Jóvenes, de 19 y 27 primaveras, vecinos de Sevilla y Asturias, autodidactas, de familias de clase media y poco dados a hacer ostentaciones, menos la diversión de uno de ellos por los deportivos tuneados. Este es el perfil de los dos detenidos en una compleja operación del Sección contra el Cibercrimen de la Pelotón Central Operativa de la Patrulla Civil, que ha conseguido esclarecer cerca de 200 ciberataques a organismos públicos y entidades privadas españolas y latinoamericanas, incluidos bancos.
Las fuentes de la investigación consultadas por torrevieja news today destacan que se manejo de individuos muy especializados, uno más en programación y el otro en técnicas de quebrantamiento de sistemas, que al hacer de forma conjunta y coordinada conseguían que sus ataques fueran de una importancia y complejidad creciente. «Su objetivo era solo sacar caudal, monetizar sus ‘hazañas’; no hay una ideología detrás», recalca el teniente coronel Juan Sotomayor, que dirige el Sección de Cibercrimen.
Los hackers se habían conocido a través de las redes y estaban en contacto permanente, aunque igualmente mantuvieron reuniones físicas. El bombeo de ataques detectados, y su importancia, demuestran por otra parte que llevaban sobrado tiempo trabajando. La investigación se inició tras relacionar una serie de ciberataques con la información obtenida de los examen realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de Telegram –el foro por excelencia en el que se mueven los actores del cibercrimen– donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.
Analizado el contenido de dicho canal con técnicas de investigación tecnológica avanzadas y búsquedas en fuentes abiertas, los agentes atribuyeron esos ataques a un actor franquista –ese término se aplica independientemente de que detrás de los ataques haya una o varias personas– del ámbito de la ciberdelincuencia, que actuaba bajo el seudónimo ‘GUARDIACIVILX’ y que utilizaba por otra parte otras 14 identidades como ‘9bands’, ‘banz9’, ‘TheLich’, ‘Crystal_MSF’, ‘OUJA’, ‘unlawz’ o ‘teamfs0ciety’.
A partir de ese momento, la investigación se centró en identificar a los individuos que estaban detrás de esas identidades así como el número y puntos de ataques realizados. ‘GUARDIACIVILX’ se publicitaba como un tendero de credenciales de paso a servicios remotos y correos electrónicos corporativos, ofreciendo la traspaso privada de esos datos sobre un portal de consultas de vehículos de la Dirección Normal de Tráfico (DGT) e ITV Asturias, desde cuyos servidores, menos protegidos, se podía lograr a los de Tráfico. Para ello, solicitó en un principio un cuota de 13.000 dólares.
Las detenciones se produjeron, precisamente, cuando se negociaba la traspaso de ese paquete de datos. Uno de los arrestados, el pequeño de 19 primaveras, aprovechaba sus clases de Formación Profesional de calidad superior para persistir esos contactos y fue detenido en ese momento.
Criptomonedas
Paralelamente los investigadores pudieron analizar diferentes cuentas de criptodivisas vinculadas a este actor franquista, corroborando que gran parte de ellas se dirigían o provenían de distintos ‘exchangers’ (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la traspaso de varios paquetes con estas credenciales de paso obtenidas ilegalmente. Las detenciones se hicieron en octubre en Sevilla y Asturias y los implicados ingresaron en prisión, aunque pocos meses posteriormente, cuando quedó asegurado que no podrían destruir pruebas, fueron puestos en confianza con cargos.
Las investigaciones, en las que ha colaborado el FBI y el Centro Criptológico Doméstico, dependiente del CNI, determinaron que los ciberataques no sólo se habían realizado a entidades públicas y privadas españolas, sino que igualmente los habían sufrido organismos de países del continente sudaca, sobre todo de países de acento hispana. Los implicados no trabajaban por encargo, sino que hacían las intrusiones y luego ofertaban la información obtenida en Telegram.
En cuanto a los organismos atacados, del material intervenido en estas detenciones, tanto informático como documental, los investigadores han conseguido las evidencias necesarias para vincular a los implicados con ciberataques a entidades tanto públicas como privadas, como los ayuntamientos de Valiente, Salamanca, Vitoria, Bermeo y Basauri, entre otros, así como a la Universidad Autónoma de Madrid, diputaciones de Jaén y Málaga, Servicio Montañés de Lozanía, Sotabanco Atlántida, Servicio de Civilización de Argentina, Servicio de Lozanía de Perú y Poder Jurídico del Estado de Txascala en México, entre muchas otras, destacando igualmente su interés por el robo de información de redes de farmacias e intentaron traicionar una cojín de datos de una de ellas con información de más de 200.000 personas.
Diputación de Jaén
En una conversación informal con los agentes, los detenidos comentaron que el ciberataque que más les había costado era el de la Diputación de Jaén: «Tiene muy buenos sistemas de seguridad, aunque pudimos burlarlos», dijeron.
El teniente coronel Sotomayor asegura que «durar hasta estos dos jóvenes ha sido una carrera de resistor, en la que se han tenido que unir múltiples indicidos. Y cuando se producen las detenciones llega el esprint, para consolidar las pruebas y evitar que se borren». De momento no se sabe si los implicados han retomado su actividad, aunque el presidente del Sección de Cibercrimen sabe que «ya han aprendido de los errores que cometieron y que nos han permitido durar hasta ellos». Así que si vuelven a la actividad tendrán un buen ‘background’ de las cosas que no hay que hacer y de cómo investigan los agentes.