Dos jóvenes autodidactas hackearon unas 200 cuentas de organismos públicos y privados

Las fuentes de la investigación consultadas por ABC destacan que se trata de individuos muy especializados, uno más en programación y el otro en técnicas de vulneración de sistemas, que al actuar de forma conjunta y coordinada conseguían que sus ataques fueran de una gravedad y complejidad creciente. «Su objetivo era solo sacar dinero, monetizar sus 'hazañas'; no hay una ideología detrás», recalca el teniente coronel Juan Sotomayor, que dirige el Departamento de Cibercrimen.

Los hackers se habían conocido a través de las redes y estaban en contacto permanente, aunque también mantuvieron reuniones físicas. El volumen de ataques detectados, y su gravedad, demuestran además que llevaban bastante tiempo trabajando. La investigación se inició tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de Telegram –el foro por excelencia en el que se mueven los actores del cibercrimen– donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.

Noticia Relacionada

Un socio y unas zapatillas delataron a Alcasec en el desvío de nóminas

Adriana Cabezas

Lo que arrancó como un ciberdelito aislado ha destapado una trama de hackeos y usurpación de identidades

Analizado el contenido de dicho canal con técnicas de investigación tecnológica avanzadas y búsquedas en fuentes abiertas, los agentes atribuyeron esos ataques a un actor nacional –ese término se aplica independientemente de que detrás de los ataques haya una o varias personas– del ámbito de la ciberdelincuencia, que actuaba bajo el seudónimo 'GUARDIACIVILX' y que utilizaba además otras 14 identidades como '9bands', 'banz9', 'TheLich', 'Crystal_MSF', 'OUJA', 'unlawz' o 'teamfs0ciety'.

A partir de ese momento, la investigación se centró en identificar a los individuos que estaban detrás de esas identidades así como el número y puntos de ataques realizados. 'GUARDIACIVILX' se publicitaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo la venta privada de esos datos sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITV Asturias, desde cuyos servidores, menos protegidos, se podía acceder a los de Tráfico. Para ello, solicitó en un principio un pago de 13.000 dólares.

Las detenciones se produjeron, precisamente, cuando se negociaba la venta de ese paquete de datos. Uno de los arrestados, el chico de 19 años, aprovechaba sus clases de Formación Profesional de grado superior para mantener esos contactos y fue detenido en ese momento.

Paralelamente los investigadores pudieron analizar diferentes cuentas de criptodivisas vinculadas a este actor nacional, corroborando que gran parte de ellas se dirigían o provenían de distintos 'exchangers' (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente. Las detenciones se hicieron en octubre en Sevilla y Asturias y los implicados ingresaron en prisión, aunque pocos meses después, cuando quedó garantizado que no podrían destruir pruebas, fueron puestos en libertad con cargos.

Las investigaciones, en las que ha colaborado el FBI y el Centro Criptológico Nacional, dependiente del CNI, determinaron que los ciberataques no sólo se habían realizado a entidades públicas y privadas españolas, sino que también los habían sufrido organismos de países del continente americano, sobre todo de países de habla hispana. Los implicados no trabajaban por encargo, sino que hacían las intrusiones y luego ofertaban la información obtenida en Telegram.

En cuanto a los organismos atacados, del material intervenido en estas detenciones, tanto informático como documental, los investigadores han logrado las evidencias necesarias para vincular a los implicados con ciberataques a entidades tanto públicas como privadas, como los ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, entre otros, así como a la Universidad Autónoma de Madrid, diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú y Poder Judicial del Estado de Txascala en México, entre muchas otras, destacando también su interés por el robo de información de redes de farmacias e intentaron vender una base de datos de una de ellas con información de más de 200.000 personas.

En una conversación informal con los agentes, los detenidos comentaron que el ciberataque que más les había costado era el de la Diputación de Jaén: «Tiene muy buenos sistemas de seguridad, aunque pudimos burlarlos», dijeron.

Ante este delito de ciberataque a nivel mundial, la Diputación de Jaén ha querido informar a la ciudadanía que el año pasado se identificó y detuvo un intento de ciberataque gracias a los sistemas de seguridad. A raíz de lo sucedido, que fue detectado y comunicado al Centro Criptológico Nacional, se inició una colaboración activa en la investigación sobre los posibles autores. Gracias a la protección de estos sistemas, la labor tanto del personal técnico de la Diputación de Jaén, como de la empresa encargada, Innovasur, se neutralizó totalmente la amenaza.

El teniente coronel Sotomayor asegura que «llegar hasta estos dos jóvenes ha sido una carrera de resistencia, en la que se han tenido que unir múltiples indicidos. Y cuando se producen las detenciones llega el esprint, para asegurar las pruebas y evitar que se borren». De momento no se sabe si los implicados han retomado su actividad, aunque el jefe del Departamento de Cibercrimen sabe que «ya han aprendido de los errores que cometieron y que nos han permitido llegar hasta ellos». Así que si vuelven a la actividad tendrán un buen 'background' de las cosas que no hay que hacer y de cómo investigan los agentes.