adolescencia lo defendieron sin dudar. Contactados por Armando.info comentaron que “era imposible” que un hijo de Moisés Zagala, un ingeniero y profesor de origen francés, y de Rosalía González, conocida por vender artesanías indígenas, pudiera ser capaz de hacer algo ilegal.

Presuponen, además de la honorabilidad de su familia, que su sencillez contrasta con el perfil de alguien que pueda estar obteniendo grandes ganancias a partir de un delito informático. Aseguran que el dinero no podría ocultarse y Zagala González, al menos en Ciudad Bolívar, mantiene un estricto bajo perfil, además de una vida muy frugal. Aún maneja la misma camioneta Jeep Cherokee, que tiene al menos diez años de uso. Su consultorio se encuentra en un edificio terriblemente deteriorado y a la fachada del edificio en donde reside solo le quedan vestigios de que alguna vez estuvo pintado. 

Su estilo de vida no es ostentoso, hasta el punto que tanta austeridad llama la atención no solo en contraste con la imagen de un mago de la piratería informática, sino para ser un médico destacado, conocido, pero de pocos amigos. En general, las fuentes consultadas por Armando.info lo describen como una persona arrogante y algo egocéntrica. Evita los saludos de sus colegas. Eso sí, nadie titubea al admitir que es un hombre muy inteligente.

De todas las fuentes consultadas, el cardiólogo Reinaldo Brines fue de los pocas que ofreció su testimonio dando la cara, junto a su nombre y apellido. Brines tiene su consultorio también en la Policlínica Santa Ana, frente al de Zagala. Han hecho intervenciones quirúrgicas juntos. Muestra una revista en donde salen uno al lado del otro en una fotografía en quirófano; el título de la nota a la que la foto acompaña destaca la innovación en la cardiología. “Él no tiene ni Internet en su casa”, dice. “Lo he llamado y no me puedo ni comunicar y he tenido que ir a buscarlo”, alega, aunque señala que jamás ha entrado a su apartamento. 

Otros médicos, compañeros de la Facultad de Medicina de la Universidad de Oriente, de donde egresó, recuerdan en cambio que la primera vez que en sus vidas vieron una computadora fue en la casa de Zagala, en la década de los 80. Un antiguo pupilo del médico dijo que en cierto momento este recomendó ciertas aplicaciones informáticas para facilitar algún trabajo, y otro médico deslizó el comentario de que Zagala tenía “otras fuentes” de ingresos y que logró arreglar una computadora de su propiedad. Pero solo hasta aquí llegan las anécdotas más cercanas a la informática de las que sus conocidos disponen. 

El médico Reinaldo Brines asegura que su colega Moisés Zagala es un buen profesional y honesto. Créditos: Isayen Herrera.

Nadie de su entorno se atreve a decir si este médico brillante tiene una doble vida, pero una anécdota de su juventud activa una ligera duda. Hace 30 años, cuando las computadoras caseras se usaban casi solo para escribir -con los llamados "procesadores de palabras"- y las letras en las pantallas eran de color verde, Zagala, junto a tres amigos más, crearon un programa para calcular la probabilidad de ganar carreras de caballos. Diseñaron el programa para obtener las estadísticas de quién era mejor jinete, mejor entrenador y qué caballo hacía los mejores tiempos. Lo usaron. Una vez pegaron cinco carreras del juego dominical del 5y6 solo porque desconfiaron de su propio programa y no apostaron al ejemplar que arrojaba su desarrollo como posible vencedor de la sexta válida, cuentan dos personas cercanas a su círculo de cuando eran jóvenes.

Ojos que no ven

Aunque el Tribunal Federal de Primera Instancia del Distrito Este de Nueva York en Brooklyn, Nueva York, emitió una orden federal para arrestarlo y el alerta del FBI insta a dar información sobre el paradero de Zagala o contactar a la embajada más cercana, ninguna autoridad venezolana se ha acercado a su sitio de trabajo para indagar sobre él, según afirma Margot Gutiérrez, la directora del centro de salud público donde el controvertido médico labora.

Por lo demás, la funcionaria alega que no se mete en la vida personal de los médicos. Otro tanto argumentaron los vigilantes de la Policlínica Santa Ana, que a su manera fungieron como voceros o intermediarios de la directiva del recinto, cuyos miembros no quisieron hablar con Armando.info. “Acá los médicos son autónomos”, expresó un vigilante después de notificar que nadie daría declaraciones sobre el tema por orden de la administración de la clínica.

Es así, amparado por la escasa comprensión colectiva de la magnitud de lo sucedido y por una férrea defensa de su privacidad, que Zagala se sigue moviendo por Ciudad Bolívar. Va menos a su consulta privada, pero atiende llamados de los pacientes y continúa caminando por los pasillos del Hospital Dr Héctor Nouel Joubert, adscrito al Seguro Social, donde también presta sus servicios. 

Zagala ha sido muy puntual con sus explicaciones. Su colega, el doctor Brines, asegura que él llegó a excusarse con su círculo íntimo asegurando que, en algún momento, su correo electrónico fue intervenido y que no tiene dinero para pagar una defensa en Estados Unidos que le permita enfrentar el proceso judicial que le espera. Su colega, luego de escucharlo, tiene como hipótesis que hubo una usurpación de su identidad. 

A otros amigos les dijo que temía por su seguridad, que solo quería que el tema se olvidara y estaba resignado a no salir más del país. Al ser contactado por Armando.info para este reportaje, Zagala mantuvo un largo silencio que fue por fin interrumpido con una solicitud de no buscarle más a él, a su familia o amigos, y que no daría entrevistas por sugerencia de sus abogados.  

Ciberpirata y tutor helenista

El trabajo encubierto del FBI entre abril de 2019 y marzo de 2021 detectó que Zagala tenía dos productos estrellas. Uno era un ransomware llamado Jigsaw v.2, que tenía, en la descripción de Zagala, un contador que registra cuántas veces el usuario había intentado eliminar el software malicioso de su computadora. Con esta herramienta, él aconsejaba a sus clientes que lo usaran como castigo y para determinar qué tanto podían conseguir de la víctima:  "Si el usuario elimina el ransomware demasiadas veces, está claro que no pagará, así que es mejor que borre todo el disco duro", explicaba el mecanismo de represalia, como parte de sus tutoriales que fueron citados en el expediente judicial.

Para abril de 2019, según las investigaciones, el pirata cibernético vendía su producto con el valor agregado de evadir los antivirus y configurarse para pedir cuentas de bitcoin diferentes a cada víctima, además de la capacidad de robar las contraseñas y datos de la tarjeta de crédito de la persona atacada. Esta herramienta la fue perfeccionando con el tiempo. Zagala vendía su producto en foros de Internet  por 500 dólares y el código fuente por 3.000 dólares.

A finales de 2019, anunció otro producto que llamó Thanos, una referencia simultánea al villano ficticio de la serie Avengers y a Thanatos, la muerte de la mitología griega. En otro foro dijo que los interesados en usar su herramienta debían compartir con él una parte de las ganancias obtenidas como producto de los ataques cibernéticos. Un funcionario infiltrado del FBI le compró esta licencia en septiembre de 2020.

Aunque los agentes no saben cuántas licencias de Thanos se vendieron, sí confirmaron algunas transacciones. “El servidor de control de Thanos contenía un archivo que enumeraba el estado de las licencias de 38 clientes, lo que indica que al menos 38 copias se han vendido del programa ransomware”, detalla el expediente. Y agrega que “su uso de un programa de afiliados le permite beneficiarse directamente de tales intrusiones”.

El FBI acota en su expediente que la afición de Zagala por la informática empezó desde su juventud. Lo describen como un “pirata informático” autodidacta que comenzó su clandestinidad al menos en el año 1997, a través de participaciones en línea en la High Craking University (HCU), una comunidad en línea selecta de piratas informáticos de élite e ingenieros. El expediente agrega al caso la comprobación de que Zagala usaba seudónimos también de origen griego: Esculapio, en referencia al antiguo dios de la medicina, o Nosophoros, palabra que significa “portador de enfermedades”, también en griego. El FBI encontró que una persona identificada como Aesculapiues tenía tutoriales en línea publicados por la HCU sobre cómo descifrar programas shareware y desafíos de codificación que sirvieron como prueba de admisión para la universidad élite.  

Los rastros del ego

“Es imposible que esto sea cierto. Trata solo de hacer un pago móvil y verás”, dijo uno de sus amigos y colegas para defenderlo, echando mano a los problemas de conectividad que hay en Ciudad Bolívar. Luego se detiene a pensar en medio de la conversación. “Aunque Moisés sí sería capaz de querer un feedback para que le dijeran que es el mejor, tal cual como lo describe el FBI. Él es ególatra. ¿Será que sí es cierto? Pero los errores existen”, dice, al contradecirse a la vez.

Zagala, cuando hacía los foros de entrenamientos para usar su programa que cifraba datos de sus víctimas, solo tenía una solicitud: "Si tiene tiempo y no es demasiado problema para usted, describa su experiencia conmigo”, pedía en línea. Y así se abría la ventana de los elogios.

“Eres el mejor desarrollador de todos los tiempos”, le dijo un cliente citado en el expediente. Y él respondió:  "Gracias, es bueno escucharlo. Estoy muy halagado y orgulloso".

Zagala, aunque se escudaba bajo tres seudónimos, no logró hacerse tan invisible en la llamada Dark web. De hecho, en medio de tanta enjundia cibernética, cometió errores de novato que dejó pistas clamorosas para los investigadores. Por ejemplo: el médico pedía pagos en criptomonedas o transferencias de Paypal. Esta empresa, que ofrece un servicio de monedero digital, suministró información al FBI y aseguró que el correo electrónico afiliado de quien recibía los pagos era moiseszagala@gmail.com, y el nombre que la persona reportó era Moisés Zagala. Este mismo email lo reportó el médico en Estados Unidos en sus datos migratorios. Además, Google aportó información del número telefónico que este usuario registró para abrir su correo electrónico y dio acceso a la información que contenía, por el proceso judicial en curso.

El FBI descifró la identidad del médico porque usó su correo personal para recibir pagos por Paypal y abrir servidores en Estados Unidos. Créditos: Tribunal de Distrito Este de New York de Estados Unidos.

También el pirata informático derivó pagos a la cuenta Paypal de un pariente, que quedó identificado como un hermano residenciado en Florida y que luego fue interrogado. Según el expediente, el familiar confirmó que Zagala reside en Venezuela y reveló que era un autodidacta en programación informática. El individuo también mostró a los agentes la información de contacto de Zagala en su teléfono, que coincidía con el correo electrónico registrado para la infraestructura maliciosa asociada con Thanos.

Sus allegados aseguran que este hermano regresó de Estados Unidos, luego de haber migrado hace cuatro años, porque se sintió “asediado” por el FBI. Regresó de Florida y se atrincheró en la antigua casa de dos pisos de sus padres, ubicada en Ciudad Bolívar, de linda fachada, recién pintada y en la que un trabajador procura que el jardín se mantenga en óptimas condiciones.

Para este reportaje se contactó a sus hermanos, pero solo uno respondió. Le espetó a la reportera que ningún periodista buscó la verdad, pero, aunque fuera su oportunidad para decir esa verdad, se negó a dar su versión. Aseguró que se encontraba en Estados Unidos para el momento en que respondió a la petición de entrevista.

Nadie quiso contar su versión.

¡Hola! Gracias por leer nuestro artículo.


A diferencia de muchos medios de comunicación digital, Armandoinfo no ha adoptado el modelo de subscripción para acceder a nuestro contenido. Nuestra misión es hacer periodismo de investigación sobre la situación en Venezuela y sacar a la luz lo que los poderosos no quieren que sepas. Por eso nos hemos ganado importantes premios como el Pulitzer por nuestros trabajos con los Papeles de Panamá y el premio Maria Moors Cabot otorgado por la Universidad de Columbia. 

Para poder continuar con esa misión, te pedimos que consideres hacer un aporte. El dinero servirá para financiar el trabajo investigativo de nuestros periodistas y mantener el sitio para que la verdad salga al aire.

ETIQUETAS:                    

Artículos Relacionados

06-09-20
En estos puntos rojos tu celular es un libro abierto

Actividades y detalles recabados durante 2019 y plasmados en un informe técnico al que tuvo acceso Armando.info dan cuenta de que en Venezuela funcionaron al menos 80 “antenas sospechosas”, dispositivos que actuaron de un modo errático y, algunas, hasta capaces de desviar las frecuencias de los celulares a redes menos avanzadas, desde las que se puede acceder a sus datos y localización a través de tecnología IMSI Catcher. Algunas de estas antenas estuvieron ubicadas en sitios estratégicos de Caracas y aeropuertos que sirven a la capital venezolana, y también en la frontera con Colombia.

Hacking Team casi corona en Venezuela

Aunque ahora nadie quiere ver con ella, la empresa italiana especializada en software para pinchar comunicaciones electrónicas, proveedora para regímenes violadores de los derechos humanos en todo el mundo, mantuvo durante los últimos dos años un flirteo con autoridades del Gobierno de Nicolás Maduro, que empezó justo el día después de la muerte de Hugo Chávez y llegó a apuntar a Pdvsa. Así lo revelan sus correos, filtrados hace dos semanas.

Otras historias

17-03-24
Los operadores (no tan) ocultos bajo el manto del último glaciar

La participación de ProBiodiversa, una poco conocida organización ambientalista, fue una de las sorpresas en la operación de rescate del agonizante glaciar del pico Humboldt en Mérida, con la que Nicolás Maduro se apunta en la lucha contra el cambio climático. La relación de ese ente privado con las instituciones del Estado luce inusual, en tanto aparece, en vez del gobierno, como comprador en España del manto geotextil con el que se intenta, quizás inútilmente, detener el deshielo.

A Morejón las sanciones no lo bajan de las tarimas 

De los templetes de campaña electoral a grandes conciertos pop, Pedro Morejón se ha abierto camino como el empresario dominante en la industria del espectáculo en Venezuela. Para ello usa valiosas conexiones y el padrinazgo de jerarcas como Diosdado Cabello. Pero así será el sigilo con que actúa que, pese a esos lazos con el régimen del que fue ministro, a través de terceros sigue manejando en Estados Unidos varias empresas, entre ellas, MiTickera, a la que fluyen sus ingresos por boletos.

03-03-24
El nuevo ‘crack’ del chavismo: Jorge Giménez golea a Alex Saab en los CLAP y Pdvsa

El joven presidente de la Federación Venezolana de Fútbol es un astro en ascenso que ha sabido escalar posiciones en la órbita de los negocios con el régimen bajo el ala protectora de la vicepresidenta Delcy Rodríguez. Sus vuelos en comitivas oficiales lo llevan por el mundo no solo para promover a La Vinotinto, sino en beneficio propio a través de una estructura empresarial que lo mismo intermedia alimentos para los CLAP que petróleo para Pdvsa. Ya hay quien lo ve como el sucesor (y rival) del comerciante favorito de Nicolás Maduro.

24-02-24
Leishmaniasis: enfermarse en Venezuela para curarse en Brasil

La variante de este mal del tipo cutáneo, conocida como “llaga brava”, es recurrente en las zonas boscosas, intervenidas por la minería, de la Gran Sabana. Como ironía, la fiebre del oro se ha conjugado con el empobrecimiento de los habitantes de la región, lo que se refleja en la falta crónica de medicamentos en el servicio público de salud de Santa Elena de Uairén, la última ciudad fronteriza. Así que los enfermos se ven forzados a ir hasta la vecina Pacaraima, Brasil, en busca de tratamiento. Es otro de los costos ocultos de la minería en Venezuela.

18-02-24
Entre represión y explotación avanza la pista que abrirá Los Roques a más turistas VIP

Ávido de generar divisas a través del turismo, el gobierno de Nicolás Maduro apura los convenios e infraestructura para atraer visitantes internacionales al país. Para demostrar que puede ofrecer un destino de lujo, busca ampliar la pista del aeropuerto del archipiélago de Los Roques, una de las joyas del Caribe, sin reparar en los daños que podría infligir a su frágil ecosistema.

Roberto Leyba nunca pierde el juicio (ni las conexiones justas)

Haciendo gala de una habilidad para combinar las facetas de empresario, abogado y cabildero, este socio principal del bufete Venezuelan Attorneys sortea señalamientos públicos y controversias judiciales mientras amplía una robusta red de negocios y relaciones con el poder. Parte de esas destrezas quedan demostradas en el expediente del caso Pdvsa-Cripto y en documentos a los que tuvo acceso Armando.info.      

ELENCO DE 
PERSONAJES
Sitio espejo
usermagnifierchevron-down linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram