**Ciudadano rumano extraditado a EEUU tras 17 años por su implicación en una campaña de hacking**

—

### 1. Introducción

El pasado mes, las autoridades estadounidenses recibieron al ciudadano rumano Gavril Sandu, de 53 años, quien fue extraditado tras casi dos décadas de investigación y colaboración internacional. Sandu había sido imputado en 2017 por su participación en una sofisticada campaña de hacking, pero su arresto y extradición no se materializaron hasta 2026. Este caso subraya la persistencia de los organismos judiciales y policiales en la persecución de delitos cibernéticos internacionales, así como la creciente cooperación entre países bajo el marco de legislaciones como la Convención de Budapest sobre Ciberdelincuencia.

—

### 2. Contexto del Incidente o Vulnerabilidad

El caso de Sandu se remonta a 2009, en plena proliferación de ataques de phishing y malware bancario en Europa del Este. Los investigadores estadounidenses, en colaboración con Europol y la DIICOT rumana, identificaron una red criminal dedicada al compromiso de credenciales bancarias mediante campañas de phishing y la distribución de troyanos bancarios. Estas campañas afectaron principalmente a entidades financieras y usuarios en Estados Unidos y la Unión Europea.

La imputación de Sandu, formalizada en 2017 ante un tribunal federal de Nueva York, lo situaba como uno de los coordinadores logísticos y técnicos del grupo. Durante años, Sandu permaneció en Rumanía, aprovechando lagunas legales y la ausencia de tratados de extradición específicos hasta que recientes reformas legislativas y acuerdos bilaterales permitieron su detención y posterior extradición.

—

### 3. Detalles Técnicos

El grupo operado por Sandu empleaba técnicas avanzadas para la época, como el uso de kits de phishing personalizados y troyanos bancarios desarrollados ad hoc. Entre los CVE explotados se encuentran vulnerabilidades en navegadores y sistemas operativos como CVE-2009-3129 (relacionada con Internet Explorer) y CVE-2010-2568 (Windows Shell). Los vectores de ataque incluían:

– Correos electrónicos de spear phishing dirigidos a empleados de banca y a usuarios con alto valor económico.
– Sitios web fraudulentos clónicos de entidades bancarias.
– Infección mediante malware de tipo banker y keyloggers.

El análisis de TTPs (Tactics, Techniques, and Procedures) sitúa las actividades del grupo en las matrices MITRE ATT&CK T1566 (Phishing), T1059 (Command and Scripting Interpreter), y T1071 (Application Layer Protocol). En cuanto a herramientas, se han detectado variantes de Zeus y SpyEye, así como el uso de frameworks como Metasploit para pruebas de explotación.

Los Indicadores de Compromiso (IoC) identificados incluyen dominios C2 alojados en países de Europa del Este, direcciones IP asociadas a servidores bulletproof y hashes de malware únicos empleados en los ataques iniciales.

—

### 4. Impacto y Riesgos

Según el Departamento de Justicia de EEUU, la campaña de Sandu y sus colaboradores comprometió más de 40.000 cuentas bancarias y causó pérdidas económicas superiores a 15 millones de dólares. El impacto no fue meramente financiero: se generó una oleada de fraude secundario y robo de identidad, afectando la confianza del sector financiero en los sistemas de banca online.

La persistencia de los ataques y su evolución tecnológica supusieron un riesgo elevado para las infraestructuras críticas bancarias, con especial incidencia en la exposición de credenciales y la vulnerabilidad de servicios de autenticación de dos factores aún inmaduros en ese periodo. El uso de infraestructuras de anonimización y servidores bulletproof dificultó la atribución y el takedown de la infraestructura maliciosa.

—

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar riesgos similares, los equipos de seguridad deben implementar:

– Monitorización continua de correos electrónicos y sistemas mediante soluciones EDR y SIEM.
– Campañas de concienciación y formación anti-phishing para empleados y usuarios.
– Despliegue de autenticación multifactor robusta en todos los accesos críticos.
– Segmentación de redes y revisión periódica de políticas de acceso privilegiado.
– Actualización de sistemas y aplicaciones, corrigiendo CVE históricas aún presentes en algunos entornos legacy.
– Integración de inteligencia de amenazas para identificar IoC y TTP emergentes.

—

### 6. Opinión de Expertos

Analistas en ciberseguridad subrayan que este caso demuestra la necesidad de colaboración internacional y la importancia de la atribución forense. “La extradición de Sandu representa un precedente en la lucha contra la impunidad del cibercrimen transfronterizo”, señala Ana Beltrán, CISO de una entidad bancaria española. Por su parte, expertos del Centro Criptológico Nacional advierten sobre la persistencia de amenazas similares, enfatizando la importancia de la detección temprana y la respuesta coordinada ante incidentes.

—

### 7. Implicaciones para Empresas y Usuarios

Las empresas, especialmente las del sector financiero, deben reforzar sus estrategias de defensa en profundidad, no solo desde el punto de vista tecnológico sino también procedimental y legal. La reciente entrada en vigor de la Directiva NIS2 y el endurecimiento de sanciones bajo el RGPD amplifican las consecuencias de la falta de diligencia en la protección de datos y la gestión de incidentes. Para los usuarios, la educación sobre amenazas y la adopción de buenas prácticas digitales son esenciales para reducir la superficie de ataque.

—

### 8. Conclusiones

La extradición de Gavril Sandu tras 17 años de investigaciones refleja la determinación de las autoridades internacionales para combatir el cibercrimen, así como la evolución de las capacidades técnicas y legales para perseguir estos delitos. El caso subraya la necesidad de aplicar medidas preventivas, invertir en inteligencia de amenazas y fomentar la cooperación global para proteger tanto a empresas como a usuarios frente a campañas persistentes y sofisticadas.

(Fuente: www.securityweek.com)