Algunos de los sitios más sospechosos de internet usan la misma dirección de Islandia

REIKIAVIK, Islandia -- Cerca del puerto en la capital de Islandia, Reikiavik, hay un moderno edificio de oficinas conocido como el hogar de la Faloteca Nacional de Islandia, museo que exhibe 320 especímenes de penes de mamíferos.

Sin embargo, entre quienes se dedican a rastrear delitos cibernéticos, ese edificio también tiene la reputación de ser un refugio virtual en el extranjero para algunos de los peores delincuentes del mundo especializados en el robo de identidad, el cibersecuestro de datos, la desinformación, el fraude y otras conductas maliciosas.

Eso se debe a que la dirección del museo, Kalkofnsvegur 2, también es la dirección registrada de la empresa Withheld for Privacy, que forma parte de una industria floreciente con muy poca regulación en Islandia y en el resto del mundo cuyos servicios les permiten ocultar su identidad a las personas que operan sitios en línea.

Si bien esta práctica es común entre los propietarios de sitios web que desean protegerse de acciones de acoso o de correo basura, también ha ayudado a otros a ocultar su rastro de la mirada de las reguladoras, los cuerpos policiales y sus víctimas.

Withheld for Privacy y otras empresas que ofrecen servidores "proxy", intermediarios o de reenvío para administrar el tráfico en internet, han convertido a Islandia en un centro global de actividad ilícita de dimensiones desproporcionadas para el tamaño del país.

La empresa, creada en 2021 por Namecheap, una de las mayores proveedoras del mundo de sitios web, en realidad ha protegido a miles de sitios de internet sospechosos. Incluso las autoridades locales afirman que han intentado, sin éxito, ponerse en contacto con los representantes de la empresa cuando han surgido problemas.

Un grupo de investigadores de la Universidad de Syracuse que estudian la publicidad política engañosa en Facebook e Instagram descubrieron el museo de penes cuando intentaban rastrear a los propietarios de un sitio web que invirtió 1,3 millones de dólares en anuncios fraudulentos dirigidos a partidarios del expresidente Donald Trump.

El propósito de la estafa era embaucar a las víctimas para que compartieran información de su tarjeta de crédito y se comprometieran, sin saberlo, a efectuar pagos mensuales exorbitantes; la propietaria de Facebook, Meta, suspendió este año los anuncios y bloqueó al dominio responsable de publicarlos.

En internet abundan sitios similares que intentan engañar o estafar a usuarios ingenuos y, si se hace mal uso de los servidores "proxy", se dificulta todavía más capturar o incluso identificar a los delincuentes.

"Es la versión de internet de hacer una seña obscena", explicó Jon Stromer-Galley, ingeniero de software dedicado a trabajo de investigación en el Instituto para la Democracia, el Periodismo y la Ciudadanía de la Universidad de Syracuse.

Withheld for Privacy comparte la dirección del edificio como información predeterminada para sus clientes, por lo que Kalkofnsvegur 2 está asociada con foros en línea utilizados por Patriot Front, un grupo estadounidense defensor de la supremacía de la raza blanca que les vende medicamentos hormonales falsificados a las mujeres trans; con sitios de fraude electrónico que se hacen pasar por empresas como Amazon, Coinbase y Spotify para robarles dinero e información personal a los visitantes; y con campañas de influencia rusas diseñadas para propagar narrativas falsas entre estadounidenses ignorantes.

Las acciones rusas, que Estados Unidos ha vinculado con la administración del presidente Vladimir Putin, incluyen más de 130 medios noticiosos falsos registrados este año por John Mark Dougan, quien trabajó para un alguacil de Florida y ahora vive en Moscú.

Uno de los proyectos más recientes de Dougan fue una entrevista fingida en el sitio web de KBSF-TV en San Francisco, un canal que no existe, en la que se declaró falsamente que la vicepresidenta Kamala Harris lesionó a una niña en un accidente automovilístico del que se dio a la fuga en 2011.

Islandia es un lugar atractivo para las empresas que ofrecen servidores de reenvío principalmente porque cuenta con buenas leyes de privacidad que, según explicaron funcionarios del país, están diseñadas para proteger a los usuarios comunes de los gobiernos autoritarios, no para proteger a personas interesadas en cometer fraudes ni a otros delincuentes.

"Nuestra meta era crear algo que describimos como la Suiza de los datos", comentó Mordur Ingolfsson, quien pertenecía al Parlamento de Islandia y participó en el proceso de promulgación de algunas de las primeras leyes sobre privacidad en internet del país. En vez de eso, lo que ocurrió fue que "se abusó del trabajo que hicimos".

Ni Withheld for Privacy ni Namecheap respondieron a ninguna de nuestras solicitudes de comentarios. "Su servicio consiste únicamente en ocultar quién es el verdadero responsable del tratamiento de datos", señaló Valborg Steingrimsdottir, directora de supervisión de la Autoridad de Protección de Datos de Islandia.

Los dominios de internet, que funcionan como la versión en línea de una dirección postal (mientras que el sitio web es como el edificio que está en la dirección), desde hace tiempo han estado regulados por la organización internacional sin fines de lucro Internet Corporation for Assigned Names and Numbers, conocida como ICANN, creada por el gobierno estadounidense en 1998.

Hasta 2018, cualquier persona que quería usar un dominio debía compartir su información de contacto y dejarla registrada en bases de datos públicas sujetas a búsquedas. El objetivo era darle al público la certeza de que los sitios web eran lo que decían ser.

Pero luego, la Unión Europea aprobó la ley sobre privacidad en línea más severa del mundo, el Reglamento General de Protección de Datos. Sus estipulaciones, que les han dado forma a los estándares globales, le permiten a la mayoría de los registrados proteger su información de contacto. En muchos casos, la protección de servidores "proxy" se convirtió en un elemento preestablecido.

A diferencia de algunos dominios de primer nivel, como la extensión .gov para los sitios del gobierno de Estados Unidos o .is para el de Islandia, quienes se encargan de mantener los dominios más conocidos .com, .org y .net, así como casi todos los demás, son empresas privadas que gestionan los registros. Muchas de ellas, incluida GoDaddy, la mayor de ellas, ofrecen servicios de privacidad para el registro de dominios, en general sin costo, y se ejerce poca presión sobre ellas para que compartan información de clientes que podrían ser problemáticos.

"En una época de crecientes ciberdelitos y preocupaciones en torno a la desinformación", la industria se ha vuelto "muy opaca", afirmó Greg Aaron, presidente de Illumintel, consultora que presta servicios de seguridad y políticas en internet.

Las tecnológicas que no aceptan ninguna responsabilidad cuando sus servicios o productos se utilizan de manera ilícita enfrentan cada vez más reacciones negativas en Islandia y otros países.

La Autoridad de Protección de Datos de Islandia, junto con la fiscalía y la oficina de telecomunicaciones del país, ha abogado por que se adopte legislación que prohíba efectivamente la operación de servicios como los de Withheld for Privacy en Islandia.

"Es necesario cambiar la legislación para poder manejar este problema", opinó Steingrimsdottir.

Namecheap anunció en 2021 que planeaba cambiar su servicio de privacidad de dominios a Withheld for Privacy; antes utilizaba un intermediario ubicado en Panamá. El anuncio indicó que la empresa había seleccionado a Islandia por ser "un país conocido por sus estándares de privacidad".

Withheld for Privacy, al igual que muchos de sus clientes, es una entidad misteriosa cuyas actividades parecen ser confusas por diseño. Está registrada en Kalkofnsvegur 2, según el departamento de impuestos de Islandia, pero no hay ninguna señal externa de que ese servicio ocupe algún espacio en el edificio de seis pisos.

La persona identificada como presidente de Withheld for Privacy es Sergio Raygoza Hernández, originario de México, según los registros públicos que se conservan en el departamento de impuestos en Reikiavik, pero no fue posible localizarlo a él ni a nadie más en el número telefónico ni en la dirección de correo electrónico proporcionados en su sitio web.

ISNIC, empresa privada responsable de regular el dominio .is de Islandia, tampoco ha podido ponerse en contacto con nadie de Withheld for Privacy. Intentaba verificar la identidad de algunas personas interesadas en registrar cinco dominios .is a través de Withheld for Privacy.

El director ejecutivo de ISNIC, Jens Petur Jensen, explicó que la ley faculta a ISNIC para bloquear esos cinco dominios, pero Islandia no tiene ninguna autoridad legal sobre los sitios que usan otros dominios, aunque estén registrados en direcciones del país.

Casi de inmediato después de que Withheld for Privacy se registró en 2021, autoridades de todo el mundo comenzaron a rastrear actividad sospechosa a la dirección Kalkofnsvegur 2.

La Junta de Valores del Estado de Texas presentó una orden de desistimiento ese año contra un sitio registrado en esa dirección, Prestige Assets Management, al que acusó de operar un esquema con el propósito de hacerse pasar por otra empresa y engañar a posibles inversionistas para conseguir que compartieran información delicada de identificación.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, con oficinas en Washington, también emitió una alerta ese año sobre dos sitios de cibersecuestro de datos en la dirección de Reikiavik vinculados con DarkSide, un grupo de ciberataque con sede en Rusia que llevó a cabo un ataque contra un oleoducto estadounidense importante.

También se vinculó a un grupo de sitios ocultos detrás de Withheld for Privacy a una campaña en línea que buscaba calumniar al actor canadiense Simu Liu. Otros sitios incluían estafas aparentes dirigidas a solicitantes de empleo y de apartamentos, aficionados a autos deportivos y músicos, con el propósito de obtener información personal o datos financieros.

Dougan, quien trabajó con el alcalde de Florida y ahora está en Rusia, registró sus dominios nuevos a través de Withheld for Privacy después de que algunos registros de sitios anteriores en Estados Unidos quedaron expuestos como organizaciones noticiosas falsas, según McKenzie Sadeghi, investigadora de NewsGuard, empresa dedicada a rastrear desinformación en línea.

El sitio de noticias falsas televisadas que propagó la noticia falsa sobre el accidente automovilístico de Harris y que Microsoft y el gobierno estadounidense vincularon el mes pasado con el Kremlin, se registró apenas en agosto, según la base de datos de ICANN.

Ese sitio ahora está bloqueado. Dougan se negó a hacer comentarios sobre los sitios registrados en Islandia.

Withheld for Privacy ha registrado alrededor de 35 millones de dominios en el edificio de Reikiavik y se supone que la gran mayoría son usuarios legítimos. Sin embargo, en vista de que ese servicio es un tanto turbio, ha sido más difícil vigilar a los que no son legítimos.

"¿Dónde acaba el uso y comienza el abuso?", preguntó Ingolfsson, quien perteneció al cuerpo legislativo. "Se trata de preguntas difíciles que no hemos podido responder".

Thordur O. Thordarson, quien administra la Faloteca Nacional de Islandia, en Reikiavik, Islandia, el 17 de septiembre de 2024. (Sigga Ella/The New York Times)

El centro de Reikiavik, Islandia, el 17 de septiembre de 2024. (Sigga Ella/The New York Times)