Lo que no te cuentan: Julius Kivimäki: El Hacker que Arruinó 33.000 Vida
Hilo sobre el día que un hacker de 17 años con 50.000 delitos recibió una palmada, luego destruyó 33.000 vidas privadas y salió de prisión porque "ya estuvo mucho adentro".
# Lo Que No Te Cuentan: Julius Kivimäki extorsionó a 33.000 pacientes de terapia y salió de la cárcel porque "ya estuvo mucho tiempo dentro"
Un adolescente de 17 años con 50.000 delitos informáticos recibió una palmada en la muñeca. Luego hackeó las notas de psicoterapia de 33.000 personas. Extorsionó a cada una. Provocó suicidios. Y en septiembre de 2025, la corte lo liberó. Porque había pasado "demasiado tiempo" en prisión preventiva.
Julius Kivimäki nació el 22 de agosto de 1997.
A los 14 años, ya era "Zeekill". Miembro de Lizard Squad. Un grupo de "matones online" que se dedicaba a tumbar servidores, robar tarjetas de crédito y hacer "swatting" —llamar a la policía con amenazas falsas para que armados irrumpieran en casas de víctimas.
A los 17, un tribunal finlandés lo declaró culpable de más de 50.000 ciberdelitos. Incluyendo brechas de datos, fraude de pagos y operación de una botnet global.
La sentencia: dos años suspendidos. Una palmada en la muñeca. Una advertencia que no leyó.
La anomalía de la impunidad adolescente
En 2014, Kivimäki y Lizard Squad lanzaron un ataque DDoS masivo contra PlayStation Network y Xbox Live. El día después de Navidad. Millones de usuarios sin poder jugar.
El motivo: publicitar su servicio de DDoS-for-hire. El ataque era marketing. El marketing, crimen. Y el crimen, publicidad.
Ese mismo año, Kivimäki llamó con una amenaza de bomba contra John Smedley, presidente de Sony Online Entertainment. Un avión de American Airlines aterrizó de emergencia.
La respuesta judicial: nada. Ya tenía sentencia suspendida. Ya era «inimputable» por edad. Ya era intocable.
"A los 17, Kivimäki tenía 50.000 delitos y cero consecuencias. Eso no es justicia. Es incubación."
El archivo de las notas de terapia
En 2018, Kivimäki hackeó Vastaamo.
Una cadena de clínicas de psicoterapia privada en Finlandia. La mayor del país.
Accedió a las notas de tratamiento de 33.000 pacientes. Entre noviembre de 2018 y marzo de 2019.
No las vendió. No las publicó de golpe. Las usó como arma.
En 2020, exigió 450.000 euros en bitcoin a la empresa. Vastaamo se negó a negociar.
Entonces, cambió de estrategia.
Envió correos electrónicos individuales a cada paciente. Exigiendo 200 euros. Que subirían a 500 si no pagaban en 24 horas.
Meri-Tuuli Auer fue una de las víctimas. Recibió el correo amenazando con publicar sus notas de terapia más íntimas.
La primera ministra Sanna Marin convocó una reunión de emergencia. El escándalo fue nacional. Internacional. Humillante.
Vastaamo quebró. El CEO fue despedido y condenado. Algunos pacientes se suicidaron.
Y Kivimäki, en algún lugar del mundo, cobraba.
La fauna urbana del fugitivo de lujo
Kivimäki no se escondió en un sótano.
Vivió en Saint-Tropez, sur de Francia. Tenía residencia permanente en Londres. Pasó tiempo en Kiev, Ucrania. En Emiratos Árabes Unidos. En Barcelona.
Mientras 33.000 personas temían por sus secretos más íntimos, él tomaba el sol en la Costa Azul.
Interpol emitió una Notificación Roja en octubre de 2022.
Lo arrestaron en febrero de 2023. En París. Durante una llamada por violencia doméstica. Usaba documentos de identidad falsos. Vivía bajo nombre falso.
La policía respondió a una disputa de pareja. Encontró a uno de los hackers más buscados del mundo.
El expediente del error que lo delató
Kivimäki cometió un error técnico que no esperabas de alguien con su historial.
No enmascaró su dirección IP.
No usó VPN. No usó Tor. No usó proxy. Conectó directamente.
Las autoridades rastrearon "ransom_man" hasta él. Su cuenta bancaria mostraba pagos recibidos durante la actividad de ransom_man.
Un hacker de 50.000 delitos. Que vivía en Saint-Tropez. Que había evadido a Interpol durante años.
Y lo atraparon porque olvidó lo básico.
"La ironía definitiva: el hacker que extorsionó a 33.000 personas por su privacidad, perdió la suya por no usar una VPN de 5 euros al mes."
La sentencia que no fue sentencia
En abril de 2024, el Tribunal de Distrito de Länsi-Uusimaa lo condenó a seis años y tres meses.
Por violación agravada de datos. Por más de 21.000 intentos de extorsión agravada. Por casi 9.600 invasiones agravadas de privacidad. Por 20 casos de chantaje agravado.
Anunció que apelaría.
En septiembre de 2025, el Tribunal de Apelaciones de Helsinki lo liberó.
No porque fuera inocente. No porque la condena fuera anulada.
Porque había pasado «demasiado tiempo» en detención preventiva. Porque en Finlandia, los delincuentes primerizos pueden solicitar libertad condicional tras cumplir la mitad de la condena. Y Kivimäki, según su abogado, ya había superado esos límites.
"Seis años por 33.000 víctimas. Liberado por tiempo cumplido. Y las víctimas, todavía pagando."
El giro polémico
Aquí está el truco que nadie menciona: Kivimäki no fue liberado por un fallo legal. Fue liberado porque el sistema no sabe cómo castigar crímenes que no dejan sangre.
Traducción: violar 33.000 mentes no es asesinato. Extorsionar a pacientes de terapia no es robo a mano armada. Provocar suicidios no es homicidio. En el código penal, los delitos digitales son abstracciones. Y las abstracciones, en prisión, se convierten en tiempo reducido.
La ironía definitiva: Kivimäki recibió más años por tumbar PlayStation en Navidad que por destruir 33.000 vidas privadas. Porque el sistema entiende el daño a una corporación. No entiende el daño a la privacidad.
"Kivimäki no es un hacker. Es un experimento de qué tanto puede hacerse impunemente cuando la víctima no sangra físicamente."
La pregunta que no te dejará dormir
Si supieras que tus notas de terapia están en manos de alguien que ya salió de prisión, ¿seguirías confiando en cualquier sistema que prometa "confidencialidad"?