Cibercrimen al servicio de estados hostiles

Ángel, venezolano de 28 años, acababa de llegar a España con su mujer, embarazada de tres meses, y sus monederos de criptomonedas rebosantes de fondos. Todo el dinero cripto, más el que el grupo acumula en cinco cuentas bancarias de Malta, Bulgaria y Lituania procede del robo de datos sensibles a organismos y sectores estratégicos de noventa países y su posterior venta al mejor postor. «El paquete de datos puede costar desde 200 dólares a miles. Depende de la sensibilidad de esos datos y las posibilidades que proporcionen. El más simple le sirve a cualquier criminal para suplantar identidades, abrir cuentas bancarias y saquear fondos», explica a ABC uno de los investigadores.

Hasta ahí, estaríamos ante los usos habituales de los cibercriminales. Pero grupos como 'Kelvin Security' son capaces de ir más allá. Solo en los últimos tres años han perpetrado más de 300 intrusiones de alto nivel, ocho de ellas en España. Además del ayuntamiento de Getafe, atacaron el de Camas (Sevilla), el de La Haba (Badajoz) y el Gobierno de Castilla-La Mancha. Su robo más reciente, a mediados del pasado noviembre, tuvo como objetivo la sede española de la empresa energética francesa Total Energie en la que consiguieron exfiltrar una base de datos con información confidencial de 85.000 clientes de la multinacional. Las tecnológicas Whitebear Solutions y Marktel, ambas con sede en Madrid, también fueron vulneradas. Ninguna de las dos denunció el hackeo; el Gobierno de Castilla-La Mancha, tampoco. En Camas llegaron a colgar fotos de policías locales.

«Lo que más nos preocupa es que ese tipo de datos acaban en manos de actores vinculados a terceros países, que están presentes en estos foros de cibercrimen. No es solo que nos roben información de nuestros organismos públicos sino para qué se está usando esa información», dice otro de los agentes que trabaja en la unidad contra las ciberamenazas. Recurren al ejemplo de lo que ocurrió en Melilla en las últimas elecciones municipales.

Noticia Relacionada

España sufre tres ciberataques críticos al mes de otros estados

Pablo Muñoz

Sin tener en cuenta el origen de estos episodios, este año han aumentado un 60 por ciento respecto a 2022

Si esos datos masivos, véase el padrón municipal de Melilla, junto a información domiciliaria, si van al médico, qué cuentas bancarias tienen, etcétera, acaban en manos de actores no tanto ligados al cibercrimen, sino a entidades o estados hostiles, el peligro potencial es claro. Son datos al por mayor de una extrema sensibilidad descontrolados y cuyo uso final es una incógnita.

El pasado 7 de diciembre la Policía colocó las esposas a Ángel, el financiero de 'Kelvin Security', en un piso de Alicante en el que vivía temporalmente con su mujer y su cuñado. La pareja había aterrizado en Madrid, procedente de un vuelo Caracas-Estambul, el 18 de noviembre. Sobre el papel venían de turismo y su billete de vuelta era para el día 29, pero los agentes tenían serias dudas de que esa fuera la intención. Cuando ya estaban aquí anularon el regreso.

El hombre que gestionaba las cuentas de la organización hacktivista reconoció a los agentes, ante las evidencias que habían acumulado contra el grupo en dos años, que muchos de esos datos se estaban vendiendo a rusos y chinos y que éstos pedían información bajo demanda. La operación no ha sido capaz de determinar si hay algún gobierno o grupos vinculados a organismos públicos detrás, pero la sospecha existe.

«Nunca vas a poder acreditar si el comprador es un estado. Aun así es información de carácter crítico y, por tanto, muy peligroso que esté al alcance de cualquier agente que pueda usar esa información», indican estas fuentes. Durante los rastreos los policías vieron cómo habían influido en el sistema electoral mexicano y en algún foro se jactaron de que también lo habían hecho en Ecuador.

'Kelvin Security' aprovecha debilidades de webs, de bases de datos, vulnerabilidades en organismos críticos y empresas privadas, se agazapa y se hace con su valiosa información. No tienen perfil político; les mueve el dinero, y no se detienen ante nada: si encuentran una brecha de seguridad, la explotan.

La ciberunidad de Información de la Policía Nacional, que como tal utiliza herramientas de inteligencia, empezó a seguir su rastro tras los ataques a ayuntamientos españoles hace dos años. Descubrieron los canales de Telegram y de otras aplicaciones similares que utilizaban, sus cuentas en redes sociales (Instagram y Facebook, entre otras), los alias que usaban, entre ellos 'cristina', la publicidad que colgaba el otro hacker venezolano y los enlaces a grupos más privados de las citadas aplicaciones; en definitiva, las tripas de 'Kelvin Security' que vendía su mercancía en un 98% a través de criptomonedas y había creado cinco cuentas bancarias en países europeos para guardar sus beneficios. Su firma era una garantía para los compradores.

La empresa americana Crowdstrike, una de las punteras en ciberseguridad, elaboró un informe de valoración sobre la amenaza de 'Kelvin Security', cuya actividad –desde Venezuela– se remonta a 2013. Entre 2014 y 2015 atacaron organismos gubernamentales muy cercanos a su país: México, Colombia, Cuba, Perú, Argentina y España, por supuesto. La lista de 'víctimas' parece infinita y es de primer nivel. En 2014 vulneraron la web de la guardia nacional de Venezuela y el sistema de vehículos policiales, así como el sistema de votos; entraron en la web de La Moncloa, en la Aviación Civil de Dubai, en bancos y academias policiales de Estados Unidos, en la compañía del gas de Hong Kong y en su universidad, en Movistar Mexico o en Vodafone Italia.

Al año siguiente su actividad fue igual de intensa y protagonizaron intrusiones y exfiltración de datos en academias policiales, organismos críticos y sistemas industriales y de producción tan sensibles como los de Irán. En España vulneraron la Politécnica de Madrid y este periódico, del que exfiltraron credenciales completas para usuarios y hash de contraseñas para reporteros el 27 de abril de 2015. El futbolista colombiano James Rodríguez, el sistema sanitario cubano, el consulado de Polonia en Washington o la Infantería argentina también fueron afectados.

Esa presión de las agencias de ciberseguridad provocó que el grupo cerrara hace unos meses sus redes y borrara su huella incluso en la 'dark web', pero en el ataque del pasado noviembre a Total Energie reapareció: son los mismos con otro alias. Hasta que se descubrió el viaje de Ángel a España. Aseguró que no tiene conocimientos, pero llevaba una tarjeta de perito informático forense, conoce aplicaciones de anonimización de IP, el uso de la 'dark web' y software de criptomonedas y trading de intercambio. Admitió contactos con el hacker y se mostró colaborador. Solo pidió a los policías que tuvieran cuidado con su mujer, embarazada. «¿Llevas al menos tres años trabajando?», le preguntaron. «No, cuatro». Le acusan de organización criminal, revelación de secretos y blanqueo de capitales e ingresó en prisión. Era lo último que esperaba de su ansiado viaje a España.