Más de 8 millones de euros en tarjetas regalo: la increíble historia de Kvashuk, el ingeniero ucraniano que se hizo rico estafando a Microsoft

Volodymyr Kvashuk recibió su código por valor de 15 dólares unas semanas antes de Navidad, en 2017, entre un lote de otros 20 por valor de 300 dólares en total (más de 250 euros). Pero el ingeniero, que se hacía llamar Vova para abreviar y tenía unos 20 años, no había pagado él mismo las tarjetas de regalo de Xbox, ni eran un regalo navideño anticipado de sus familiares. Kvashuk acababa de empezar a trabajar a tiempo completo en la sede de Microsoft en Redmond, en Washington, EEUU, para probar la infraestructura de comercio electrónico de la empresa. Esta es la historia, contada extensamente por Austin Carr, periodista de Bloomberg, de cómo Kvashuk se hizo rico a costa de engañar a Microsoft.

Su equipo se centraba en simular compras en la tienda online de Microsoft buscando fallos en el sistema de pagos. Esto significaba hacer muchas compras ficticias en la tienda. Si Kvashuk añadía un PC Dell a su cesta de la compra, utilizaba una tarjeta de crédito falsa que le había proporcionado Microsoft, completaba la transacción y documentaba cualquier error. El sistema sabía que la compra era falsa y no le entregaba el dispositivo en la puerta de su casa. Al menos eso era lo que se suponía que debía ocurrir.

Entonces, Kvashuk encontró un error que le cambiaría la vida, un fallo tan estúpidamente obvio que no se atrevió a informar a sus responsables. Se dio cuenta de que cada vez que probaba las compras de tarjetas regalo, la Microsoft Store dispensaba códigos reales de 5x5. 

A este joven de 28 años le pagan por pasar 40 horas a la semana jugando a videojuegos y capturando 'gameplays': así es su día a día

Kvashuk empezó con algo pequeño, generando tarjetas Xbox en incrementos de 10 a 100 dólares. Pero su botín aumentó rápidamente. Cuando los agentes federales le atraparon, casi dos años después, había robado más de 152.000 tarjetas regalo de Xbox por valor de 10,1 millones de dólares, más de 8 millones de euros, y vivía de las ganancias en una casa de siete cifras frente a un lago. Para entonces, ya tenía planes de comprar un chalet de esquí, un yate y un hidroavión. El pasado noviembre, un juez le condenó a nueve años de prisión.

En un momento dado, Kvashuk, que no ha respondido a las reiteradas peticiones de Bloomberg de comentarios, estaba canjeando tantos códigos 5x5 que los fiscales dijeron que era el único responsable de las fluctuaciones globales del precio de las tarjetas de regalo de Xbox en los mercados de revendedores. Cuando los precios bajaban demasiado, retenía su suministro con la esperanza de que la sequía hiciera subir el mercado. "Se trataba de un delito de la vieja escuela con un modus operandi de alta tecnología", dice Michael Dion, el abogado principal del gobierno contra Kvashuk.

Microsoft ha dejado claro cómo va a destronar a Sony y Nintendo en la guerra de consolas

Kvashuk llegó a Estados Unidos desde Ucrania en 2015 para asistir a la boda de su tía Alla, que se casaba con un dentista del sur de California. La parte estadounidense de su nueva familia quedó encantada con su robusto aspecto y su impecable inglés, y con lo bien que se adaptó a la vida del país. La madre del novio, Carole Lynn, recuerda a Kvashuk saboreando el sol en Newport Beach y experimentando "la alegría de probar el surf y ponerse un traje de neopreno. Era como: 'Esto es el sueño americano".

Ivan Zvaryka, un antiguo compañero de universidad que se mantenía en contacto con Kvashuk a través de Skype, dice que el choque cultural era inevitable. "Venir de un país postsoviético a uno moderno como Estados Unidos o Canadá puede hacerte sentir como si estuvieras en una película o en un juego de ordenador", dice. "Perder tanto la conexión con la realidad es realmente extraño". En agosto de 2016, Kvashuk consiguió un trabajo como ingeniero de software en una empresa contratada por Microsoft para desarrollar su tienda online. Se mudó a una habitación de 150 metros cuadrados en el Norman Arms, un envejecido complejo de apartamentos en Seattle no muy lejos de la Universidad de Washington. Su alquiler era de1.300 dólares (algo más de 1.000 euros), es decir, 150 dólares más que el salario mensual de su padre dando clases en Ucrania.

En Microsoft, Kvashuk le pareció al ex ingeniero superior un hombre arrogante para ser un empleado de tan bajo nivel. Parecía deleitarse en un entorno competitivo en el que sus compañeros de trabajo competían por inventar "the next big thing", como Kvashuk expresó más tarde en su testimonio ante el tribunal. "Tendría que utilizar cada neurona de mi cerebro para poder crear algo excepcional y poder competir con todos esos genios", declaró. "Es como en la película Matrix, ya sabes, tienes que elegir la píldora azul o la roja".

"Si yo tengo un 50% de descuento, ellos tienen un 25%. Todo el mundo gana excepto Microsoft"

Trabajó desde su apartamento de Seattle ese otoño enmascarando su tráfico de Internet dirigiéndolo a través de servidores en Japón y Rusia. Tras realizar pedidos de prueba, aparecieron inmediatamente docenas de códigos de tarjetas regalo por valor de 1.600 euros, luego de 3.300y, finalmente, mucho más. Uno de sus primeros canjes, probablemente para confirmar que las tarjetas de regalo robadas realmente tenían valor y que su estafa realmente funcionaría, fue para una descarga de cerca de 150 euros de Microsoft Office.

En enero de 2018, Kvashuk construyó un programa informático, PurchaseFlow.CS, para agilizar las cosas. Con unos pocos clics en la aplicación, podía seleccionar una denominación de tarjeta de regalo (30, 75, 100), la salida de moneda (dólares estadounidenses, euros, libras esterlinas) y el número deseado de compras. Los fiscales dijeron más tarde que el programa fue "creado con un solo propósito: automatizar la malversación y permitir el fraude y el robo a escala masiva".

En el momento en que Kvashuk inició su estafa, el banco virtual de la empresa facilitaba cientos de millones de dólares en transacciones. ¿Se daría cuenta alguien de que una parte de ellos desaparecía? Filas y filas de códigos 5x5 llenaban las hojas de cálculo de Excel gracias a su aplicación de malversación. (Esa descarga de Office de cerca de 150 euros demostró que merecía la pena; una versión impresa de su hoja de Excel llena de códigos sumaría 2.344 páginas). Kvashuk estaba finalmente listo para hacer un gran retiro de dinero.

Un programa para robar a gran escala

El anuncio era tentador. Tarjetas regalo de Xbox en denominaciones de 30, 50 y 75 dólares, con un descuento aproximado del 55%. Para los compradores extranjeros, el vendedor ofrecía cinco monedas más, incluyendo yenes japoneses y dólares australianos. "Busco un socio comercial", decía el anuncio, prometiendo una respuesta en 15 minutos o menos. "Empezamos a comerciar, yo te doy el código. Si estoy en línea, es instantáneo".

Kvashuk operaba bajo el nombre de Grizzled Wolf en Paxful.com, un mercado líder en el intercambio de tarjetas regalo por criptodivisas, normalmente Bitcoin. La plataforma es popular entre los compradores y vendedores a gran escala que realizan el trueque a través de mensajes de chat. Paxful retiene la criptomoneda en custodia hasta que se acuerda el intercambio. "Necesito 75 euros", escribió Makoo, un comerciante bien capitalizado que decía tener su sede en China y cuya foto de perfil era la de una chica sonriente haciendo el signo de la paz. Makoo pidió 300 tarjetas Xbox a Grizzled Wolf por valor de 27.848 dólares (más de 22.000 euros). En ese momento, Paxful no exigía identificaciones gubernamentales verificables, lo que permitía a los usuarios permanecer en el anonimato. No se pudo contactar con Makoo para que hiciera comentarios.

Incluso después de esta importante transacción, Kvashuk quiso vender más. "Podemos aumentar el volumen", le dijo a Makoo. Siguieron operaciones más grandes con otros comerciantes agresivos y muchos más pagos de Bitcoin llegaron a las criptocarteras de Kvashuk. Makoo y otro usuario de Paxful representaron más de 5 millones de euros en transacciones de tarjetas de regalo de Microsoft.

"Un montón de mis amigos en el autobús escolar jugaban a la Xbox, así que compraba estos códigos a este distribuidor en Paxful con un gran descuento, y luego los revendía a mis amigos, todavía con un gran descuento", explica Avsterbone, también conocido como Avi Rachlin, un usuario de Paxful que ahora tiene 19 años y estudia Negocios en la Universidad de Penn State. "Si yo obtengo un 50% de descuento, ellos obtienen un 25%. Todo el mundo gana, excepto, como sabemos ahora, Microsoft". Un portavoz de Paxful dice que Kvashuk era perjudicial para la plataforma y que la empresa cooperó con los fiscales. Desde entonces, Paxful ha reforzado sus normas de acceso y ha mejorado su tecnología contra el blanqueo de dinero.

Entre su trabajo diurno en Microsoft y su pluriempleo como ladrón, Kvashuk se dedicaba a mirar la sección "House Styles That Americans Love" de BobVila.com, según el tráfico de Internet obtenido por los fiscales. Compró un Tesla Model S rojo por cerca de 150.000 euros y luego una moderna casa de más de un millón de euros a juego en el lago Washington con un muelle para barcos. Un agente involucrado en esta última transacción dice que Kvashuk dijo que ganaba mucho dinero comerciando con Bitcoin y que solo quería comprar una casa frente al mar en efectivo. "Te quiero", escribió en un correo electrónico, junto con una captura de pantalla de la escritura de la propiedad, a Diana, que pronto se tomaría selfies soleados en Instagram en la terraza junto a la chimenea.

"Si empiezan a rastrearme, me iré sin más"

El negocio seguía funcionando, pero Kvashuk empezó a tener problemas con su suministro. Por alguna extraña razón, algunos códigos 5x5 dejaban de funcionar cuando los compradores intentaban canjearlos en línea. Avsterbone, el estudiante de secundaria, exigió un reembolso y cortó el contacto; le dijo a Grizzled Wolf que había telefoneado al número de atención al cliente de Microsoft y que le habían advertido de que las tarjetas regalo habían sido denunciadas como robadas. Grizzled Wolf devolvió el dinero, proporcionó nuevas tarjetas regalo a otros clientes y culpó a su "proveedor" de los códigos "muertos".

5 juegos gratis para este fin de semana: 'Control', 'Fallout 76', 'FIFA 21' y más

En marzo, los investigadores de Microsoft descubrieron actividades irregulares en dos cuentas de prueba internas asignadas a empleados del equipo de la tienda de Microsoft. Se enteraron de que las cuentas ya habían engullido más de 5 millones de euros en códigos que se vendían en Paxful y otros sitios. Pusieron las cuentas de prueba en la lista negra, pero unos días después una tercera cuenta empezó a comprar códigos. Esa cuenta (contraseña: $tore123) consiguió robar más de un millón de euros en tarjetas regalo de Xbox en 26 horas antes de que Microsoft la bloqueara también.

Los investigadores interrogaron a los empleados que estaban detrás de esas cuentas de prueba, que parecían víctimas aturdidas, no delincuentes, según un informe del 17 de abril. Microsoft determinó que un programa de pruebas llamado Fiddler, que los empleados utilizaban para presentar informes de errores, contenía datos que divulgaban los inicios de sesión de los probadores. Cualquiera con acceso a Fiddler podría haber hackeado las cuentas, lo que sugiere que algún otro empleado o contratista podría ser el responsable. El equipo de FIST recurrió a Andrew Cookson, que se había encargado de investigaciones sobre malas prácticas de los empleados de Microsoft durante casi 15 años. Cookson, un veterano detective de la unidad de delitos informáticos de Scotland Yard, no tardó en dar con un nuevo sospechoso: Volodymyr Kvashuk.

Los 26 juegos más potentes del E3 que salen en 2021

Cuatro semanas después, Microsoft despidió a Kvashuk. Para ser un ingeniero aparentemente sofisticado, había cometido muchos errores de novato. Aunque ocultó su uso de Internet a través de servidores internacionales, por ejemplo, utilizó distraídamente el mismo ordenador con sistema operativo Linux, con la misma versión anticuada del navegador Firefox, para cometer el robo, metadatos que permitieron a Microsoft relacionarlo con el delito. Los investigadores incluso descubrieron que la licencia de Microsoft Office que compró al principio de su estafa estaba registrada en una cuenta administrativa de SearchDom, su empresa.

'Starfield' se deja ver en E3 2021: 9 detalles que debes saber sobre el esperado juego de rol espacial de Bethesda

Él y Diana siguieron viviendo lujosamente en su nueva casa. Daban paseos en barco por Mercer Island y se iban de vacaciones a Hawái. Una foto de Instagram de diciembre de 2018 muestra a Kvashuk sosteniendo un cóctel en el Cliff Dive Bar, cerca de Maui, no mucho después de conseguir otro trabajo en la división digital del Sinclair Broadcast Group, con sede en Seattle. Un compañero de trabajo de Sinclair recuerda a Kvashuk como una persona "cálida" y "colaboradora", con un "comportamiento muy relajado", que parecía un técnico más. 

El 16 de julio de 2019, los agentes federales, que habían llevado a cabo su propia investigación sobre Kvashuk después de que Microsoft les remitiera el caso, allanaron su apartamento frente al lago. Kvashuk se sentó en el sofá con las piernas cruzadas mientras registraban el lugar, descubriendo un tesoro de pruebas incriminatorias, como claves de criptobilletes, cuadernos con información de cuentas bancarias, unidades USB repletas de códigos 5x5 robados y montones de dinero en efectivo, incluidos más de 4.000 dólares en el bolso de Diana.

El título de su última lista: "Cómo administraré mis próximos 10 millones".

En febrero de 2020, los fiscales federales del Distrito Oeste de Washington llevaron a Kvashuk a juicio por lavado de dinero, robo de identidad y fraude electrónico y postal, así como por presentar declaraciones de impuestos falsas. El hallazgo de memorias USB llenas de códigos 5x5 en el domicilio de Kvashuk fue "el equivalente, en un caso de atraco a un banco, al hallazgo de bolsas con dinero robado en el dormitorio del acusado", dijo Dion, el fiscal principal. 

Los abogados de Kvashuk argumentaron que su cliente no tenía intención de estafar a nadie. Había generado los códigos de las tarjetas regalo para ayudar a la empresa, porque cuantos más regalos diera Xbox, más popular sería la plataforma, aumentando el gasto general. Así que, según su lógica, ¿por qué no regalar decenas de miles de tarjetas de regalo de Xbox para comprobar si, de alguna manera, eso aumentaba la participación y las ventas en el futuro?

Los 12 juegos clave de la conferencia de Xbox y Bethesda del E3 2021

El juez y el jurado consideraron ridícula su defensa y lo declararon culpable de todos los cargos. Es probable que sea deportado a Ucrania después de cumplir su condena en prisión, que se prolonga hasta marzo de 2027. Tendrá que pagar una indemnización de más de 6 millones de euros.

Una de las alegaciones más ingeniosas de Kvashuk era que las tarjetas regalo no eran dinero real y que no le costaban nada a Microsoft porque "no generaban ninguna transacción". El argumento no prosperó en el tribunal, donde Dion subrayó que la gran casa de Kvashuk no se compró con "dinero del Monopoly". Al fin y al cabo, Microsoft pagaba la factura.

Puedes leer el reportaje completo de Bloomberg pulsando aquí.