Le pusieron los grilletes mientras cerraba una operación de venta de datos de la Dirección General de Tráfico y de la Inspección Técnica de Vehículos de Asturias en la que pedía 13.000 dólares (unos 12.140 euros). La operación transcurría en un aula de FP tecnológica. Este alumno es uno de los dos detenidos por la Guardia Civil en Asturias y Sevilla como responsable de más de un centenar de ciberataques a empresas públicas y privadas, entre las que están los Ayuntamientos de León o Salamanca y Diputaciones como la de Málaga o Jaén, pasando por el Servicio Cántabro de Salud. Su principal objetivo era vender estos datos en foros utilizados por cibercriminales. También se les atribuyen otros ciberasaltos a entidades fuera de nuestras fronteras, como al Ministerio de Salud de Perú o al Poder Judicial del Estado de Tlaxcala en México. Tenían un gran interés por los datos de farmacia, según ha informado la Guardia Civil este viernes. De hecho, intentaron vender una base de datos de una red de farmacias de una capital española con datos de 250.000 personas.
“Esta operación demuestra la madurez del ecosistema del cibercrimen, también en España”, concluye el teniente coronel de la Guardia Civil, Juan Sotomayor, jefe del departamento contra el cibercrimen. Los arrestos se produjeron en octubre, pero los investigadores han tardado meses en desentrañar y recopilar los indicios de todos los ciberataques por los que tendrán que rendir cuentas en el juzgado. Las detenciones se producen con gran sigilo para que las pruebas no desaparezcan, ya que mucha de la información que manejan los sospechosos suele estar alojada en servidores que pueden ser borrados por terceras personas o quedar inactivos si no se accede a ellos en un periodo de tiempo. Los arrestados, con una franja de edad entre 18 y la veintena, se conocían físicamente y se complementaban en los ciberataques. Uno era más hábil en programación y el otro en las técnicas de vulnerabilidad de los sistemas, apuntan fuentes conocedoras de la operación, denominada Oceansx.
No fue sencillo llegar hasta ellos, reconoce el mando de la Guardia Civil. Habían advertido su presencia hacía unos años y les siguieron la pista con un “juego de pequeñas evidencias” especialmente complejo. “Realizamos una carrera de fondo para ponerles nombres y apellidos y una vez que se produce el arresto llega el sprint”, añade Sotomayor. En esa carrera tuvieron que asegurar todos los indicios en unas pesquisas en las que las pruebas no están a la vista, sino en la red.
#OperacionesGC | Detenidas dos personas por un centenar de ciberataques a organismos de la Administración Pública y entidades privadas
➡️Mediante el análisis de trazabilidad de los datos se relacionó con multitud de ciberataques a un actor conocido como “GUARDIACIVILX”
➡️Han… pic.twitter.com/edFwoXCtKS— Guardia Civil (@guardiacivil) June 28, 2024
Los arrestados usaban una quincena de alias, como 9bands, banz9, TheLich, Crystal_MSF, OUJA, unlawz o teamfs0ciety. Una de ellas, GUARDIACIVILX, resultaba especialmente llamativa. Con este nombre ofertaban las credenciales de acceso a servicios remotos y correos electrónicos corporativos y también disponían de cuentas de criptodivisas a las que supuestamente llegaron los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente. Durante la investigación, la Guardia Civil ha colaborado con otras agencias policiales como el FBI, para investigar el alcance transnacional de las acciones de los investigados en instituciones del continente americano, especialmente en países de habla hispana.
Los datos o los accesos a los servidores de estas entidades eran supuestamente vendidos al mejor postor en zocos virtuales en los que concurren todo tipo de interesados en comprar información para delinquir, bien sea para secuestrar los servidores y pedir rescates a las empresas o instituciones propietarias o para enviar mensajes masivos con los que engañar a sus víctimas asegurándoles que han secuestrado a sus hijos o hacerse pasar por el banco y conseguir datos confidenciales que les lleven hasta los ahorros de la víctima. Cuanta más información logren, más facilidad tendrán para cometer este tipo de delitos. “Ante estas situaciones, es muy importante desarrollar el sentido común digital”, aconseja el teniente coronel, que recuerda tener presente la posibilidad de que nuestros datos hayan sido usurpados. Consultar con las personas de nuestro entorno, sobre peticiones de información inesperadas, también puede ayudar para invocar ese sentido común digital. “Si ya el mal está hecho y han conseguido nuestra información, el segundo consejo sería denunciar”, añade Sotomayor.
Los arrestados ingresaron en prisión provisional, por orden del juzgado de instrucción número 2 de Grado (Asturias) ante el riesgo de destrucción de pruebas y unos meses después quedaron en libertad con cargos y pendientes del resto de la instrucción del caso. En este tipo de causas, las empresas y entidades afectadas tienen la posibilidad de presentar acciones contra los investigados.
En la investigación, desarrollada por agentes del Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil, además de la autoridad judicial, ha colaborado la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI) y otras agencias internacionales.
_
