Condenan al hacker que chantajeó con desvelar sus secretos a 33.000 pacientes de psicoterapia
El finlandés Julius Kivimäki, que comenzó su carrera de pirata informático siendo menor, pasará más de seis años en prisión por vulnerar la privacidad de los pacientes. Varios de ellos se suicidaron al conocerse sus confesiones en consulta.
Se llama Julius Kivimäki y era uno de los cibercriminales más buscados de Europa. Acaba de ser condenado a seis años y tres meses de prisión en Finlandia por haber filtrado información de 33.000 pacientes que acudieron a psicoterapia en su país, personas que confiaron en la privacidad entre médico y paciente para contar sus traumas y que se vieron en la disyuntiva de pagar por evitar que se hicieran públicos o soportar que todo el mundo conociera sus secretos más íntimos.
Siendo menor, Kivimäki ya comenzó su carrera como hacker informático, hasta que irrumpió en las bases de datos de la mayor empresa de psicoterapia de Finlandia, Vastaamo, y obtuvo los registros de sus pacientes. Después de que fracasara su intento de extorsionar a la empresa, envió un correo electrónico directamente a los pacientes, amenazando con revelar lo que habían dicho a sus terapeutas. La prensa local sostiene que hay "varios" suicidios constatados de personas que no soportaron la presión de verse expuestas.
El juicio contra el joven concluyó la pasada semana y ha sido el mayor caso penal de la historia de Finlandia, debido al número tan elevado de víctimas. "Lo principal es que este delincuente despiadado y absolutamente carente de empatía sea condenado a prisión", afirmó a la BBC Tiina Parikka, una de las afectadas. "Después de esto surgen pensamientos sobre lo breve que es la condena, si se compara con el número de víctimas", añadió. "Pero esa es la ley finlandesa y debo aceptarla".
El joven, de 26 años, mantuvo su inocencia en todo momento, a pesar de que había escapado a París, donde fue arrestado con una identidad falsa, supuestamente rumana. Fue pura suerte: la policía llamó a su casa tras un aviso de violencia doméstica que, en realidad, provenía de otro apartamento de su bloque y, al identificarlo, detectó la mentira y lo identificó en las bases de datos europeas de delincuentes. Durante el juicio, también desapareció durante más de una semana, después de negarse a que el tribunal lo llevara de nuevo a prisión.
Los jueces, al final, lo declararon culpable de todos los cargos y describieron su chantaje como "aprovecharse despiadadamente de la debilidad especial de otra persona". "Teniendo en cuenta la posición de Vastaamo como empresa que ofrece servicios de salud mental, Kivimäki causó un gran sufrimiento o el riesgo de sufrirlo a las partes interesadas", se lee en el veredicto.
La sentencia puso fin a una ola de delitos cibernéticos que comenzó cuando el condenado tenía apenas 13 años. Kivimäki, conocido en línea como Zeekill, fue un miembro clave de múltiples bandas cibernéticas de adolescentes que causaron caos entre 2009 y 2015. Fue arrestado en 2013, cuando tenía 15 años, y se le impuso una sentencia juvenil suspendida sin privación de libertad de dos años. Rápidamente se le vinculó con nuevos ataques llevados a cabo por bandas de adolescentes antes de desaparecer durante años. Las críticas por la laxa actuación judicial de entonces ha sido también motivo de debate encendido en el país nórdico.
Huella por una foto y criptomonedas para tirar
Su nombre se relacionó con el hackeo de Vastaamo de 2020, después de que los expertos identificaran rasgos de Kivimäki en el ataque. El joven exigió a la empresa un rescate de unos 400.000 euros, pero cuando la compañía se negó a pasar por el aro, el pirata envió un correo electrónico a miles de pacientes pidiendo 200 euros por cabeza y amenazando con publicar sus historias y datos personales en las redes oscuras de internet. Finalmente lo hizo, incluso en la veintena de casos de personas que sí pagaron, agobiadas. No se sabe aún si publicar los nombres de los 33.000 pacientes de golpe fue un error de cálculo o puro enfado, pero lo cierto es que los casos salieron y aún hoy se pueden localizar online.
Un error que cometió el propio hacker fue lo que llevó a la policía a encontrar un tesoro de información en un servidor que pertenecía a Kivimäki. Un análisis forense digital sin precedentes -se usó una foto suya en redes sociales, bajo nick, para lograr su huella digital- y el seguimiento de criptomonedas también ayudaron a asegurar la condena.
Los pacientes que han declarado en el juicio han hablado de episodios de angustia y crisis de ansiedad por el caso, de recaídas a causa de esa exposición ante todo el mundo, de problemas de salud mental agudizados por todo esto, cuando esperaban ir a terapia precisamente para superarlos.
El jefe de la empresa Vastaamo, Ville Tapio, también ha sido condenado por no proteger los datos confidenciales de sus clientes. Las investigaciones han determinado que las bases de datos eran vulnerables y estaban abiertas en internet sin la protección adecuada. El año pasado le impusieron una sentencia suspendida de tres meses de prisión. La empresa, que una vez fue un negocio exitoso y de gran prestigio en Finlandia, colapsó después del ataque.
A pesar de la condena, el caso Vastaamo no ha terminado, ya que es probable que ahora comiencen procesos en tribunales civiles en un intento de obtener una compensación para algunas de las víctimas del ataque.
