Rui Pedro Gonçalves Pinto era un histérico de la seguridad, un hacker que a sus 30 años dormía con los teléfonos móviles dentro de un microondas para evitar pinchazos y que se escondió a miles de kilómetros de su Portugal natal para quitarse de en medio. ¿Su objetivo? pasar desapercibido tras piratear los servidores de equipos y despachos de abogados que asesoraban a las principales estrellas del fútbol mundial, filtrar los datos a la prensa y que Football Leaks se convirtiera en la mayor revelación de documentos confidenciales que ha habido sobre la trastienda de este deporte en la historia.
Por eso, la sorpresa fue todavía mayor cuando los agentes de la Policía húngara, acompañados por tres de sus homólogos portugueses, le asaltaron en plena tarde en el momento en el que bajaba a hacer la compra en su escondite del centro de Budapest, donde residía desde hacía meses.
Mientras eso se producía, en La Haya, sede de Europol, un agente español aguardaba en una sala junto con los enlaces de las Policías húngara y portuguesa. Buenas noticias. El joven estaba detenido y el objetivo cumplido. Y todo gracias a los datos aportados por la Policía española, obtenidos en el ataque que el joven hacker luso realizó a los servidores del despacho de abogados Senn Ferrero, que representaba entre otros a Cristiano Ronaldo.
El hacker luso Rui Pinto en una imagen de sus redes sociales.
Ataques en España
Según ha podido confirmar este diario, la investigación en España sobre el joven Rui Pinto arrancó en 2015, cuando las primeras noticias publicadas en prensa evidenciaron la intrusión del hacker en el conocido despacho de abogados y fiscalistas, con sedes en Madrid, Bilbao y México. Senn Ferrero era, por ejemplo, el despacho de referencia de los futbolistas representados por el portugués Jorge Mendes, uno de los intermediarios más reconocidos en el mundo del fútbol y quien negoció durante años los contratos de Ronaldo.
El calado de las filtraciones, con documentos oficiales de los contratos y las decisiones finales sobre fichajes, hizo sospechar al mundo del fútbol que los hackers habían accedido de alguna manera al TMS, el sistema de la FIFA en el que todos los clubes tienen obligación de indexar la documentación oficial sobre sus fichajes y traspasos.
Sin embargo, había un elemento que no cuadraba. Las filtraciones hablaban también de estructuras empresariales para pagar menos impuestos, de pactos privados y de operaciones en la trastienda que ahora investiga la Justicia. Y esa información, al menos sobre el papel, no estaba en manos de la FIFA.
Fue entonces cuando los responsables del despacho Senn Ferrero presentaron una denuncia en España y alertaron a las autoridades de que sus servidores de correo habían sido hackeados. El caso, abierto en un juzgado de instrucción de Madrid, quedó en manos de los agentes de Seguridad Lógica, el área de la Brigada Central de Investigación Tecnológica de la Policía Nacional que se encarga de este tipo de delitos informáticos.
Los agentes trazaron las IP de entrada del pirata informático, y en colaboración con los agentes de la UNC3T, el departamento de seguridad informática de la Policía portuguesa, llegaron a la conclusión de que el pirata utilizaba en sus ataques una técnica llamada spear phising. Con ella, Rui Pinto consiguió -según las investigaciones- la información necesaria para realizar un clonado de varios servidores de correo. Así, el hacker podía conocer tanto los correos electrónicos que recibían sus víctimas como todos los que habían abierto y guardado en su base de datos hasta entonces.
Bartomeu y Messi, durante el acto de renovación del argentino con el FC Barcelona
La Policía española le identifica
Fue el 14 de octubre de 2015 cuando los agentes españoles logran trazar la red utilizada por Rui Punto y ponen nombre y apellidos al sospechoso de los ataques. Pronto, la revista portuguesa Sábado fue la primera en hacer pública la identidad del joven, que optó por desaparecer para no ser detenido. Aquellas pesquisas fueron claves para seguir con el caso, ya que los jueces barajaban cerrarlo por falta de datos.
En Portugal, la Policía Judicial investigaba al hacker por acceder presuntamente a los correos electrónicos del Benfica (atacado el 30 de septiembre de 2015), del Sporting Club de Portugal y del fondo de inversión Doyen Sport, propietario de los derechos de algunos de los jugadores portugueses más relevantes.
Así, el 30 de octubre se produce uno de los momentos más comprometidos para el joven investigado. Ese día, la empresa Doyen Sport recibe un correo electrónico, enviado por alguien apodado Artem Luboroz, en el que se les insta a pagar entre medio millón y un millón de euros a cambio de evitar que se publiquen datos confidenciales sobre los contratos de sus jugadores. Tras la denuncia, la Policía portuguesa monta una operación e identifica a un intermediario. Un hombre que según la revista Sábado se llamaba Anibal Pinto.
Es entonces cuando los agentes lusos llegan también a barajar el nombre de Rui Pinto, ya que el joven había sido acusado con anterioridad junto a este intermediario de un presunto desfalco en una entidad bancaria gracias a sus habilidades informáticas.
A Rui Pinto se le imputaon cargos por acceso ilegítimo, por revelación de secretos y por tentativa de extorsión a la empresa Doyen Sport. La firma contrató entonces a una empresa de seguridad privada para localizar al joven hacker. Los contratistas comenzaron a colaborar con los miembros del dispositivo policial hasta dar con el paradero del pirata informático.
Jorge Mendes entra en los juzgados.
Un viaje de los padres llevó a su detención
La investigación de las filtraciones de Football Leaks requería de policías ubicados en distintas demarcaciones de la Unión Europea. Por eso, se creó un grupo de trabajo de Europol que incluía en principio a la Policía portuguesa y española.
Desde el primer momento, los agentes tuvieron la sospecha de que el joven estaba escondido en Hungría, ya que era un país que conocía. Su expediente académico mostró que había pasado un año en el país como Erasmus mientras estudiaba la carrera, por lo que sería lógico que se escondiera allí en un momento dado. Los agentes reclamaron además datos a Estados Unidos sobre la persona que administraba el perfil de Facebook de la cuenta Football Leaks.
Para localizarle, los agentes portugueses mantuvieron a su familia bajo vigilancia. Según adelantó la revista lusa Sábado, esa fue la clave final para dar con el paradero del pirata informático. En plenas navidades, los policías detectaron que la madrastra de Pinto y su padre pensaban volar a Hungría. Sin embargo, el billete no se pagó desde Portugal, sino desde Hungría con un número de teléfono que los agentes no tenían localizado.
Fue entonces cuando los agentes de la Policía judicial portuguesa se marcharon tras los padres del hacker hasta Budapest y cuando la Policía húngara se integró en el equipo de Europol que buscaba al joven. Gracias a un sistema de identificación de IMEI, los agentes pudieron barrer el espectro radioeléctrico y confirmar sobre el terreno que el número de teléfono que investigaban estaba cerca de los padres de Rui Pinto en su visita a la capital de Hungría.
El 15 de enero, la magistrada Patricia Baräo envió una Orden Europea de Detención para que la Policía húngara, en auxilio de su investigación, detuvidera a Rui Pinto a la mayor prontitud. Esa misma tarde, el joven fue apresado cuando salía de su casa a comprar comida y puesto a disposición judicial.
Petición al Tribunal de Derechos Humanos
El día 17 se produjo la vista para la posible extradición del hacker a Portugal. Allí, Pinto está buscado por cinco acusaciones distintas. En España, por el momento está investigado únicamente por un presunto delito de revelación de secretos. El abogado del joven -que defiende también al estadounidense Eduard Snowden- explicó en Berlín a la agencia EFE que para frenar su entrega a Portugal pensaba pedir amparo al Tribunal Europeo de Derechos Humanos argumentando que Rui Pinto había difundido secretos de interés públicos (whistle-blower). El problema del hacker a la hora de ser considerado un testigo a proteger es que el conocimiento de los datos de interés general, según el mismo ha admitido ya, se produjo por medio de procedimientos ilegales.