Tiina Parikka estaba a medio vestir cuando leyó el correo electrónico. Era un sábado a finales de octubre de 2020, y Parikka había pasado la mañana organizando planes de aprendizaje a distancia tras un brote de Covid en la escuela donde era directora. Había tomado una sauna en su apartamento en Vantaa, a las afueras de la capital finlandesa, Helsinki, y cuando entró en su dormitorio para vestirse, revisó su teléfono sin pensar. Había un mensaje que comenzaba con su nombre y su número de seguridad social —el código único utilizado para identificar a los finlandeses en sanidad, educación y banca—. "Supe entonces que esto no era un juego", dice.
El correo estaba en finés. Era inquietantemente educado. "Nos ponemos en contacto con usted porque ha utilizado los servicios de terapia y/o psiquiatría de Vastaamo", decía. "Desafortunadamente, tenemos que pedirle que pague para mantener su información personal segura". El remitente exigía 200 euros en bitcoin en 24 horas; de lo contrario, el precio subiría a 500 euros en 48 horas. "Si aún no recibimos nuestro dinero después de esto, su información será publicada para que todos la vean, incluyendo su nombre, dirección, número de teléfono, número de seguridad social y registros detallados que contienen transcripciones de sus conversaciones con los terapeutas o psiquiatras de Vastaamo".
Parikka traga saliva con fuerza al revivir este recuerdo. "Mi corazón latía con fuerza. Me costaba mucho respirar. Recuerdo tumbarme en la cama y decirle a mi pareja: 'Creo que voy a tener un infarto'".
Alguien había pirateado Vastaamo, la empresa a través de la cual Parikka había accedido a psicoterapia. Se habían apoderado de las notas de terapia que contenían sus sentimientos más privados e íntimos y sus pensamientos más oscuros —y las estaban utilizando para chantajearla—. La mente de Parikka se aceleraba mientras intentaba recordar todo lo que había confiado durante tres años de sesiones de terapia semanales. ¿Cómo reaccionaría su familia si supiera lo que había estado diciendo? ¿Qué dirían sus alumnos? La sensación de exposición y violación era insondable: "Se sintió como una violación pública".
La terapia había sido el salvavidas de Parikka. Ahora con 62 años, había tenido tres hijos cuando tenía 25, incluidos gemelos que nacieron extremadamente prematuros en los años 80, pesando solo unos pocos cientos de gramos cada uno. Uno creció con parálisis cerebral; el otro es ciego. Parikka pasó años compaginando emergencias médicas, cirugías y estancias hospitalarias con un trabajo exigente y un matrimonio que se desmoronaba. "Durante esos años, nadie me preguntó a mí, la madre: '¿Cómo estás?'".
Se divorció en 2014 y conoció a su pareja actual un año después. Para entonces, sus hijos eran adultos con vidas independientes. Después de décadas de anteponer las necesidades de todos a las suyas, por fin debería haber podido exhalar. En cambio, tuvo una crisis. "Tenía ansiedad a gran escala recorriendo mi cuerpo todo el tiempo. No podía dormir. Tenía ataques de pánico. No podía comer". Un día, conduciendo a alta velocidad en la autopista, pensamientos oscuros la invadieron. "Pensaba: no me importaría si este coche chocara".
En busca de ayuda urgente, recurrió a Google, lo que la llevó a Vastaamo, la tienda digital integral de Finlandia para personas en busca de psicoterapia. No era necesaria una derivación médica. Consiguió reservar una sesión para el día siguiente. "Fue así de fácil".
Poder confiar en un completo extraño se sintió liberador. Le contó a su terapeuta cosas que nunca le había contado a nadie más. "Traumas en las relaciones. La decepción y la tragedia de tener hijos discapacitados, y la influencia que tuvo en mi vida", dice. "Cosas tontas, cosas infantiles. Es muy humano sentir odio, ira, rabia".
Después de que Parikka leyó el correo que la dejó luchando por respirar, no tenía idea de a dónde acudir en busca de ayuda. Corrió... Llamó a los servicios de emergencia, pero la policía le dijo que colgara; necesitaban mantener la línea libre para emergencias reales. En su bata, con el teléfono aún en la mano, se sintió completamente sola.
Pero Parikka estaba lejos de estar sola. En toda Finlandia, 33.000 personas que habían utilizado Vastaamo estaban descubriendo que un hacker había obtenido sus notas de terapia y las estaba reteniendo para chantajearlas. Estas eran personas que, por definición, probablemente eran vulnerables y necesitaban ayuda. Cada una experimentaba un terror profundamente personal. En un país de solo 5,6 millones de personas, todo el mundo conocía a alguien que había sido hackeado.
Las notas de algunas víctimas ya habían sido seleccionadas y publicadas para que el mundo las viera. Tres días antes de que se enviaran los correos de extorsión, alguien que usaba el alias "ransom_man" publicó en la dark web, en r/Suomi (el subreddit en finés), y en Ylilauta, el equivalente finlandés a 4chan. Esta vez, la publicación estaba en inglés. "Hola colegas finlandeses", comenzaba. "Hemos hackeado la clínica de psicoterapia vastaamo.fi y tomado decenas de miles de registros de pacientes, incluyendo notas de sesión extremadamente sensibles y números de seguridad social. Solicitamos un pequeño pago de 40 bitcoins (nada para una empresa con ingresos anuales cercanos a los 20 millones de euros), pero el CEO ha dejado de responder a nuestros correos. Ahora comenzamos a liberar gradualmente sus registros de pacientes, 100 entradas cada día".
Había un enlace a la dark web, donde ya se mostraban 100 registros. Directamente debajo, ransom_man firmaba la publicación con una sola palabra: "¡Disfruten!".
Los 100 registros incluían los de políticos, policías y figuras públicas prominentes. Sus nombres aparecían junto a notas de terapia que contenían detalles de adulterio, intentos de suicidio, pedofilia y violencia sexual. Algunos de los registros pertenecían a niños. Y quienquiera que estuviera detrás del hackeo cumplió su palabra: al día siguiente, se subieron 100 registros de pacientes más.
Algunas víctimas buscaron desesperadamente en la dark web para ver si sus registros estaban ahí. Algunas pagaron el rescate, esforzándose por conseguir bitcoin mientras el tiempo se agotaba. Los abogados que representan a las víctimas me han dicho que conocen al menos dos casos en los que las personas se quitaron la vida después de descubrir que sus notas de terapia habían sido hackeadas.
Pero para todos ellos, ya era demasiado tarde. A las 2 a.m. del 23 de octubre de 2020 —el día antes de que los correos comenzaran a llegar a decenas de miles de bandejas de entrada—, ransom_man había subido un archivo mucho más grande. Contenía cada registro de cada paciente en la base de datos de Vastaamo. Las notas de terapia de todos ya habían sido publicadas, gratuitamente, para que todo el mundo las viera.
¿Quién estaba detrás del mayor crimen que Finlandia había conocido? ¿Y podrían haber estado motivados por algo más que dinero? Pasé 18 meses tratando de responder estas preguntas, siguiendo pistas por Europa y EE.UU. Culminaron en una visita a una prisión y una de las conversaciones más escalofriantes que he tenido.
Finlandia ha sido clasificada como el país más feliz de la Tierra por la ONU durante los últimos ocho años consecutivos. Líder mundial en cuidado infantil y educación, Finlandia también es famosamente de alta tecnología: es el país más digitalizado de Europa, renombrado por su sector de comunicaciones (como hogar de Nokia) y a la vanguardia en innovación de ciberseguridad e IA. Pero Finlandia también es un lugar de extremos. Tiene más bandas de heavy metal per cápita que cualquier otra nación. En el extremo norte, durante los pocos días alrededor del solsticio de invierno, el sol no sale.
Vastaamo había sido considerado durante mucho tiempo un ejemplo de cómo Finlandia estaba acertando con la tecnología digital. Fundada en 2008 por el empresario Ville Tapio y su madre, Nina, una psicoterapeuta, el objetivo era hacer la terapia accesible para las masas y eliminar el estigma de pedir ayuda. La plataforma facilitaba que las personas vieran quién estaba disponible, dónde y en qué enfoque terapéutico se especializaban. El logotipo tenía... La paleta de colores de un botiquín de primeros auxilios, con letras blancas en una burbuja de diálogo verde. "Vastaamo" significa "un lugar para respuestas". También era una plataforma atractiva para los terapeutas: no tenían que preocuparse por el marketing o la facturación —Vastaamo se encargaba de todo eso—. La empresa incluso proporcionaba una interfaz digital entre bastidores donde los terapeutas podían hacer y almacenar sus notas. Esta fórmula, combinada con la creciente demanda de servicios de terapia, significó que Vastaamo creció rápidamente. Abrió su propia red de alrededor de 20 clínicas en toda Finlandia, empleando a más de 220 psicoterapeutas para 2018, lo que llevó a algunos en Finlandia a referirse a ella como "el McDonald's de la terapia". En los años antes de que Zoom y Teams fueran parte de nuestra vida diaria, la terapia remota que también ofrecía Vastaamo fue revolucionaria. En 2019, una firma de capital privado compró una participación mayoritaria en la empresa, obteniendo la familia Tapio un pago de más de 5 millones de euros.
Meri-Tuuli Auer, de 30 años, describe usar Vastaamo como "como Uber para la terapia —conveniente, accesible, relativamente barato". Eligió a su terapeuta porque ofrecía psicoterapia cognitiva —y le gustó su foto—. "Parecía simpático. Parecía accesible".
La casa de Auer, en las afueras de Helsinki, es un alboroto de rosa. Hay muñecas Barbie, libros de Barbie y bolsos de mano con temática de Barbie en sus estanterías, así como un reluciente coche deportivo descapotable de Barbie. Una barra de pole dance ocupa un lugar privilegiado en el centro de su sala de estar.
"Soy una personalidad mixta", me dice mientras tomamos té en tazas de los Moomins. "Me encanta estar rodeada de gente, pero tengo esa corazonada, esa duda: tal vez todos piensen que estoy llena de mierda, que soy estúpida y fea y que no tengo idea de lo que estoy haciendo". Auer ha luchado con la depresión durante gran parte de su vida. Cuando tenía 18 años, tuvo una relación secreta y difícil con un hombre 29 años mayor que ella, lo que hizo que su autoestima se desplomara aún más. Bebía mucho. "Si no hubiera ido a terapia, no sé qué habría sido de mí. Tal vez hay otro universo donde no llegué a los 30".
La mayor parte del costo del tratamiento de Auer estaba cubierto por el sistema de salud finlandés; ella pagaba solo unos 25 euros por cada sesión semanal. Estaba haciendo grandes progresos. "Después de ir a terapia en 2018 y 2019, había ganado un sentido básico de seguridad. Eso se perdió en 2020".
El CEO de Vastaamo sabía que el registro de pacientes de la empresa estaba siendo chantajeado semanas antes de que sus clientes lo supieran. El 28 de septiembre de 2020, Ville Tapio recibió un correo electrónico exigiendo el equivalente en bitcoin a 450.000 euros para mantenerlo seguro. Los registros de pacientes de muestra adjuntos al correo demostraban que el extorsionador no estaba mintiendo. Tapio llamó a una empresa de ciberseguridad para investigar.
La información médica es un objetivo obvio para los posibles extorsionadores, dice Antti Kurittu, el especialista en seguridad que contrató Tapio. Pero esto era otra cosa: "Lo que sea que le diga a un terapeuta es, por su propia naturaleza, mucho más privado que cuál es mi presión arterial", dice, secamente.
Kurittu solía ser detective, investigando ciberdelitos para la policía finlandesa; dice que insistió en que se les informara sobre el intento de rescate para que pudieran comenzar una investigación paralela. Mientras tanto, comenzó a inspeccionar el servidor de Vastaamo, buscando pistas sobre quién podría estar detrás del hackeo —y una de las primeras cosas que notó fue lo laxa que había sido la seguridad—. "Definitivamente no era adecuado para almacenar este tipo de información", dice. Me cuenta que la base de datos de registros de pacientes era accesible a través de internet; no había firewall y, quizás lo más grave, estaba protegida con una contraseña en blanco, por lo que cualquiera podía simplemente presionar enter y abrirla. Kurittu determinó que quienquiera que hubiera hackeado Vastaamo probablemente solo había estado escaneando internet en busca de cualquier base de datos mal protegida... Los hackers buscaban bases de datos valiosas de las que pudieran beneficiarse. "Probaban varias bóvedas bancarias para ver cuáles estaban desbloqueadas y accidentalmente encontraron esta", explica Kurittu.
Nuestros secretos más privados —cosas que nunca querríamos que se expusieran al mundo— están ahí en línea.
Durante varias semanas, el hacker y Vastaamo se comunicaron por correo electrónico, pero Vastaamo nunca consideró pagar el rescate. Hacerlo significaría confiar en la promesa de un criminal de eliminar los registros. Además, Kurittu señala, va en contra del carácter finlandés. "Los finlandeses podemos ser un grupo terco. No somos conocidos por pagar rescates en silencio o fácilmente, lo cual es un punto de orgullo nacional para mí".
Después de que el hacker, usando el alias "ransom_man", comenzara a filtrar registros de pacientes para presionar a la empresa, Kurittu monitoreó de cerca el servidor utilizado para publicarlos. Sospechaba que la persona detrás del ataque era finlandesa o había vivido en Finlandia durante mucho tiempo, ya que sabía qué nombres notables resaltar de los archivos de pacientes.
Cuando Auer se enteró de la violación de datos, descargó un navegador para acceder a la dark web por primera vez. "Pensé, solo tengo que comprobar si mis registros están ahí", dice. No encontró su nombre en el primer lote publicado y cerró el archivo sin leer los registros de nadie más. Pero vio a otros discutiendo lo que habían visto. "La gente ya había seleccionado lo que pensaban que eran las partes más divertidas de los registros de pacientes. Se reían del dolor de estas personas. Un niño de 10 años había ido a terapia, y a la gente le parecía divertido".
Auer comenzó a entrar en espiral. "Me encerré en casa. No quería salir; no quería que nadie me viera", recuerda. Tenía poca esperanza de que el hacker fuera atrapado. "No es que desconfíe de la policía finlandesa —simplemente parecía una tarea imposible—".
Sin embargo, el archivo mucho más grande que ransom_man había subido a la dark web —que contenía todos los registros de pacientes de Vastaamo— también contenía pistas cruciales sobre su identidad. Los primeros tres lotes de notas de terapia se publicaron manualmente, pero cuando el hacker intentó automatizar el proceso, accidentalmente subió no solo todas las notas de terapia, sino toda su carpeta personal. El archivo estuvo solo brevemente en línea antes de ser eliminado, acompañado de una publicación que decía "whoopsie :D" —pero ransom_man había cometido un error crítico.
"Después de pasar varias tardes con el archivo, tuve la sensación de que había visto algo así antes", dice Kurittu. Los datos en el disco duro personal del hacker no estaban organizados sistemáticamente en carpetas, como uno podría esperar de alguien que ejecuta la extorsión como un negocio. "Tenía esa sensación caótica y apasionada de aficionado". También había algo inquietantemente familiar en la forma infantil en que ransom_man había nombrado algunos archivos (el que contenía todos los datos de los pacientes se llamaba "therapissed").
La mente de Kurittu volvió a 2013, cuando era un sargento detective superior de la policía de Helsinki y los nombres de archivo que había visto en una computadora incautada a un niño de 16 años. "Me hizo pensar en Julius Kivimäki".
Aleksanteri
