No mundo digital, Diogo Santos Coelho tinha vários nomes. Utilizou-os para criar aquele que foi o maior fórum de piratas informáticos do mundo, onde mais de 10 mil milhões de dados roubados foram postos à venda. Mas a dimensão do que criou chamou a atenção dos serviços secretos norte-americanos e agora arrisca passar mais de 52 anos numa prisão do outro lado do Atlântico
Nunca foi de dar nas vistas. Reservado e solitário, poucos o conheciam até mesmo na sua própria terra. Mas, numa rua sem saída nos arredores de Viseu, trancado no interior do seu quarto, Diogo Santos Coelho criou um império no submundo da internet onde a sua palavra era lei. Com apenas 14 anos, lançou na dark web as fundações daquele que se viria a tornar, segundo as autoridades, “o maior fórum de hackers do mundo”, colocando-o na mira dos serviços secretos norte-americanos.
Filho de pais divorciados, Diogo viveu a maior parte da vida com o pai na sua terra natal de Abraveses, no concelho de Viseu. Nos cafés e na escola que frequentou ninguém o conhece, apenas “ouviram falar” do jovem da terra que foi detido no Reino Unido. Mas para quem se aventurava na internet em busca de ferramentas para hackear sites, para comprar, vender ou encomendar dados roubados, os nomes “Omnipotent”, “Kevin Maradona”, “Shiza” ou “Downloading” eram bem conhecidos. Era com eles que o jovem, que viria a ser diagnosticado com autismo, se dava a conhecer na dark web.
Diogo não chegou a concluir os estudos. Era novo, mas já tinha outros planos. Inicialmente, o RaidForums, a plataforma que ajudou a criar, tornou-se popular entre hackers de todo o mundo que procuravam encontrar clientes para os dados que tinham acabado de roubar. Bases de dados, acessos a dispositivos, contas bancárias, credenciais de acesso a sites ou até mesmo informação pessoal de indivíduos, incluindo nomes, moradas, emails e números de segurança social. Tudo era colocado à venda na plataforma.
Com a popularidade e a dimensão do site, vieram novas formas de fazer dinheiro. De repente, novos subfóruns foram criados com o propósito de solicitar a compra e a venda de acesso a dispositivos alheios. Mais recentemente, acreditam as autoridades americanas, a plataforma voltou a transformar-se, tornando-se num local onde as pessoas podiam contratar terceiros para cometer intrusões ou até mesmo vender meios sofisticados para o fazer.
Dinheiro, muito dinheiro
As autoridades acreditam que Diogo Santos Coelho fez muito dinheiro com este sistema que ajudou a criar. Apesar de não ser acusado de estar envolvido em alguns dos maiores roubos de dados que foram colocados à venda na plataforma, o jovem criou um sistema de filiação, que obrigava os membros do fórum a comprar créditos no site, que eram utilizados para fazer as compras. Ao todo, as autoridades acreditam que os piratas fizeram mais de 400 milhões de euros com a venda de dados roubados no RaidForums.
Os investigadores americanos acreditam que Diogo obteve muito dinheiro com o serviço de mediação da venda de dados roubados com criptomoedas. O jovem hacker português oferecia-se para verificar a veracidade do conteúdo dos ficheiros roubados antes de o comprador enviar o dinheiro para os comprar. Assim que as duas partes estivessem satisfeitas, a transação era completa e Diogo recebia uma comissão pré-determinada.
Reservado, raramente cometia erros. Foi mesmo preciso um esforço concertado dos serviços secretos norte-americanos (USSS) e da polícia federal (FBI) para conseguir aceder à base de dados do RaidForums. Em junho de 2018, quando tinha 18 anos acabados de fazer, Diogo viajou para os Estados Unidos. Quando chegou ao aeroporto de Atlanta, foi confrontado por um agente da alfândega e disse à polícia que trabalhava como programador e que era dono de um site, mas não o identificou. A polícia acabou por negar-lhe a entrada no país por considerar que o jovem não tinha fundos suficientes para a estada no país e confiscou os seus dispositivos eletrónicos.
O que encontraram intrigou ainda mais as autoridades. No seu telemóvel, além dos emails que recebia do sistema do RaidForums, estava também a sua conta do sistema de mensagens Discord, onde se veio a descobrir que contactava com potenciais clientes, com o username Omnipotent, que as autoridades tinham identificado como líder do site.
Um endereço de email também saltou à vista dos investigadores. Este email estava ligado a vários outros endereços utilizados para gerir diretamente o site, como o contacto de recuperação de conta de utilizadores ou o contacto de informação. Além disso, este email estava ligado a uma conta de Paypal e de Cartão de Crédito, que estava em nome do pai do Diogo, que veio a receber milhares de euros em dinheiro de “créditos” vendidos no site.
A queda de um império
Sem acesso ao seu computador e ao telemóvel, Diogo escreveu um email à polícia norte-americana para pedir de volta os seus pertences. Só que cometeu um erro. Diogo utilizou um endereço associado ao seu username “Omnipotent”. Na comunicação, confirma às autoridades vários dados pessoais, incluindo que é conhecido online por “Omnipotent”, e envia uma cópia do seu cartão de identificação. Esta informação levou a que as autoridades descobrissem que Diogo tinha uma conta na corretora de criptomoedas Coinbase, que foi utilizada para receber dinheiro dos serviços prestados como intermediário de negócios no RaidForums. Quando acabou por ser detido, as autoridades encontraram mais de meio milhão nestas contas.
Todos estes crimes, defendem as autoridades norte-americanas, foram cometidos em solo português. De acordo com a acusação, a que CNN Portugal teve acesso, os serviços secretos americanos, juntamente com o FBI, utilizaram os metadados de mais de 60 fotografias tiradas pelo jovem durante o ano de 2017 para identificar a sua localização exata.
A informação batia certo com os dados fornecidos pelo próprio Diogo. Tudo apontava para uma moradia relativamente isolada, nos arredores de Viseu. O endereço de IP utilizado pelas contas do Diogo era o mesmo. Era nesta localização que todos os usernames utilizados pelo jovem demonstraram atividade. A polícia chega mesmo a dizer que todos eles ligados no mesmo endereço em simultâneo.
Foi quanto baste para as autoridades americanas se infiltrarem nos canais de comunicação do jovem, particularmente nas redes de mensagens Discord e Telegram. Lá, as autoridades apanharam Diogo a gabar-se várias vezes dos valores que conseguia obter. Num desses casos disse mesmo que só se dignava a hackear alvos que lhe dessem muito dinheiro. “Eu só hackeio coisas que me deem muito dinheiro… Vou vender estes dados no meu site e receber cerca de 30 mil euros por isso…”, disse o jovem de Viseu numa conversa que manteve com outros elementos do site, segundo a investigação.
Numa dessas ligações, o jovem acabou por comunicar com um outro utilizador, que na verdade era um agente do FBI à paisana, para lhe dizer que tinha à venda 2,3 milhões de números de contas de cartões de pagamento, moradas e números de telefone associados aos cartões obtidos num golpe contra vários hotéis norte-americanos. O agente mostrou-se interessado. Sem se aperceber, Diogo preparava-se para vender 1,1 milhão de dispositivos de acesso roubados a um agente do FBI em troca de perto de 3.600 euros em bitcoin.
Luta contra o tempo
Toda esta máquina acabou por ser desmantelada e, segundo as autoridades, foi definitivamente deitada abaixo no dia 25 de fevereiro, dois dias depois de Diogo completar 22 anos. Foi preso no Reino Unido, em Croydon, para onde viajou para visitar a mãe que tinha sofre da doença de Huntington, que causa a morte das células do cérebro. Atualmente, Diogo está com pulseira eletrónica a cumprir prisão domiciliária no seu apartamento em Vauxhall, no sul de Londres. É acusado dos crimes de conspiração, fraude no acesso a dispositivos e roubo de identidade agravado, por ser o principal suspeito de criar e administrar o RaidForums.
Um tribunal em Richmond, no Estado da Virgínia, pediu a extradição do jovem para os Estados Unidos, onde arrisca uma pena de prisão de 52 anos. A justiça britânica aceitou o pedido, mas a defesa do hacker recorreu, alegando que o jovem foi diagnosticado com autismo e que corre o risco de pôr fim à sua própria vida caso seja enviado para cumprir sentença numa prisão americana. Prestes a fazer 24 anos, arrisca ficar atrás das grades até aos 76 anos.
Por esse motivo, as equipas de defesa de Diogo Santos Coelho estão numa luta contra o tempo para tentar evitar este desfecho. Para isso, os advogados que representam o hacker em Portugal, estão a tentar fazer com que o Ministério Público emita um mandado de detenção para que venha a responder pelos crimes que alegadamente cometeu no próprio país. No entanto, a CNN Portugal sabe que o Ministério Público recusou o requerimento, por achar que Portugal não tem competências para julgar o jovem, uma vez que as empresas lesadas são, na sua maioria, norte-americanas.
Por um lado, defendeu a procuradora, apesar de Diogo estar fisicamente em Portugal, os alegados crimes tiveram efeito nos EUA, sendo, por isso, este o país competente para os julgar. A defesa fez, no entanto, no final de dezembro de 2023 uma reclamação hierárquica à procuradora responsável pelo DIAP, Branca Almeida Lima, alegando que o Código Penal prevê que possam ser de competência nacional os crimes com efeitos noutro país, mas praticados "a partir de Portugal" - o que argumenta ter sido o caso. Ao mesmo tempo, os advogados avisam que a posição do DIAP coloca em causa "a soberania do Estado português". A reclamação aguarda resposta.
