Kelley, un estudiante británico de 16 años de Llaneli, en el sur de Gales, fue descrito como un “cibercriminal prolífico, hábil y cínico”, que atacó y hackeó a compañías de todo el mundo, incluyendo al gigante de las telecomunicaciones británico Talk Talk.
BBC NEWS MUNDO
El estudiante de 16 años que hizo perder miles de dólares a grandes empresas tras ser rechazado en un curso de computación en su escuela
En 2013 Daniel Kelley suspendió un examen y se quedó sin poder acceder a un curso de computación en su escuela. Esto dio lugar a una serie de eventos que terminaron con una condena de cuatro años en una institución para delincuentes juveniles.
Esta semana fue condenado a permanecer cuatro años en una institución para delincuentes juveniles después de declararse culpable de 11 delitos relacionados con la piratería.
El adolescente no había logrado las calificaciones para acceder al nivel 3 de un curso de computación en su escuela local, el Colegio Sir Gar.
En cambio, mientras que compañeros a los que describió como “tontos” comenzaron dicho curso, él tuvo que conformarse con acceder al nivel 2.
Dicen que su desempeño durante el curso fue pésimo, a pesar de afirmar que “sabía más sobre computadoras que cualquier persona del colegio”.
Para vengarse de aquellos que le habían negado el acceso al curso, Kelley llevó a cabo un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) contra la página web del colegio.
Entre septiembre de 2013 y abril de 2014 llevó a cabo más de 40 ataques cibernéticos. Los estudiantes perdieron cientos de horas de enseñanza y algunos abandonaron la escuela.
Los ataques no afectaron tan sólo al colegio. La red de la escuela estaba vinculada a la del sector público del gobierno galés, por lo que los ataques afectaron a hospitales, servicios de emergencia y otras escuelas y universidades.
Los radiólogos de la Junta Universitaria de Salud Hywel Dda, en el oeste de Gales, perdieron el acceso a los servicios de imágenes de diagnóstico, mientras que la comunicación entre los diferentes edificios del hospital se vio seriamente alterada.
La ofensiva cibernética tuvo repercusión también en la atención a pacientes críticamente enfermos los hospitales Prince Philip y Withybush, también de la región. Combatir los riesgos ocasionados por los ataques costó unos US$500.000.
Al principio estos ataques parecían estar motivados por el rencor, pero al poco tiempo el acicate se volvió financiero.
Con ayuda de un grupo de hackers conocido como Team Hans, Kelley comenzó a apuntar a empresas de todas partes del mundo.
Después de comprometer su seguridad y acceder a los datos personales y las tarjetas de crédito de los clientes, fue “completamente despiadado” al amenazar con hacer pública la información a menos que se le pagara dinero en forma de la criptomoneda bitcoin.
Fotografías de su hijo
Uno de sus objetivos fue la empresa Rogers Communications en Canadá.
Con la ayuda de Team Hans, Kelley accedió a los contratos de la empresa, a los registros de empleados y a otros datos confidenciales.
También se pusieron en contacto con uno de sus empleados y le informaron de que estaban mirando fotografías de su hijo.
Según la compañía el coste de este hackeo fue de entre US$400.000 y US$580.000.
Kelley también chantajeó a la empresa de negocios australiana RC Hobbies y a la compañía For the Record (FTR).
FTR, que proporciona herramientas de grabación digital para evidencia judicial, pagó 10,5 bitcoins (US$1.731 en aquel momento) después de que Kelley amenazara al vicepresidente de la empresa.
“Vuestra seguridad no es buena”
Pero no todo acabó ahí. Kelley volvió a ponerse en contacto con la compañía tras el chantaje, con una extraña oferta de ayuda.
“No estoy tratando de ser grosero, pero su sistema de seguridad no es muy bueno“, escribió.
Por una tarifa de 5,2 bitcoins (US$861), dijo que le mostraría todas las vulnerabilidades de su sistema.
La empresa aceptó, y entonces Kelley subió el precio.
He decidido que quiero otros 10,5 bitcoins (US$1.706 dólares) como pago final. Por favor, tengan en cuenta que con el contenido que dispongo podría aniquilar su negocio en tan solo unos días“.
La compañía pagó una vez más, pero cuando volvió a recibir otra solicitud de dinero, 25 bitcoins esta vez (US$4.206 dólares), de una persona que luego fue identificada como Kelley, los representantes contactaron con la policía y con unos detectives de delitos cibernéticos.
Las demandas se volvieron cada vez más abusivas, hasta que el vicepresidente recibió un correo electrónico amenazando a su hijo de un año con una foto de él adjunta.
“¿Qué tan divertido sería encontrar el futuro de hijo arruinado en la web? Cualquier cosa es posible con un poco de edición y modificación“, decía el texto.
El vicepresidente explicó a la policía que creía que la implicación era que la imagen de su hijo se vería modificada para un propósito sexual.
Aunque no se demostró que este correo electrónico proviniese de Kelley, según la fiscalía el autor era claramente alguien conocido con ese nombre.
El tiempo de Kelley se estaba acabando. El 2 de julio de 2015, la Unidad de Delitos Cibernéticos de Gales lo arrestó en su casa en Gales y confiscó sus dispositivos digitales durante una investigación sobre el ataque al colegio Coleg Sir Gar el año anterior.
Increíblemente, esto no puso fin a las actividades criminales de Kelley.
En octubre de 2015 volvió a ponerse en contacto con FTR diciendo que había descifrado las contraseñas de las grabaciones judiciales y amenazó con hacerlas públicas.
Pero el mayor objetivo de Kelley fue la empresa de telecomunicaciones Talk Talk.
Mientras aún se encontraba en libertad condicional debido a los ataques al colegio, fue uno de los 10 hackers que participaron en un ataque a TalkTalk, una de las cuatro compañías de telecomunicaciones más grandes del Reino Unido, que dejó a su página web fuera de servicio.
Utilizando datos robados de TalkTalk, Kelley intentó chantajear a la entonces directora ejecutiva, Dido Harding, exigiendo el equivalente en bitcoin de US$80.000.
TalkTalk hizo pública la noticia del ataque el 23 de octubre, aconsejando a sus clientes a que cambiasen las contraseñas y observasen las cuentas bancarias en busca de actividades sospechosas.
No accedió al chantaje, pero estimó el costo del hackeo en US$98 millones.
El análisis de las direcciones IP de las computadoras involucradas en el ataque llevó a la Unidad de Delitos Cibernéticos de la Policía Metropolitana a la puerta de Kelley en Gales, donde fue arrestado el 24 de noviembre de 2015.
En su computadora encontraron archivos que contenían miles de datos de tarjetas de crédito.
El 13 de diciembre de 2016 Kelley se declaró culpable de 11 cargos, entre ellos piratería y posesión de equipos informáticos con fines de fraude y chantaje.