PrincipiantedetencionesZeusBogachevbotnetFBImediático

Evgeniy Bogachev: El Creador de Zeus y el Hacker Más Buscado del FBI

La historia de Evgeniy Mikhailovich Bogachev, creador del troyano bancario Zeus y de la botnet GameOver Zeus, el cibercriminal más buscado del FBI con una recompensa de 3 millones de dólares que lleva más de una década sin ser capturado.

MalwareIntel Research··9 min lectura
Serie: Malware y Personajes que Hicieron Historia — Parte 9

El hombre de los 3 millones de dólares

En la lista de los más buscados del FBI hay asesinos, narcotraficantes, terroristas. Y desde 2014, un programador ruso de Anapa, una ciudad turística en el Mar Negro: Evgeniy Mikhailovich Bogachev.

La recompensa por información que lleve a su arresto: 3 millones de dólares. La más alta jamás ofrecida por un cibercriminal. El FBI lo describe como "el cibercriminal más buscado del mundo".

Su crimen: crear Zeus, el troyano bancario más exitoso de la historia, y su sucesor GameOver Zeus, una botnet peer-to-peer que controló más de un millón de ordenadores y robó cientos de millones de dólares de cuentas bancarias en todo el mundo.

Y a pesar de la recompensa, las sanciones, y la presión diplomática, Bogachev sigue libre. Probablemente leyendo esto desde su casa en Anapa, si es que le interesa.

Zeus: el troyano que definió una era

Origen (2006-2007)

Zeus (también conocido como Zbot o ZeuS) apareció por primera vez en 2007, aunque hay indicios de versiones tempranas en 2006. Fue el troyano bancario más influyente jamás creado, y su código estableció el estándar para toda una generación de malware financiero.

Zeus funcionaba como un "banker trojan": se instalaba en el ordenador de la víctima (generalmente a través de phishing o drive-by downloads) y esperaba a que el usuario accediera a su banco online. Entonces:

  1. Inyección web (web injects): Zeus modificaba las páginas web bancarias en el navegador de la víctima en tiempo real. Podía añadir campos extra ("por seguridad, introduzca su número de tarjeta completo"), modificar las cantidades de transferencias, o mostrar páginas falsas.

  2. Keylogging: Capturaba todas las pulsaciones de teclado.

  3. Form grabbing: Interceptaba los datos de formularios web antes de que fueran enviados al servidor (incluido el cifrado SSL).

  4. Screenshot: Tomaba capturas de pantalla, especialmente útil cuando los bancos usaban teclados virtuales como medida de seguridad.

El modelo de negocio del crimeware

Lo que hizo a Zeus verdaderamente revolucionario no fue solo su funcionalidad técnica, sino su modelo de distribución. Bogachev (operando bajo los alias "lucky12345" y "slavik") vendía Zeus como un kit de herramientas ("crimeware kit") a otros criminales:

  • Precio: Entre 3.000 y 4.000 dólares por una licencia básica
  • Extras: Módulos adicionales a precios variables (inyecciones web personalizadas, backdoors VNC, funcionalidad de rootkit)
  • Soporte: Bogachev proporcionaba actualizaciones y soporte técnico a sus "clientes"
  • Personalización: Cada comprador podía configurar Zeus para atacar los bancos que quisiera, con inyecciones web específicas por entidad

Este modelo multiplicó exponencialmente el impacto de Zeus. No era un solo criminal atacando bancos: eran cientos de grupos criminales en todo el mundo, cada uno operando su propia instancia de Zeus contra diferentes bancos en diferentes países.

La filtración del código fuente (2011)

En 2011, el código fuente de Zeus se filtró públicamente. Esto tuvo consecuencias enormes:

  • Cualquier criminal con conocimientos técnicos podía crear su propia versión
  • Surgieron variantes como Citadel, ICE IX, KINS y muchas otras
  • El ecosistema de troyanos bancarios se expandió exponencialmente
  • Paradójicamente, también permitió a los investigadores de seguridad entender mejor la amenaza

GameOver Zeus: la evolución

De cliente-servidor a P2P

Mientras sus "clientes" usaban Zeus estándar, Bogachev desarrolló una versión privada y superior: GameOver Zeus (GOZ).

La diferencia fundamental era la arquitectura. Zeus original usaba servidores de comando y control (C2) centralizados, que podían ser decomisados por las fuerzas del orden. GameOver Zeus utilizaba una arquitectura peer-to-peer (P2P): cada ordenador infectado se comunicaba con otros ordenadores infectados, eliminando puntos centrales de fallo.

Esto hacía a GameOver Zeus extremadamente resiliente. No había un servidor que apagar. La red se autorreparaba si se perdían nodos.

Las capacidades adicionales de GOZ

GameOver Zeus iba más allá del robo bancario:

  • DDoS: Podía lanzar ataques de denegación de servicio contra los bancos de las víctimas para crear confusión mientras se procesaban transferencias fraudulentas
  • CryptoLocker: GameOver Zeus fue el principal vector de distribución de CryptoLocker, uno de los primeros ransomware modernos exitosos
  • Espionaje: Según fuentes de inteligencia, Bogachev utilizaba GameOver Zeus para buscar documentos clasificados en ordenadores de víctimas en Georgia, Turquía y Ucrania, aparentemente al servicio de la inteligencia rusa

La escala de la operación

En su apogeo, GameOver Zeus controlaba entre 500.000 y un millón de ordenadores infectados. Las pérdidas financieras documentadas:

  • Más de 100 millones de dólares solo en EEUU
  • Un caso individual documentó el robo de 6,9 millones de dólares de una sola empresa
  • Múltiples casos de robo de nóminas completas de empresas medianas
  • Transferencias fraudulentas a cuentas controladas por redes de "mulas de dinero" en todo el mundo

Operation Tovar: el desmantelamiento (2014)

La operación internacional

En junio de 2014, una operación coordinada entre el FBI, Europol, NCA del Reino Unido y fuerzas policiales de más de 10 países desmanteló la infraestructura de GameOver Zeus y CryptoLocker.

La operación, bautizada como "Operation Tovar", fue técnicamente innovadora:

  1. Sinkholing P2P: Los investigadores infiltraron la red P2P de GameOver Zeus y redirigieron el tráfico a servidores controlados por las fuerzas del orden
  2. Decomiso de dominios: Se decomisaron los dominios de backup que GOZ usaba como failsafe
  3. Notificación masiva: Se notificó a cientos de miles de víctimas a través de sus ISPs

Simultáneamente, el Departamento de Justicia de EEUU presentó cargos contra Bogachev.

Los cargos contra Bogachev

La acusación formal incluía:

  • Conspiración
  • Fraude informático
  • Fraude bancario
  • Fraude electrónico
  • Lavado de dinero
  • Robo de identidad

Se emitió una orden de arresto federal. El FBI ofreció una recompensa de 3 millones de dólares.

¿Por qué sigue libre?

La protección rusa

La explicación más aceptada de por qué Bogachev no ha sido arrestado es la protección del estado ruso. Múltiples reportajes e investigaciones han documentado indicios de que Bogachev colaboraba con la inteligencia rusa:

La búsqueda de documentos. Investigadores descubrieron que GameOver Zeus, además de robar datos bancarios, buscaba documentos con palabras clave relacionadas con inteligencia: "confidencial", "secreto", nombres de agencias de inteligencia, términos militares. Los resultados de estas búsquedas no iban a las operaciones de fraude, sino a servidores separados.

Los objetivos geopolíticos. Los países donde GOZ buscaba documentos (Georgia, Turquía, Ucrania) coincidían con los intereses estratégicos de Rusia.

La no extradición. Rusia no tiene tratado de extradición con EEUU. Pero más allá de la ausencia legal, hay una práctica: Rusia no detiene a cibercriminales rusos que no atacan intereses rusos y que, presumiblemente, cooperan con sus servicios de inteligencia.

La vida en Anapa

Según reportajes del New York Times y otros medios, Bogachev vive abiertamente en Anapa, una ciudad turística en el Mar Negro. Ha sido visto con un yate y un coche de lujo. No se esconde. La recompensa de 3 millones de dólares del FBI no parece preocuparle mientras permanezca en territorio ruso.

Impacto y legado

Zeus como padre del crimeware moderno

Zeus estableció paradigmas que dominan el cibercrimen actual:

  • Crimeware-as-a-Service: El modelo de vender herramientas de ataque a otros criminales es ahora la norma (Ransomware-as-a-Service, Stealer-as-a-Service)
  • Web injects: La técnica de modificar páginas web en el navegador sigue siendo utilizada por troyanos bancarios modernos
  • Redes de mulas: El sistema de transferir dinero robado a través de intermediarios ("mulas") se profesionalizó con Zeus
  • Actualizaciones y soporte: La idea de que un malware tenga "soporte técnico" para sus operadores se normalizó

Descendientes de Zeus

El código de Zeus dio lugar a una familia extensa:

  • Citadel: Versión mejorada con cifrado AES y evasión de antivirus
  • ICE IX: Fork con panel de control mejorado
  • GameOver Zeus: La versión P2P de Bogachev
  • Terdot: Variante moderna con capacidades de espionaje
  • Sphinx/Panda Banker: Variantes activas durante años

El caso como ejemplo de la relación crimen-estado

El caso Bogachev se ha convertido en el ejemplo paradigmático de cómo ciertos estados (no solo Rusia) toleran o protegen a cibercriminales a cambio de su cooperación en operaciones de inteligencia. Esta relación simbiótica complica enormemente la persecución del cibercrimen internacional.

Lecciones aprendidas

1. El crimeware-as-a-service multiplica el impacto

Un solo desarrollador brillante (Bogachev) creó la herramienta que permitió a cientos de grupos criminales robar cientos de millones de dólares. El modelo de distribución fue más dañino que el malware en sí.

2. Las arquitecturas P2P resisten takedowns

GameOver Zeus demostró que una botnet P2P es significativamente más difícil de desmantelar que una basada en C2 centralizados. Operation Tovar requirió años de planificación y coordinación internacional.

3. La geopolítica limita la justicia

Mientras los cibercriminales operen desde jurisdicciones que no cooperan con la justicia internacional, las recompensas y las acusaciones formales son simbólicas. La cooperación judicial internacional es el eslabón más débil de la cadena.

4. El code leak amplifica la amenaza

La filtración del código fuente de Zeus en 2011 multiplicó la amenaza de forma exponencial. En ciberseguridad, un solo código fuente filtrado puede generar un ecosistema entero de amenazas derivadas durante décadas.

Estado actual (2026)

Bogachev

Sigue libre en Rusia. La recompensa de 3 millones de dólares sigue vigente. No hay indicios de que su situación vaya a cambiar mientras las relaciones entre EEUU y Rusia sigan deterioradas.

En 2016, Bogachev fue incluido en las sanciones del gobierno de Obama contra Rusia por interferencia electoral, lo que sugiere que la comunidad de inteligencia de EEUU tiene evidencia de su cooperación con el estado ruso más allá del cibercrimen financiero.

El legado de Zeus

Los descendientes técnicos de Zeus siguen activos en el ecosistema de amenazas. Aunque los troyanos bancarios han perdido protagonismo frente al ransomware, las técnicas de web inject y form grabbing pioneras de Zeus continúan siendo utilizadas.

Recursos y referencias

  • FBI Most Wanted: "Evgeniy Mikhailovich Bogachev" (ficha activa con recompensa de $3M)
  • DOJ (2014): "U.S. Leads Multi-National Action Against 'Gameover Zeus' Botnet and 'Cryptolocker' Ransomware"
  • Krebs on Security (Brian Krebs): Múltiples artículos sobre Bogachev y Zeus/GOZ (2011-2025)
  • New York Times (2017): "The Russian Hacker Who Was Also a Spy" (perfil de Bogachev)
  • Symantec: "Zeus: King of the Bots" (análisis técnico)
  • Dell SecureWorks: "GameOver Zeus: Analysis of a P2P Botnet" (whitepaper técnico)
  • MITRE ATT&CK: Software S0386 (Zeus)

Preguntas frecuentes

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.