En clase, y vendiendo un acceso a los datos de la DGT
Dos jóvenes arrestados en Sevilla y en Asturias están acusados de más de un centenar de ciberataques a empresas públicas y privadas de España y América Latina
Le pusieron los grilletes mientras cerraba una operación de venta de datos de la Dirección General de Tráfico y de la Inspección Técnica de Vehículos de Asturias en la que pedía 13.000 dólares (unos 12.140 euros). La operación transcurría en un aula de FP tecnológica de grado superior. Este alumno es uno de los dos detenidos por la Guardia Civil en Asturias y Sevilla como responsable de más de un centenar de ciberataques a empresas públicas y privadas, entre las que están los Ayuntamientos de León o Salamanca y Diputaciones como la de Málaga o Jaén, pasando por el Servicio Cántabro de Salud. Su principal objetivo era vender estos datos en foros utilizados por cibercriminales. También se les atribuyen otros ciberasaltos a entidades fuera de nuestras fronteras, como al Ministerio de Salud de Perú o al Poder Judicial del Estado de Tlaxcala en México. Tenían un gran interés por los datos de farmacia, según ha informado la Guardia Civil este viernes. De hecho, intentaron vender una base de datos de una red de farmacias de una capital española con datos de 250.000 personas.
“Esta operación demuestra la madurez del ecosistema del cibercrimen en España”, concluye el teniente coronel de la Guardia Civil, Juan Sotomayor, jefe del departamento contra el cibercrimen. “Lo vemos todos los días con la campaña de ciberestafas que recibimos en el móvil o en el correo electrónico. Esto es una parte del iceberg que hemos podido sacar a la vista”, añade. Esos mensajes y correos llegan a nuestros dispositivos porque nuestros datos personales han sido robados de empresas o administraciones públicas y vendidos a delincuentes telemáticos.
Los arrestos se produjeron en octubre, pero los investigadores han tardado meses en desentrañar y recopilar los indicios de todos los ciberataques por los que tendrán que rendir cuentas en el juzgado. Las detenciones se practican con gran sigilo para que las pruebas no desaparezcan, ya que mucha de la información que manejan los sospechosos suele estar alojada en servidores que pueden ser borrados por terceras personas o quedar inactivos si no se accede a ellos en un periodo de tiempo. Los arrestados, con una franja de edad entre 18 y la veintena, se conocían físicamente y se complementaban en los ciberataques. Uno era más hábil en programación y el otro en las técnicas de vulnerabilidad de los sistemas, apuntan fuentes conocedoras de la operación, denominada Oceansx.
No fue sencillo llegar hasta ellos, reconoce el mando de la Guardia Civil. Habían advertido su presencia hacía unos años y les siguieron la pista con un “juego de pequeñas evidencias” especialmente complejo. “Realizamos una carrera de fondo para ponerles nombres y apellidos y una vez que se produce el arresto llega el sprint”, añade Sotomayor. En esa carrera tuvieron que asegurar todos los indicios en unas pesquisas en las que las pruebas no están a la vista, sino en la red.
#OperacionesGC | Detenidas dos personas por un centenar de ciberataques a organismos de la Administración Pública y entidades privadas
— Guardia Civil (@guardiacivil) June 28, 2024
➡️Mediante el análisis de trazabilidad de los datos se relacionó con multitud de ciberataques a un actor conocido como “GUARDIACIVILX”
➡️Han… pic.twitter.com/edFwoXCtKS
Los arrestados usaban una quincena de alias, como 9bands, banz9, TheLich, Crystal_MSF, OUJA, unlawz o teamfs0ciety. Una de ellas, GUARDIACIVILX, resultaba especialmente llamativa. Con este nombre ofertaban las credenciales de acceso a servicios remotos y correos electrónicos corporativos y también disponían de cuentas de criptodivisas a las que supuestamente llegaron los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente. Durante la investigación, la Guardia Civil ha colaborado con otras agencias policiales como el FBI, para investigar el alcance transnacional de las acciones de los investigados en instituciones del continente americano, especialmente en países de habla hispana.
Los datos o los accesos a los servidores de estas entidades eran supuestamente vendidos al mejor postor en zocos virtuales en los que concurren todo tipo de interesados en comprar información para delinquir, bien sea para secuestrar los servidores y pedir rescates a las empresas o instituciones propietarias o para enviar mensajes masivos con los que engañar a sus víctimas asegurándoles que han secuestrado a sus hijos o hacerse pasar por el banco y conseguir datos confidenciales que les lleven hasta los ahorros de la víctima. Cuanta más información logren, más facilidad tendrán para cometer este tipo de delitos. “Ante estas situaciones, es muy importante desarrollar el sentido común digital”, aconseja el teniente coronel, que recuerda tener presente la posibilidad de que nuestros datos hayan sido usurpados. Consultar con nuestro entorno sobre peticiones de información inesperadas o sobre las que haya dudas, también puede ayudar para invocar ese sentido común digital. “Si ya el mal está hecho y han conseguido nuestra información, el segundo consejo sería denunciar”, añade Sotomayor.
Los arrestados ingresaron en prisión provisional, por orden del juzgado de instrucción número 2 de Grado (Asturias) ante el riesgo de destrucción de pruebas y unos meses después quedaron en libertad con cargos y pendientes del resto de la instrucción del caso. En este tipo de causas, las empresas y entidades afectadas tienen la posibilidad de presentar acciones contra los investigados.
En la investigación, desarrollada por agentes del Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil, además de la autoridad judicial, ha colaborado la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI) y otras agencias internacionales.
Las empresas y entidades asaltadas
Los ciberataques de los dos arrestados en Asturias y Sevilla han afectado a un centenar de entidades tanto públicas como privadas, como es el caso de la Inspección Técnica de Vehículos de Asturias, o los Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, entre otros. También fueron víctimas la Universidad Autónoma de Madrid, las Diputaciones de Jaén y Málaga y el Servicio Cántabro de Salud. Fuera de nuestras fronteras, las sustracciones de información afectaron al Banco Atlántida (Honduras), al Ministerio de Cultura de Argentina, al Ministerio de Salud de Perú, o al Poder Judicial del Estado de Tlaxcala en México, entre muchas otras.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.