Zeus y Bogachev:
Anatomía de un Crimen Digital
El troyano Zeus redefinió el fraude bancario en línea y sentó las bases técnicas y arquitectónicas del cibercrimen organizado contemporáneo. Su arquitectura, su operador principal y el proceso de desmantelamiento ofrecen al perito forense y al abogado especializado un caso de estudio de primer orden sobre la convergencia entre técnica, derecho penal y cooperación internacional.
§ I Origen e Identificación del Agente
En julio de 2007, investigadores de seguridad detectaron por primera vez un troyano desconocido que atacaba sistemas Windows con el propósito de sustraer credenciales bancarias. El malware, bautizado posteriormente como Zeus —también conocido como Zbot o WSNPoem— no era simplemente un programa malicioso más: constituía un kit de crimeware completo, comercializado en mercados clandestinos con la precisión logística de un producto de software legítimo.
Evgeniy Mikhailovich Bogachev, ciudadano ruso nacido el 28 de octubre de 1983, residente en Anapa, ciudad costera del Mar Negro, es identificado por el FBI como el creador principal de Zeus y como líder operativo del ecosistema criminal construido sobre él. Bogachev operaba bajo los alias «Slavik», «lucky12345» y «pollingsoon». Su identificación no fue producto de una filtración, sino del cruce forense entre la dirección IP utilizada para administrar la botnet y la dirección IP asociada a su correo electrónico personal, proporcionada por un informante.
Nombre: Evgeniy Mikhailovich Bogachev |
DOB: 28/10/1983, Anapa, Rusia
Alias: Slavik · lucky12345 · pollingsoon
Estado: Prófugo. Recompensa activa del FBI: USD 3.000.000 (la mayor registrada para un cibercriminal individual al momento de su emisión en 2015).
Últimas coordenadas conocidas: Anapa y Krasnodar, Federación Rusa.
Lo que distingue a Bogachev de otros desarrolladores de malware no es únicamente la sofisticación técnica de sus herramientas, sino la escala empresarial con la que organizó su operación. Zeus no era un programa que Bogachev usaba exclusivamente para sí; era, en rigor, un producto con ciclo de vida, actualizaciones, soporte técnico y licenciamiento —características propias de un modelo de negocio delictivo conocido como Malware-as-a-Service (MaaS).
§ II Arquitectura Técnica del Troyano Zeus
Comprender Zeus en profundidad es indispensable para el perito informático forense, tanto para identificar sus artefactos en sistemas comprometidos como para fundamentar dictámenes en procedimientos judiciales. Zeus no operaba mediante un único mecanismo de ataque, sino a través de una arquitectura modular que combinaba diversas técnicas.
2.1 Vectores de infección inicial
Zeus empleaba principalmente dos vectores de distribución. El primero era la descarga por visita a sitio comprometido (drive-by download), mediante la cual la visita a un sitio web que explotaba vulnerabilidades del navegador desencadenaba la descarga silenciosa del troyano. El segundo eran los correos electrónicos de phishing que simulaban comunicaciones de entidades financieras, minoristas en línea o empresas de logística, e inducían al destinatario a ejecutar un archivo adjunto o seguir un enlace malicioso.
2.2 Mecanismos de captura de credenciales
| Técnica | Descripción operativa | Relevancia forense |
|---|---|---|
| Keylogging | Registro de pulsaciones de teclado en tiempo real; operaba en modo silencioso, invisible al usuario | Artefactos en registros de proceso; inyección en kernel |
| Form grabbing | Captura del contenido de formularios web antes de su transmisión cifrada (HTTPS), a nivel de API del navegador | Elude SSL/TLS; los datos se obtienen en capa de aplicación |
| Man-in-the-Browser (MitB) | Inyección de código malicioso en el proceso del navegador; modifica el contenido de páginas bancarias en tiempo real, incluyendo campos adicionales para capturar credenciales de segundo factor | Memoria del proceso del navegador; modificaciones DOM; hooking de API |
| Screenshot capture | Captura de pantallas cuando el usuario accede a sitios objetivo, para verificación visual de interfaces | Archivos temporales; caché; artefactos en disco |
El ataque Man-in-the-Browser merece especial atención desde la perspectiva forense y jurídica: a diferencia del keylogging simple, el MitB intercepta los datos en la capa de aplicación, después de que el navegador los ha descifrado pero antes de que los envíe. Esto significa que ningún protocolo de cifrado de transporte —incluyendo TLS 1.3— protege al usuario contra esta técnica. La detección tradicional basada en firma antivirus también falla sistemáticamente ante las variantes polimórficas de Zeus.
2.3 Infraestructura de comando y control (C&C)
Las máquinas infectadas formaban una botnet: una red de equipos comprometidos controlada remotamente desde servidores de comando y control (C&C). En su versión original, Zeus utilizaba una arquitectura cliente-servidor centralizada; cada bot se comunicaba periódicamente con el servidor para recibir instrucciones, exfiltrar credenciales y descargar actualizaciones de configuración o módulos adicionales.
La configuración del bot se almacenaba en un archivo binario con extensión .bin, que contenía la lista de sitios bancarios objetivo, los patrones de inyección HTML y los parámetros de comunicación con el C&C. Este archivo constituye un artefacto forense crítico: su análisis permite determinar los blancos operacionales de una instancia particular del malware y, eventualmente, atribuir su configuración a un operador específico.
En el análisis forense de un sistema sospechoso de infección por Zeus, deben examinarse los siguientes elementos: (1) regiones de memoria privada con protección PAGE_EXECUTE_READWRITE (dirección 0x00b70000 en variantes documentadas), donde el bot desempaqueta su imagen principal; (2) modificaciones en el registro de Windows para establecer persistencia; (3) patrones de balizamiento HTTP hacia servidores C&C; (4) hooks de API en procesos de navegador (Internet Explorer, Firefox); (5) archivos de configuración binarios (.bin) en directorios de sistema o temporales.
2.4 El modelo de negocio: Malware-as-a-Service
Bogachev no solo desarrolló Zeus: lo comercializó. El kit se vendía en mercados clandestinos con precios que oscilaban entre USD 3.000 y USD 10.000, dependiendo de las características y el nivel de licenciamiento. El comprador recibía el builder (constructor de ejecutables), el panel de administración web para gestionar la botnet y el archivo de configuración. Esta estructura permitió que operadores con limitados conocimientos técnicos desplegaran sus propias variantes, generando un ecosistema de suboperadores que multiplicó exponencialmente el alcance del malware.
La variante posterior, Jabber Zeus, incorporaba comunicación cifrada mediante el protocolo Jabber/XMPP entre operadores. La iteración final conocida, GameOver ZeuS (GOZ), eliminó la arquitectura centralizada y la sustituyó por una red peer-to-peer (P2P), lo que eliminó el punto único de fallo y dificultó significativamente la intervención de autoridades.
§ III Evolución del Ecosistema Zeus
Zeus original. Primera detección. Kit de malware con arquitectura C&C centralizada. Comercializado como producto con licencia en foros clandestinos.
Expansión masiva. La empresa de seguridad Damballa estima 3,6 millones de equipos infectados solo en Estados Unidos. El FBI emite primeras alertas públicas a empresas.
Jabber Zeus. Variante con comunicación cifrada P2P y funcionalidades de espionaje. Análisis posteriores revelan búsqueda de información sensible en Georgia, Turquía y Ucrania. El código fuente de Zeus original es filtrado, generando una proliferación de variantes derivadas (Citadel, Ice IX, Carberp, Zberp).
GameOver ZeuS (GOZ). Arquitectura P2P descentralizada. Bogachev transita del modelo de venta de kits a la operación de una botnet privada de acceso restringido. En su apogeo infecta entre 500.000 y 1.000.000 de equipos. Se convierte en el principal vector de distribución del ransomware CryptoLocker.
Operación Tovar. Desarticulación internacional. El Departamento de Justicia de EE.UU. anuncia la ruptura temporal de comunicaciones entre GOZ y sus servidores C&C. Se desella el acta de acusación de 14 cargos contra Bogachev.
Recompensa máxima. El FBI anuncia una recompensa de USD 3.000.000 por información que conduzca a la captura de Bogachev, la mayor registrada para un cibercriminal individual en ese momento.
Estado actual. Bogachev permanece prófugo, presuntamente bajo protección del gobierno ruso. El legado técnico de Zeus persiste en decenas de variantes activas de malware bancario contemporáneo.
§ IV La Dimensión Oculta: Espionaje Estatal
Lo que distingue el caso Bogachev de la criminalidad informática ordinaria es la evidencia, documentada por investigadores de Fox-IT, CrowdStrike y el propio FBI, de que la infraestructura de GameOver ZeuS fue utilizada paralelamente con fines de inteligencia estatal.
Los análisis de tráfico de la botnet revelaron que, en determinados equipos infectados en Georgia, Ucrania, Turquía y países miembros de la OPEP, el malware realizaba búsquedas específicas de documentos con términos relacionados con agencias de inteligencia, información gubernamental y asuntos geopolíticamente relevantes para Rusia. Este comportamiento era inconsistente con los objetivos puramente financieros del resto de la operación.
Esta dimensión tiene implicaciones jurídicas de primer orden. En primer lugar, explica la impunidad persistente de Bogachev a pesar de ser el cibercriminal con la recompensa más alta en la historia del FBI: la negativa rusa a extraditarlo no sería únicamente una cuestión de política general de no extradición, sino una decisión estratégica de proteger a un activo de inteligencia. En segundo lugar, plantea la cuestión —de creciente relevancia en el derecho internacional— de la responsabilidad estatal por actos de ciberespionaje realizados a través de actores no estatales tolerados o instrumentalizados por el propio Estado.
§ V La Operación Tovar: Paradigma de Cooperación Técnico-Jurídica
La Operación Tovar, ejecutada en junio de 2014, representa uno de los casos más completos documentados de integración entre herramientas técnicas y mecanismos jurídicos en la persecución de cibercrimen transnacional. Su metodología ofrece un modelo replicable de intervención que interesa tanto al perito forense como al abogado especializado.
5.1 Composición de la coalición
Participaron agencias de aplicación de la ley de más de diez países, incluyendo el FBI (con oficinas de campo en Pittsburgh y Omaha), Europol, el Centro Europeo de Ciberdelincuencia (EC3), la Agencia Nacional del Crimen del Reino Unido (NCA), el Bundeskriminalamt alemán, la Polizia Postale italiana y la División de Delitos Informáticos del Ministerio del Interior de Ucrania. En el sector privado participaron Dell SecureWorks, CrowdStrike, Microsoft, McAfee y la Universidad Carnegie Mellon.
5.2 Estrategia técnica
La operación requirió primero la ingeniería inversa del algoritmo de generación de dominios (Domain Generation Algorithm, DGA) utilizado por GOZ, que generaba hasta 10.000 dominios por día para garantizar la disponibilidad de servidores C&C de respaldo. Al predecir y registrar preventivamente estos dominios, las autoridades pudieron redirigir el tráfico de la botnet hacia servidores bajo su control —técnica conocida como sinkholing— y «liberar» los equipos infectados sin necesidad de acceder físicamente a ellos.
5.3 Estrategia jurídica
Paralela a la intervención técnica, se tramitaron dos acciones judiciales en los tribunales federales de Pittsburgh: una acusación penal de 14 cargos (indictment) y una solicitud de medida cautelar civil (civil injunction). La distinción es significativa para el jurista: la primera perseguía la responsabilidad penal individual de Bogachev; la segunda buscaba una orden judicial que autorizara la intervención técnica de la infraestructura del botnet, con independencia de que el imputado principal se encontrara o no en territorio bajo jurisdicción estadounidense.
14 cargos: conspiración, intrusión informática, fraude electrónico, fraude bancario y lavado de activos. Base normativa: Computer Fraud and Abuse Act (CFAA), 18 U.S.C. § 1030; Wire Fraud Act, 18 U.S.C. § 1343; Bank Fraud, 18 U.S.C. § 1344.
Orden judicial que autorizó la intervención técnica de servidores C&C y el redireccionamiento del tráfico de la botnet. Primer precedente de uso combinado de medidas civiles de ingeniería de red con acción penal internacional en un caso de botnet P2P.
Conspiración para cometer fraude bancario en relación con la variante Jabber Zeus, gestionada separadamente por la División de Crímenes Informáticos y Propiedad Intelectual (CCIPS) del Departamento de Justicia.
Asistencia judicial mutua con más de 10 jurisdicciones. La Oficina de Asuntos Internacionales de la División Criminal del DOJ coordinó la cadena de tramitación de comisiones rogatorias y solicitudes de asistencia técnica transfronteriza.
Un detalle forense de notable relevancia procesal: Bogachev fue identificado al cruzar la dirección IP con la que accedía a su correo electrónico personal —obtenida mediante una comisión rogatoria o un informante— con la dirección IP utilizada para administrar la botnet. Aunque empleaba una VPN para oscurecer sus rastros, cometió el error elemental de no cambiar su IP al acceder al dominio visitcoastweekend.com, uno de sus puntos de control. La cadena de evidencia digital construida sobre esa correlación de metadatos fue determinante para su identificación y para la sustentación del acta de acusación.
§ VI Magnitud del Daño y Cifras Documentadas
El FBI y el Departamento de Justicia documentaron que el ecosistema Zeus —en todas sus variantes bajo el control de Bogachev— causó pérdidas financieras superiores a USD 100 millones solo en los Estados Unidos. Las víctimas incluían instituciones financieras de primer nivel (Capital One Bank, First National Bank of Omaha, Bank of Georgetown), pequeñas y medianas empresas, entidades gubernamentales y personas naturales.
A escala global, estimaciones conservadoras sitúan las pérdidas totales en varios cientos de millones de dólares. CryptoLocker, distribuido a través de la infraestructura de GameOver ZeuS, infectó más de 234.000 equipos hacia abril de 2014 y generó pagos de rescate que diversas fuentes sitúan entre USD 3 millones y USD 27 millones en pocas semanas de operación activa.
En cuanto a la escala operacional de la botnet: en su apogeo en 2012-2013, GameOver ZeuS mantenía activos entre 500.000 y 1.000.000 de equipos infectados simultáneamente, convirtiéndola, según especialistas de seguridad, en una de las botnets más sofisticadas y resilientes de las que se tenga registro.
§ VII Análisis Jurídico: Lecciones para el Derecho Comparado
El caso Zeus-Bogachev ofrece múltiples enseñanzas de derecho sustantivo y procesal que trascienden la jurisdicción estadounidense y resultan aplicables al análisis del cibercrimen en el contexto latinoamericano.
7.1 Tipificación de conductas
La pluralidad de cargos imputados a Bogachev ilustra cómo una sola arquitectura de malware puede dar lugar a una multiplicidad de tipos penales concurrentes. Bajo el derecho estadounidense se imputaron: intrusión informática no autorizada (CFAA), fraude electrónico, fraude bancario y lavado de activos. En el derecho venezolano, el equivalente funcional se encontraría principalmente en la Ley Especial contra los Delitos Informáticos (LECDI, 2001), que tipifica el acceso indebido, el sabotaje de sistemas, el fraude informático y el espionaje informático, así como en la Ley Orgánica Contra la Delincuencia Organizada y Financiamiento al Terrorismo (LOCDOFT) para la dimensión organizacional y de lavado de activos.
7.2 Prueba digital y atribución
Uno de los aspectos más relevantes del caso para el perito forense es el método de atribución: la correlación de metadatos de red (dirección IP) entre diferentes sesiones y servicios, ejecutada sobre datos obtenidos por múltiples agencias en distintas jurisdicciones. Esta evidencia constituye prueba electrónica en sentido estricto y su cadena de custodia transjurisdiccional presenta desafíos procesales significativos.
Para que dicha prueba sea admisible en un proceso penal, debe demostrarse: la autenticidad e integridad de los registros de metadatos (mediante hash criptográfico), la legalidad de su obtención en cada jurisdicción, la correcta cadena de custodia en cada transferencia internacional y la idoneidad técnica del método de correlación empleado. Estos son precisamente los extremos que el perito informático forense debe acreditar mediante su dictamen.
7.3 El modelo de acción civil paralela
La utilización de una medida cautelar civil para autorizar la intervención técnica de la botnet —independientemente del proceso penal— constituye un mecanismo procesal de gran utilidad para sistemas jurídicos que, como el venezolano, admiten la acción civil con fines de cesación de actividades ilícitas. La orden judicial que autorizó el sinkholing de los dominios de GOZ es el equivalente funcional de una medida de secuestro o de suspensión de operaciones aplicada a infraestructura digital.
7.4 Responsabilidad estatal por ciberactores tolerados
La evidencia de la vinculación de Bogachev con los servicios de inteligencia rusos, aunque no ha sido formalmente probada en sede judicial, plantea la cuestión de la responsabilidad internacional del Estado por actos de actores no estatales que operan con su aquiescencia o colaboración. Esta problemática, aún en desarrollo en el derecho internacional público, ha motivado la elaboración del Manual de Tallin —instrumento técnico-jurídico de referencia sobre ciberoperaciones— y se proyecta sobre el debate latinoamericano acerca de la atribución en incidentes de ciberseguridad con implicaciones geopolíticas.
§ VIII Conclusión
El caso Bogachev-Zeus no es un episodio cerrado de la historia del cibercrimen: es un caso abierto, tanto en sentido procesal —el imputado principal permanece prófugo— como en sentido técnico —el legado arquitectónico de Zeus persiste en los troyanos bancarios que circulan activamente en 2026.
Para el profesional de la informática forense, Zeus representa el primer ejemplo completamente documentado de malware bancario de escala industrial: su análisis permite comprender los vectores de infección, los mecanismos de captura de credenciales, la infraestructura C&C y los artefactos que persisten en sistemas comprometidos. Para el abogado especializado en cibercrimen, la Operación Tovar es un modelo de articulación entre herramientas técnicas y mecanismos jurídicos, incluyendo el uso innovador de medidas cautelares civiles para neutralizar infraestructura delictiva transnacional.
Finalmente, la dimensión geopolítica del caso —la presunta instrumentalización de un cibercriminal por parte de un Estado para operaciones de inteligencia— anticipa un debate que el derecho internacional y el derecho penal comparado tendrán que afrontar con creciente urgencia: el de la responsabilidad jurídica de los actores estatales que toleran, protegen o cooptan a operadores de cibercrimen organizado.
- Zeus fue el primer malware bancario de escala industrial con modelo MaaS documentado; su arquitectura técnica es el antecedente directo de los troyanos bancarios modernos.
- El ataque Man-in-the-Browser elude el cifrado TLS y la detección antivirus convencional; la única defensa efectiva es la verificación fuera de banda de transacciones.
- Los artefactos forenses clave incluyen regiones de memoria con protección PAGE_EXECUTE_READWRITE, hooks de API en navegadores, y archivos de configuración binarios (.bin).
- La Operación Tovar demostró que el sinkholing combinado con órdenes de medida cautelar civil es un mecanismo eficaz para neutralizar botnets incluso con imputados no capturados.
- La atribución en este caso se construyó sobre correlación de metadatos IP entre sesiones; su valor probatorio depende de la cadena de custodia transjurisdiccional y la acreditación del método técnico.
- La posible vinculación con servicios de inteligencia rusos plantea cuestiones de responsabilidad estatal aún no resueltas por el derecho internacional.
- El legado técnico de Zeus es activo en 2026: Citadel, Dridex, Emotet y decenas de variantes contemporáneas comparten elementos de su arquitectura original.