Un colega periodista había desaparecido y Mumin - presidente del Sindicato de Periodistas Somalíes - tenía pocas posibilidades de hacer correr la voz. Un sabotaje digital había dejado fuera de servicio la página web y las cuentas de correo electrónico de su sindicato unos días antes.
"Todavía puedo sentir la frustración", dijo Mumin a Reuters. Nuestro vínculo con el mundo exterior, con los medios de comunicación internacionales, es nuestra página web".
Sólo después de obtener ayuda de Qurium, una organización sueca sin ánimo de lucro que realiza trabajos de defensa digital para organizaciones de noticias y sin ánimo de lucro, Mumin pudo volver a poner en pie su sitio web y dar debidamente la voz de alarma sobre el reportero desaparecido.
Cuando Qurium investigó, acabó rastreando el origen del apagón hasta un lugar sorprendente: Wyoming.
Aunque Qurium dijo que no fue capaz de averiguar quién apretó el gatillo del ciberataque, sí descubrió que el sabotaje se llevó a cabo con la ayuda de una sociedad de responsabilidad limitada, o LLC, con sede en el vasto estado occidental.
Reuters ha averiguado que se trata de uno de los tres casos, como mínimo, en los últimos cuatro meses en los que los defensores digitales han implicado a LLC de Wyoming en actividades de piratería informática de gran repercusión. Entrevistas con media docena de expertos en tecnología y cumplimiento de la normativa y con víctimas de piratería informática como Mumin sugieren que el estado conocido antaño como el refugio agreste de los bandidos del siglo XIX atiende ahora a los forajidos del siglo XXI.
"Es el Salvaje, Salvaje Oeste virtual", dijo Sarah Beth Felix, que dirige Palmera Consulting, una empresa de asesoramiento contra el blanqueo de dinero. Dijo que el estado hizo tan fácil el registro de empresas fantasma anónimas que los delincuentes extranjeros "no tienen que estar físicamente en Wyoming para esconderse en Wyoming".
Joe Rubino, el consejero general de la Oficina del Secretario de Estado de Wyoming, responsable del registro de las entidades comerciales del estado, dijo que sus colegas estaban tomando la información señalada por Reuters "para una mayor revisión e investigación."
Añadió que el secretario de Estado de Wyoming, Chuck Gray, apoya la idea de nuevas leyes "para evitar abusos del sistema de registro de empresas de Wyoming por parte de entidades extranjeras", pero que la legislatura estatal aún no se había ocupado del asunto.
Reuters no pudo determinar con qué frecuencia los ciberdelincuentes utilizan las LLC de Wyoming, pero Tord Lundstrom, director técnico de Qurium, dijo que estaban encontrando el favor de los ciberdelincuentes que las utilizaban para ayudar a hacer pasar su tráfico de Internet como procedente de dentro de Estados Unidos, un truco valioso para los hackers que buscan eludir las defensas digitales que tienden a marcar o bloquear el tráfico web procedente de lugares menos fiables, como Rusia o Irán.
Las LLC, al igual que las corporaciones, protegen a sus propietarios de ciertas formas de responsabilidad, pero tienden a ser más fáciles de constituir. Dado que Wyoming permite que los agentes registrados - representantes en el estado - sirvan como punto de contacto público para las LLC, su propiedad puede mantenerse en secreto para el gran público.
Wyoming no es el único que permite las empresas fantasma anónimas - Delaware y Nevada tienen ofertas similares - pero Lundstrom dijo que los piratas informáticos favorecían particularmente las LLC de Wyoming porque se anunciaban como rentables y fáciles de usar.
'ATAQUE DESCARADO Y DIRECTO
El acto de sabotaje cibernético que dejó fuera de servicio al Sindicato de Periodistas Somalíes en agosto se conoce como denegación de servicio distribuida, o DDoS, que azota los sitios objetivo con una manguera de tráfico malicioso.
Qurium descubrió que un flujo de datos maliciosos discurría a través de un bloque de direcciones IP registrado a nombre de Aliat, una LLC domiciliada en Sheridan, una pequeña ciudad de Wyoming al pie de las montañas Bighorn.
Los intentos de Reuters por ponerse en contacto con Aliat fueron infructuosos. Un mensaje dejado a través del formulario de contacto de la página web de la empresa el 9 de octubre se encontró con un mensaje automatizado que prometía una respuesta "en 48 horas". Los registros corporativos muestran que la LLC se disolvió el mismo día, aunque posteriormente se restableció.
Nunca se proporcionó respuesta alguna.
En septiembre, una operación DDoS dejó fuera de línea al Instituto Internacional de Prensa, con sede en Viena. La organización acababa de publicar un informe sobre cómo las operaciones DDoS estaban atormentando a los medios de comunicación independientes húngaros cuando también ellos se vieron azotados por una oleada de tráfico basura, algo que el grupo describió más tarde como "el ataque más descarado y directo a la infraestructura en línea del IPI en nuestra historia".
El IPI tardó unos 10 días en restablecer por completo la funcionalidad del sitio. Una vez más, Qurium pudo rastrear algunos de los datos fraudulentos hasta una LLC de Wyoming: una empresa de alojamiento web llamada HostCram.
Dirigida por un bangladeshí de 23 años llamado Shakib Khan, la firma está registrada en Buffalo, una pequeña ciudad que en su día fue lugar de reunión de los infames asaltantes de trenes Butch Cassidy y Sundance Kid.
Qurium afirmó que Khan les dijo que estaba dando de baja a un cliente tras el incidente, pero no dio más detalles. Khan dijo a Reuters que sólo compartiría la identidad de su cliente con las fuerzas del orden.
En cuanto a por qué había registrado una empresa en Buffalo, dijo: "Wyoming es genial para los negocios en línea".
DEBERÍAN AVERGONZARSE
Los expertos afirman que una sola empresa fantasma puede servir de trampolín para un abuso generalizado.
En 2017, un par de investigadores de ciberseguridad rastrearon oleadas de robos digitales y spam dirigidos a una gran cantidad de organizaciones hasta un servicio proxy en línea dirigido por el empresario informático ruso Ilia Trusov.
A pesar de la exposición pública -y de un informe posterior de Qurium que también lo vinculaba a operaciones DDoS- Trusov registró dos LLC de Wyoming, Security Servers y Traffictransitsolution, en 2019.
En videollamadas con Reuters, Trusov dijo que las acusaciones eran injustas. Dijo que no tenía tolerancia con la ciberdelincuencia y que a menudo trabajaba con agencias policiales para combatirla. Mostró su pasaporte y sus visados estadounidenses y europeos como prueba de que no intentaba enmascarar su identidad y de que nunca había tenido problemas con la ley.
Trusov sí reconoció haber creado empresas fantasma en Wyoming para que el tráfico web de sus clientes pareciera estadounidense. Dijo que tener una empresa fantasma estadounidense también era útil a la hora de atender solicitudes legales. Otra ventaja: el anonimato.
"En Wyoming, no se puede ir a comprobar a los propietarios", dijo.
Las LLC de Trusov se han disuelto desde entonces, pero otra empresa fantasma de Wyoming se ha enfrentado al escrutinio más recientemente.
En agosto de este año, la firma antiransomware Halcyon acusó a una empresa de Internet vinculada a Irán llamada Cloudzy de prestar servicios a "una galería de pícaros" de espías digitales y ciberdelincuentes, en parte a través de RouterHosting LLC, con sede en Sheridan.
El director ejecutivo de Cloudzy, Hannan Nozari, negó haber hecho la vista gorda a la actividad maliciosa, que dijo que era "un grave problema al que todos nos enfrentamos". Dijo a Reuters que tenía su sede en Dubai y que registró RouterHosting bajo el supuesto erróneo de que lo necesitaba para comprar infraestructura de Internet en Norteamérica. Dijo que recientemente había mejorado la seguridad de su servicio y había disuelto la empresa de Wyoming.
Como extranjeros que viven en el extranjero, ni Nozari, ni Trusov, ni Khan habrían podido crear LLC en Wyoming si no fuera por los agentes registrados.
RouterHosting se constituyó con la ayuda de un agente registrado con sede en Sheridan llamado Cloud Peak Law Group. Las LLC de Aliat, HostCram y Trusov fueron representadas por una firma llamada Registered Agents Inc, que también tiene una dirección en Sheridan.
Cloud Peak no respondió a las preguntas. Registered Agents Inc dijo en un comunicado que, si bien la empresa no hizo comentarios sobre las relaciones con clientes específicos, siguió las normas estatales pertinentes y los requisitos de diligencia debida.
"Los agentes registrados comerciales no son agencias policiales", añadió la empresa.
Mumin, el jefe del sindicato de periodistas somalíes, dijo que nadie había rendido cuentas por el sabotaje cibernético que paralizó a su organización en agosto. No simpatizaba con la idea de que los agentes registrados de Wyoming no estuvieran obligados a vigilar a sus clientes.
"Deberían avergonzarse, estas empresas de Wyoming, de no haber sido capaces -o de no preocuparse por ello- de comprobar quiénes son sus clientes", dijo Mumin. (Reportaje de Raphael Satter en Washington. Edición de Chris Sanders y Claudia Parsons)
