Los narcos contrataron a un ‘hacker’ para introducir cocaína en los puertos de Róterdam y Amberes

Davy de Valk, un desempleado que utilizó métodos de novato y cobraba medio millón de euros por un servicio completo, fue condenado a 10 años de prisión
Recomendaba a los traficantes las líneas marítimas que eran sometidas a menos registros y falsificaba las órdenes de transporte
infoLibre publica en exclusiva en España NarcoFiles, un trabajo internacional coordinado por OCCRP con el apoyo del Centro Latinoamericano de Investigación Periodística

Los puertos son la principal vía de entrada de cocaína en Europa. James O'Brien (OCCRP)

El 14 de febrero de 2020, la policía de Costa Rica recibió un inesperado regalo de San Valentín: en un contenedor con plantas decorativas encontraron 3,8 toneladas de cocaína. Las autoridades no dieron muchos detalles sobre quién estaba detrás del alijo, que fue detectado en el puerto de Limón, en el mar Caribe. Pero poco tiempo después, la policía de los Países Bajos hizo otro hallazgo: al desencriptar la plataforma de chat cifrado SkyECC, descubrieron que un holandés de 41 años había desempeñado un papel clave en esa operación desde el ordenador de su casa en la ciudad portuaria de Róterdam.

Sobre el papel, Davy de Valk parecía tener problemas para conservar un trabajo estable. Aunque afirmaba haber estudiado informática, los fiscales holandeses descubrieron que vivía de las ayudas sociales, según se recoge en el escrito de su acusación. No obstante, las conversaciones desencriptadas revelaron cómo De Valk hacía de forma regular –y bien pagada– trabajos como hacker de sombrero negro, término empleado para aquellos que piratean con fines criminales. Su especialidad era penetrar en los sistemas informáticos de los mayores puertos europeos y vender la información obtenida a los narcotraficantes.

Para mover su mercancía, las organizaciones criminales tradicionalmente tenían que sobornar a la larga cadena que compone el personal portuario, desde los operarios de las grúas hasta los inspectores de aduanas. Pero la creciente digitalización y automatización de la logística del transporte marítimo ofrece nuevas oportunidades de infiltración. Así, con la información que hackers como De Valk pueden ofrecer, los expertos señalan que los narcos necesitan ahora apenas a un empleado corrupto y al conductor de un camión.

A partir de documentos judiciales e informes policiales, así como de análisis de ciberseguridad del hackeo perpetrado por De Valk, OCCRP –red a la que pertenece infoLibre– y su socio checo investigace.cz han juntado las piezas sobre cómo este individuo y sus colaboradores penetraron en los sistemas informáticos de dos de los principales puertos europeos, Amberes y Róterdam. Y emplearon métodos que, en algunos casos, eran casi de novatos.

Un tribunal holandés sentenció que De Valk había conseguido controlar cómo los contenedores eran escaneados en el puerto de Róterdam, lo que le permitió asesorar a sus clientes sobre dónde esconder la droga para evitar que fuera detectada. También logró penetrar en el sistema informático del puerto de Amberes con un malware cargado en una memoria USB, que fue conectada a la red por una empleada corrupta de las oficinas. Así, obtuvo acceso a unos datos que permitieron a sus clientes recoger la droga sin llamar la atención, según reveló el tribunal.

De Valk cobró cientos de miles de euros por sus servicios, tal y como consta en los chats interceptados, pese a que sus métodos de pirateo eran relativamente rudimentarios. “Es un tipo de trabajo de bajo nivel”, indicó a OCCRP Ken Munro, quien dirige una consultora de seguridad en el Reino Unido, tras revisar los detalles del ciberataque de De Valk en el puerto de Amberes. “Es un ataque ruidoso que debería haber activado numerosas alertas, si los sistemas del puerto de Amberes hubieran estado preparados para detectar este tipo de acciones”, añadió.

Panorámica de los miles de contenedores almacenados en el puerto de Róterdam. August Brill

Un análisis del hackeo de De Valk, que OCCRP desvela en detalle por primera vez en NarcoFiles resalta cómo las vulnerabilidades en estos puertos los han convertido en coladores para que la cocaína inunde Europa en cantidades nunca vistas antes. En su defensa, De Valk argumentó que estaba realizando una investigación encubierta para desarrollar un videojuego sobre el tráfico de drogas, y que sólo vendió a sus clientes criminales información incorrecta. El tribunal desestimó esa explicación por considerarla “completamente inverosímil” y lo condenó en 2022 a 10 años de prisión por varios delitos, entre ellos, piratería informática, así como por complicidad con el tráfico de cocaína.

OCCRP envió numerosos correos electrónicos y realizó numerosas llamadas telefónicas a los abogados de De Valk pidiéndoles un comentario, incluyendo si iban a recurrir la sentencia. Pero no contestaron y no está claro si está cumpliendo su condena.

Récord en las incautaciones de cocaína

La enorme cantidad de contenedores que circulan por los principales puertos europeos ofrece un sinfín de oportunidades que los narcotraficantes aprovechan. De los 98 millones de contenedores que circularon en 2021, apenas un 2% fue inspeccionado.

Sólo en 2022 y sólo en los puertos de Amberes y Róterdam, las autoridades se incautaron de la cantidad récord de 160 toneladas de cocaína. Según los expertos, esta cifra representa menos de un tercio del total que pasa por el puerto, según un informe interno de Europol obtenido por OCCRP e investigace.cz.

El problema es que estos puertos comerciales se han diseñado para ser eficientes, no seguros. Se construyeron para “cargar un contenedor o llevar una carga del punto A al punto B en el menor tiempo posible y al menor precio”, explica a OCCRP Jan Janse, jefe de distrito de la policía portuaria de Róterdam.

‘Líneas’ De Valk

En las semanas previas a la incautación en Costa Rica, De Valk ofreció sus servicios y tarifas a diversos clientes en la plataforma de chat encriptado SkyECC. Al controlar el historial de escaneado de las compañías que regularmente envían contenedores a Róterdam, De Valk pudo recomendarles qué líneas de transporte marítimo eran sometidas a menos registros. Y, por ende, cuáles eran los mejores objetivos para esconder la cocaína, aparentemente sin que las navieras lo supieran.

Si el contenedor llegaba a Róterdam, De Valk ayudaba a sus clientes a retirar el cargamento cancelando el servicio original de recogida. Luego, falsificaba las órdenes de transporte, lo cual permitía que sus clientes recogieran ellos mismos el contenedor, lo sacaran del puerto y, con toda la tranquilidad del mundo, descargaran la droga. El precio total por este servicio era 500.000 euros. “Tienes una compañía que no va a pasar por el escáner y tu transportista puede sacarlo sin problemas”, escribió De Valk en uno de los mensajes de SkyECC que se mencionan en su condena judicial. De Valk se refería a las navieras que consideraba seguras y que recomendaba a sus clientes como “mis líneas”.

Para el cargamento interceptado en Costa Rica, De Valk recomendó un contenedor empleado por Vinkaplant, una reconocida compañía holandesa de importación y exportación de plantas tropicales que se desplaza con frecuencia a viveros en Costa Rica y otros países de Centroamérica. “Dentro hay plantas. Es fácil de cargar. No está lleno”, escribió De Valk a su cliente, que no fue identificado por el tribunal. Esta forma de aprovecharse de una compañía legal suele producirse sin que ella lo sepa. Vinkaplant no fue acusada.

Un buque portacontenedores atracado en los muelles de Róterdam (Países Bajos). Frans Berkelaa

En esta ocasión, sin embargo, la “línea” de De Valk falló. En un registro rutinario, la policía de Costa Rica detectó una discrepancia sospechosa: el peso del contenedor no coincidía con el peso declarado. Una inspección encontró que, además de 20 torres de plantas ornamentales, el contenedor tenía maletines que contenían 5.048 paquetes negros, la mayoría con cocaína pura.

Fraude con código PIN

Para la labor de De Valk era fundamental acceder a los códigos PIN de los contenedores: son números únicos de referencia, asignados a cada contenedor por la naviera cuando ya se pagó el flete. Para recuperar el contenedor en el muelle, los transportistas tienen que mostrar el código correcto, además de otra documentación.

En 2018, las autoridades del puerto de Róterdam detectaron un aumento de los informes sobre contenedores robados, desaparecidos, entregados en direcciones equivocadas o que aparecían en lugares inesperados. Las autoridades se dieron cuenta de que las redes criminales habían descubierto un nuevo modus operandi para el narcotráfico, que Europol bautizó “fraude del código PIN”.

Los traficantes se dieron cuenta de que, accediendo ilegalmente a los códigos PIN de los contenedores –con la ayuda de empleados portuarios corruptos o hackeándolos– podían recuperar el contenedor haciéndose pasar por la compañía de transporte encargada de retirarlo. Estos datos, así como el número del contenedor, también les permiten seguir el estado del cargamento en el puerto, incluyendo el momento en que está listo para ser recogido.

Sin estos códigos, los traficantes tenían que recurrir a métodos más arriesgados, como enviar a un equipo para forzar los contenedores dentro del puerto y huir con la mercancía ilegal. Ha habido también casos de contenedores conocidos como “caballos de Troya”, en los que equipos de extracción se cuelan en el puerto dentro de un contenedor y esperan, a veces durante días, hasta que llega su cargamento de droga y tienen la oportunidad de recuperarlo.

Las facilidades que proporciona el fraude con los códigos PIN explica el elevado precio de los datos: las conversaciones interceptadas muestran que los criminales han llegado a pagar de 20.000 a 300.000 euros por esos códigos, según un informe interno de Europol.

La gran cantidad de personal portuario y de transporte con acceso a esos números de serie –algunas navieras emplean hasta 10.000 personas– ofrece muchas oportunidades a los traficantes. “Es fácil encontrar a alguien que tenga acceso a este código, pagarle y conseguirlo”, advierte el jefe de distrito de la policía portuaria de Róterdam, Jan Janse. “Si no aceptas la primera vez, lo intentarán en una segunda ocasión cuando estés haciendo la compra y quizás intenten ofrecerte dinero en una tercera ocasión. Hay [también] casos en los que, desde luego, le han dicho a la gente ‘sabemos a qué escuela van tus hijos”. Este tipo de corrupción es el principal método empleado por los criminales para acceder a información interna, entre ellas, los códigos PIN, añade Janse.

Los chats de De Valk dejan claro que él y sus colaboradores tenían acceso a información interna sobre el movimiento de contenedores en el puerto de Róterdam. El tribunal holandés averiguó que De Valk, como parte de su esfuerzo para organizar el envío del contenedor interceptado en Costa Rica, había falsificado una orden de transporte, la había compartido con sus colaboradores y cancelado al transportista legítimo. En un chat, citado en la sentencia, envió a sus clientes la imagen de una orden de transporte y escribió: “Bajo la referencia está el código PIN".

Además de esa redada en Costa Rica, De Valk fue condenado por ayudar a organizar otro envío de más de 200 kilogramos de cocaína, que la policía encontró en Róterdam en 2020 escondidos en un contenedor de vino.

Los investigadores descubrieron chats cifrados de SkyECC en los que De Valk preparaba una orden de transporte y correos electrónicos falsos para facilitar la recogida, utilizando datos clave sobre el contenedor proporcionados por un miembro no identificado de un chat grupal. El escrito de acusación ofrece detalles adicionales: De Valk y otros miembros del chat accedieron al software de gestión de los contenedores del puerto y, con la ayuda de “posibles contactos portuarios corruptos”, tenían “una visión directa de la entrada del contenedor, los números de registro correspondientes y los tiempos de carga y descarga”.

Se desconocen los detalles precisos de cómo lograron acceder a esta información en el puerto de Róterdam. Pero las andanzas de De Valk en Amberes ofrecen una pista. Días después de que el cargamento de vino fuera interceptado en Róterdam, De Valk se enfocó en un nuevo objetivo con la ayuda de un holandés llamado Bob Zwaneveld, según consta en sus condenas judiciales.

Zwaneveld, de 57 años, no encaja con la imagen típica de un capo criminal. Antes de su captura en 2021, aseguró que había pasado siete años viviendo en una caravana en un parque de atracciones. Oficialmente, estaba desempleado, excepto por algún trabajo ocasional que conseguía en la construcción. Pero, en realidad, se dedicaba el tráfico de cocaína y de armas, lo que le valió una condena de 12 años de prisión en 2022.

OCCRP intentó en múltiples ocasiones ponerse en contacto con Zwaneveld a través de sus representantes legales, solicitándoles comentarios sobre la condena y preguntándoles si iban a recurrirla, pero no ha recibido ninguna respuesta. No está claro si está cumpliendo su condena.

El puerto de Amberes (Bélgica) es el segundo puerto europeo en tráfico de contenedores, después de Róterdam. Eyesplash - Summer was a blast

Los chats muestran que Zwaneveld desempeñó un papel como coordinador en varios negocios de drogas en 2020, entre ellos, la venta a un amigo del Reino Unido de 100 “colos”, término que él y otros utilizaban para referirse a kilos de cocaína colombiana. También mantenía negociaciones periódicas a través de plataformas de chat encriptadas sobre la compra, venta o entrega de armas de fuego, granadas de mano y municiones.

Juntos, Zwaneveld y De Valk planearon infiltrarse en la terminal de Amberes, que gestiona el segundo mayor volumen de contenedores marítimos de Europa después de Róterdam. Para hacerlo, necesitaban la ayuda de alguien de dentro, en este caso, una empleada de las oficinas del puerto. Según contó ella a la policía belga, alguien se le acercó y le ofreció 10.000 euros por insertar una memoria USB en un ordenador de su lugar de trabajo. Después de aceptar, le dieron un teléfono Sky –un dispositivo seguro con la aplicación de mensajería cifrada– para comunicarse con un usuario de la cuenta SkyECC identificado en el tribunal sólo como 7MIOBC, quien compartió sus consultas en un chat grupal con De Valk y Zwaneveld.

La empleada portuaria fue condenada en un tribunal belga en marzo, según publicó la prensa local, que no dio detalles sobre la condena ni avanzó si sería recurrida. La mujer no respondió a las solicitudes de entrevista que le envió OCCRP.

Una vez que De Valk terminó de preparar la memoria USB, ésta pasó por varias manos, incluidas las de Zwaneveld, antes de llegar a la empleada del puerto. “Simplemente activa el programa en la memoria USB. Haz doble clic y espera 15 segundos, luego podrás sacarlo nuevamente”, le indicó De Valk. Poco después, la operación estaba en marcha.

“Sí, lo tengo”, escribió en el chat grupal, enviando una captura de pantalla que mostraba su acceso al ordenador de la empleada, con la palabra “usuario”, seguida de una foto con carpetas y unidades de disco. El usuario 7MIOBC respondió con una foto de la USB conectada al ordenador de la oficina del terminal de Amberes. Después de que la empleada del puerto abriera el archivo en la USB e instalara el malware, De Valk ejecutó una serie de “actividades maliciosas” en el sistema, según un informe forense sobre el hackeo, realizado por la empresa holandesa de ciberseguridad Northwave y que aparece citado en su condena.

De Valk abrió Solvo, el programa de gestión de contenedores de Amberes, el 21 de septiembre. Los registros de actividad muestran que a las cuatro de la madrugada abrió un manual de usuario del programa, probablemente “para investigar qué datos podía obtener a través de Solvo (por ejemplo, cómo buscar ubicaciones de contenedores)”, escribió Northwave en su informe. El programa permitía a De Valk ver una amplia gama de información relacionada con la dotación de personal y la gestión y ubicación de los contenedores de envío. Incluso, le permitía generar él mismo números PIN, según la empresa de ciberseguridad.

Los chats revelan que De Valk también intentó clonar las tarjetas de identificación del personal del puerto. Unos días después, envió una fotografía al chat grupal de SkyECC mostrando una pantalla de un computador con el texto “badge” –identificación– y “alfa pass” –pase alfa– , que se refiere a las tarjetas plásticas que utilizan los empleados del puerto para acceder a diferentes áreas de las instalaciones. “Creo que pronto podremos crear una tarjeta nosotros mismos”, escribió.

No se sabe si De Valk finalmente logró fabricar dichas identificaciones. El tribunal tampoco vio ninguna prueba de que De Valk estuviera involucrado en otros intentos de tráfico de droga después del hackeo de septiembre de 2020. Sin embargo, hay pruebas de que estuvo activo en el sistema informático de la terminal de Amberes hasta al menos el 24 de abril de 2021, según la investigación de Northwave. De Valk no respondió a las solicitudes de comentarios que le envió OCCRP.

Los chats encriptados de la empleada corrupta del puerto de Amberes.

Los registros que Northwave pudo recuperar sugieren que De Valk accedió al software de contenedores Solvo varias veces entre el 19 de octubre y el 24 de abril de 2021, visitando páginas que controlaban contenedores, vehículos, pases del personal y nombres de transportistas. Si bien se desconoce la actividad de De Valk después de este periodo, la fiscalía señaló que un análisis de su ordenador portátil muestra que siguió conversando “con varias personas sobre modos de transporte y cargas en cubierta” hasta agosto de 2021.

“El puerto negro”

Se desconoce el alcance total de lo que consiguió De Valk antes de su captura en septiembre de 2021. Pero la policía cree que forma parte de un fenómeno más extendido de fraude con códigos PIN que ha permitido la entrada de al menos 200 toneladas de cocaína a través de Róterdam y Amberes desde 2018.

Kurt Boudry, un alto oficial de la policía federal de Bélgica, señala que, cuando comenzaron a investigar los chats de SkyECC interceptados, esperaban desmantelar lo que llamaban el “puerto negro”. Es decir, la red de empleados portuarios corruptos, camioneros y otras personas que hacen posible el narcotráfico. “Pero no sabíamos que iba a ser tan grande”, admite Boudry a OCCRP.

Según un informe de Europol de 2023, es probable que no se denuncien todos los fraudes relacionados con códigos PIN, y es posible que también esté ocurriendo en otros puertos europeos. En algunos casos, después de descargar la mercancía ilegal fuera del puerto, los camioneros que trabajan con los narcotraficantes entregan el contenedor a su importador legítimo. Lo que significa que algunos casos nunca son detectados o denunciados, indica el informe.

Janse, jefe de policía del distrito del puerto de Róterdam, insiste en que el principal frente de lucha contra los traficantes es su capacidad para corromper los puertos utilizando tanto el dinero como la intimidación. Las autoridades portuarias y las navieras están experimentando con nuevos métodos para reforzar la seguridad, incluso ofreciendo formación a los empleados y limitando el número de personas que tienen acceso a datos que puedan ser usados por los traficantes, añade. “No estoy diciendo que vayamos a ganar esta guerra, pero sí que podemos hacerla más controlable”, apunta Janse.

Interferencia de Radios UCR y Brecht Castel (Knack) han colaborado en esta investigación.

España pasa de puerta de entrada de la cocaína y el hachís a gran productor de droga en la UE

----------------------------------

Esta información es parte de NarcoFiles: El Nuevo Orden Criminal, una investigación periodística internacional sobre el crimen organizado global, sus innovaciones, sus tentáculos y quienes lo combaten. El proyecto se originó con una filtración sin precedentes de correos electrónicos de la Fiscalía General de la Nación de Colombia. Organized Crime and Corruption Reporting Project (OCCRP), el Centro Latinoamericano de Investigación Periodística (CLIP), Vorágine y Cerosetenta / 070 accedieron a los datos a través de dos organizaciones: Distributed Denial of Secrets y Enlace Hacktivista. Luego compartieron el material con más de 40 medios de comunicación, entre ellos infoLibre y Narcodiario en España. Periodistas de 23 países trabajaron en las investigaciones, principalmente en América Latina, pero también en Europa y Estados Unidos.

A partir de las pistas encontradas en los datos filtrados, los periodistas han elaborado docenas de artículos que revelan las múltiples formas en las que los grupos del crimen organizado evolucionan, se expanden y experimentan en el mundo moderno, dejando nuevas víctimas a su paso.

Cronología de un ‘hackeo’

La empresa holandesa de ciberseguridad Northwave analizó el ataque de De Valk al sistema informático del puerto de Amberes e investigace.cz obtuvo ese informe. Ésta es la línea de tiempo de algunos de los ciberataques de De Valk en el sistema, según la investigación de Northwave.

18 de septiembre. 15:20:41: Un empleado del puerto inserta en un ordenador la memoria USB preparada por De Valk y ejecuta un archivo de malware que le da acceso remoto a la cuenta. Ese mismo día, De Valk envía un mensaje: “Hola, acabo de pasar por el sistema de detección de intrusos. Ha sido un coñazo. ¿Cuánto tiempo va a estar ÉL/ELLA en línea? Definitivamente necesito otras dos horas”.

19 de septiembre. 12:51:09: De Valk lanza una herramienta de interfaz gráfica llamada Advanced IP scanner para trazar un mapa de la red del ordenador seleecionado y buscar vulnerabilidades.

20 de septiembre. 19:35:40: De Valk ejecuta una herramienta de mapeo más robusta, llamada nmap, que suelen utilizar los hackers para encontrar vulnerabilidades y planear futuros ataques. También intenta, y fracasa varias veces, ampliar los derechos y el acceso de la cuenta dentro de la red, una táctica conocida como escalada de privilegios. Después de medianoche, lanza una herramienta llamada CVE-2016-7255.exe destinada a asegurar los privilegios a nivel de SYSTEM, es decir, el nivel más alto de derechos disponibles para un usuario en la red de Windows.

21 de septiembre. 03:52:27: De Valk abre Solvo, el sistema de gestión de contenedores del puerto y empieza a leer un manual de uso. Treinta minutos después, abre un navegador para acceder al operador de Recursos Humanos y ver qué trabajadores de la plantilla están ausentes.

23 de septiembre. 20:15:33: De Valk lanza otra herramienta de evaluación de vulnerabilidades, lo que indica que sus tácticas anteriores han fracasado.

26 de septiembre. 22:16:50: De Valk utiliza una herramienta llamada impacket, que permite encontrar puertas traseras, es decir, formas de acceder a un sistema eludiendo los mecanismos de seguridad normales. En menos de una hora, aprovecha una puerta trasera del sistema y establece una conexión que le permite crear “un túnel” de un dispositivo a otro en la red.

27 de septiembre. 21:48:13: De Valk escribe que ha conseguido el dc admin hash, una cadena cifrada que puede utilizarse para revelar la contraseña de una cuenta administrativa o “controlador de dominio” (dc). Acceder a esa cuenta le proporcionaría “control total”, escribe De Valk en un mensaje.

19 de octubre. 17:49:32: De Valk accede al software Solvo para ver páginas que controlan los vehículos portacontenedores, los pases del personal y los nombres de los conductores. También coloca archivos en el sistema que contienen listas para un ataque de “fuerza bruta”, un método que utiliza diccionarios y otras listas de palabras, como “male_names.txt”, para adivinar el mayor número posible de contraseñas.

19 de enero de 2021. 18:04:26: De Valk coloca 961 archivos sospechosos en el sistema durante las siguientes 14 horas, algunos de los cuales podían realizar tareas como ejecutar scripts y aplicaciones.

30 de marzo de 2021. 05:05:24: De Valk modifica un manual de usuario de Solvo, pero los cambios que hizo no pudieron recuperarse.

24 de abril de 2021: Tras instalar varios archivos sospechosos, ésta es la última fecha en la que se sabe con seguridad que De Valk estuvo activo en el sistema informático del puerto, según los registros disponibles. Pero un análisis de ordenador portátil muestra que seguía discutiendo por chat sobre modos de transporte y cargas en cubierta hasta el 31 de agosto, según indican los fiscales.

Más sobre este tema