Zachary Shames, un estudiante universitario de 21 años, se declaró culpable de haber desarrollado un software malicioso bajo la categoría de keylogger, que luego comercializó para que sus clientes pudieran robar información sensible como contraseñas y credenciales bancarias. Logró venderlo a 3 mil personas que lo usaron para infectar más de 16.000 computadoras, y es por eso que el viernes pasado aceptó los cargos de ayuda e incitación a intrusiones informáticas.

Sucedió en Viginia, Estados Unidos, y según el comunicado del Departamento de Justicia del país, Shames desarrolló las versiones iniciales del keylogger mientras asistía a la escuela secundaria. Luego continuó modificándolo y comenzó a venderlo en forma ilegal desde su dormitorio en la universidad James Madison University, hasta que la policía llegó con una orden de allanamiento en marzo de 2016.

Como consecuencia, será sentenciado el 16 de junio y se enfrenta a una pena máxima de 10 años en prisión.

Según documentos judiciales que publicó The Register, Shames vendía su keylogger vía PayPal a 25 dólares, aunque algunos agentes del FBI lo encontraron en el mercado underground por 40 dólares o menos. Además de robar credenciales y registrar las pulsaciones del teclado de sus víctimas, las reenviaba a un sitio web llamado limitlessproducts.org, que daba nombre al producto.

También trataba de cifrarse para esconderse de los antivirus, ofuscando el código de manera que no coincida con una detección; las instrucciones para usarlo y cifrarlo se proporcionaban en videos que los investigadores encontraron en YouTube.

Pero Shames registró el dominio del sitio web con su nombre, dirección y correo electrónico reales; también usó el mismo mail para concretar ventas desde una cuenta de PayPal que llevaba su nombre y para responder consultas de soporte. Naturalmente, estos datos ayudaron al FBI a dar con él.