De la investigación preliminar de la Policía Criminal Central se desprende que la policía relacionó la filtración de datos con la ayuda de una «huella digital».
Acusado de violación de datos de Vastaamo y extorsión relacionada Alexander Kivimäki, de 26 años, acabó siendo el principal sospechoso de la policía debido a la dirección IP que utilizó. En la misma dirección se visitó la base de datos de Psykoterapikeskus Vastaamo, se realizaron compras en el sitio web de Onlyfans y se reservó el Hotellihuone Kämpsi.
Las autoridades conectaron a Kivimäki con la violación de datos mediante una «huella digital».
En el momento de la filtración de datos, se accedió al servidor del Centro de Psicoterapia Vastamo con la misma dirección IP que, según la policía, utilizaba Kivimäki.
La base de datos del mostrador también se encontró en el servidor utilizado por la empresa de Kivimäki, que se alquilaba con la tarjeta de crédito de Kivimäki.
Disputar
Material de investigación preliminar policial
Durante la investigación preliminar, se descubrió que cuatro inicios de sesión en el servidor que contiene la base de datos de pacientes se realizaron desde la dirección IP utilizada por Kivimäki utilizando la clave SSH única conectada a él.
Una clave SSH es un determinado tipo de huella digital, cuya finalidad es identificar al usuario que inicia sesión en el servicio y verificar que tiene acceso al servicio en cuestión.
Durante los inicios de sesión, se procesó y buscó en la base de datos. Además, la dirección IP en cuestión se utilizó para iniciar sesión en el servidor de Vastaamo con la misma clave SSH al mismo tiempo que también se conectaba la red Tor y se publicaba información allí.
Según la investigación preliminar, la dirección IP conectada a Kivimäki había sido utilizada por él entre mayo y octubre de 2020. La dirección estaba conectada a Kivimäki en función de su actividad.
La reserva de hotel para Kämpi se realizó utilizando los datos personales de Kivimäki. Kivimäki volvió a utilizar el perfil de Onlyfans que utilizaba la misma dirección IP tras una solicitud de información. Kivimäki admitió que utilizó el servicio, pero no quiso comentar más al respecto.
El propio Kivimäki niega ser el autor del crimen.
Series y películas vistas en el ordenador.
En los interrogatorios, Kivimäki afirmó que utiliza servicios VPN, en cuyo caso también hay otros usuarios con la misma dirección IP. Según la policía, la dirección IP en cuestión no es la dirección VPN de ningún proveedor de servicios.
Material de investigación preliminar policial
Aleksanteri Kivimäki llevaba una vida móvil antes de su encarcelamiento. En los informes de sus interrogatorios se mencionan Londres, Emiratos Árabes Unidos, Kiev, Barcelona, Francia y Dubai. No recordaba todas las direcciones donde se había alojado. Durante los interrogatorios, dijo que posee criptomonedas.
Cuando se le preguntó sobre los dispositivos informáticos, Kivimäki dijo que sólo tiene un teléfono. Kivimäki dijo que usaba computadoras Mac y, a veces, Linux. En su apartamento de Londres, dijo que tenía «algunos servidores», que contenían principalmente películas y series.
Henri Kärkkäinen
– Tenía un Macbook, a principios de año, en el que veía la serie, pero sufrió un desafortunado accidente con un vaso. Hace mucho tiempo que no hago nada en el ordenador más que ver series y televisión, afirmó.
Kivimäki dijo que no tiene ninguna otra posesión física aparte de la ropa. Dijo que posee equipos informáticos, pero según sus propias palabras, no tiene idea de dónde se han ido.
– Hay bastantes en la tienda, así que es un poco de lo que cabe en la bolsa, dijo Kivimäki.
Director general
Kivimäki dijo que es el director ejecutivo de una empresa llamada Scanifi LLC. Según Kivimäki, el objetivo de la empresa era realizar evaluaciones de riesgos para las compañías de seguros que venden seguros cibernéticos a empresas.
Material de investigación preliminar policial
El objetivo era realizar un producto que monitoree las vistas de los dispositivos de las empresas en Internet y sus actualizaciones.
– El objetivo era recopilar datos históricos sobre los clientes de las compañías de seguros, qué tan bien se instalan las actualizaciones de software en los dispositivos visibles en Internet y si hay algún servicio que no debería estar disponible en Internet. Las compañías de seguros podrían haber monitoreado qué tan bien han gestionado la seguridad de la información y evaluado los riesgos de seguro a partir de los datos históricos.
La policía encontró un volcado de base de datos, o datos, utilizados para extorsionar a Vastaamo en un servidor alquilado por Scanif. Según Kivimäki, esto le sorprendió. Los veinte servidores utilizados por Scanifin se pagaron con la tarjeta de crédito de Kivimäki.
«Sé algo»
INKA SOVERI
Aleksanteri Kivimäki no supo caracterizar sus habilidades en tecnología de la información durante los interrogatorios. Dijo que sabe usar una computadora, pero no programar.
– Puedo hacer algo en la computadora. Casi no programo nada. Sé cómo usar una computadora, no me gusta mucho la programación o el desarrollo de programación, eso es problema de otras personas.
Dijo que sabe cómo realizar pequeños cambios en los programas existentes, según el lenguaje de programación. Desde el principio no construye ni desarrolla programas, según sus propias palabras.
– Siempre he dicho que será más fácil contratar a otra persona para que lo haga que dedicarle tiempo yo mismo.
Kivimäki afirmó durante los interrogatorios que considera que las acusaciones son infundadas. Niega haber hackeado el servidor de Vastaamo, robado, extorsionado o filtrado la información encontrada allí. Kivimäki afirma que también conoce personalmente a las víctimas de la violación de datos.
– Creo que es un truco bastante tonto, respondió Kivimäki a la pregunta sobre la publicación de la base de datos de pacientes.
LEER TAMBIÉN
Cronología de una violación de datos
Vastaamo sufrió una violación de datos del 25 al 26 de noviembre de 2018, en relación con la cual se sospecha que toda la base de datos actual de pacientes de Vastaamo se filtró a manos de un tercero.
28.09.2020 Se envió una carta de chantaje al mostrador, exigiendo un rescate a cambio de no publicar la información del paciente.
Cuando no se pagó el rescate, la información del paciente comenzó a publicarse en Internet el 21 de octubre de 2020.
El 23 de octubre de 2020, el extorsionador publicó accidentalmente en línea un archivo que contenía parte de la base de datos de pacientes durante unas horas.
El 24 de octubre de 2020, se enviaron cartas de extorsión a los clientes de la recepción exigiendo un rescate por la eliminación de los datos de los pacientes.
Durante el chantaje, el sospechoso compartió información del paciente en la oscura red Tor. La información de los pacientes también se compartió en un foro de discusión llamado Ylilauta.