La Guarda Civil ha detenido a dos personas como responsables de robo de datos, tanto públicos como privados, que ofrecían a la liquidación en mercados del cibercrimen.
La investigación en la denominada operación ‘Oceansx’ se inició tras relacionar una serie de ciberataques con la información obtenida de los prospección realizados de materiales intervenidos en investigaciones anteriores. En concreto se localizó un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.
Analizado el contenido de dicho canal, los agentes atribuyeron esos ataques a un ciberdelicuente que actuaba bajo el seudónimo ‘Guardicivilx’ utilizando adicionalmente otras 14 identidades en su actividad en carrera. A partir de ese momento, la investigación se centró en obtener la identidad efectivo de las personas que estaban actuando bajo ese seudónimo, así como el número y puntos de ataques realizados.
El perfil ‘Guardicivilx’ se anunciaba como comerciante de credenciales de paso a servicios remotos y correos electrónicos corporativos, ofreciendo la liquidación privada de credenciales de paso sobre un portal de consultas de vehículos de la Dirección Común de Tráfico (DGT) e Itvasa, la inspección de vehículos de Asturias.
Paralelamente se detectaron diferentes cuentas de criptodivisas vinculadas al citado perfil en carrera, y se corroboró que gran parte de esas cuentas se dirigían o provenían de distintas casas de cambio de criptomonedas, desde las que se habrían realizado los pagos por la liquidación de varios paquetes de credenciales de paso obtenidas ilegalmente.
Identificados varios mote atribuidos al supuesto autor, la Guarda Civil inició la colaboración con otras agencias policiales como el FBI, por el ámbito trasnacional de las acciones llevadas a lengua por ‘Guardicivilx’, muchas de ellas sobre instituciones de América Latina. La investigación permitió detener a dos individuos, uno en Sevilla y el otro en Asturias, los dos como responsables directos de los hechos investigados.
Ayuntamientos y universidades atacadas
Del material intervenido tras las detenciones, tanto informático como documental, los investigadores han rematado las evidencias necesarias para vincularlos a otros ciberataques a entidades tanto públicas como privadas como los cometidos contra los ayuntamientos de Audaz, Salamanca, Vitoria, Bermeo y Basauri entre otros.
Asimismo los ejecutados contra la Universidad Autónoma de Madrid, las Diputaciones de Jaén y Málaga, el Servicio Montañés de Sanidad, el Profesión de Civilización de Argentina, o el Profesión de Sanidad de Perú.
Los dos detenidos ejecutaban las acciones delictivas de modo coordinada, y sus acciones afectaron a más de 100 organismos y entidades del sector conocido y privado tanto a nivel doméstico como internacional.
La operación ha sido dirigida por el Auditoría de Primera Instancia e Instrucción nº 2 de Punto (Asturias) y llevada a lengua por el Área Contra el Cibercrimen de la Mecanismo Central Operativa de la Guarda Civil.
Para el éxito de la misma ha sido necesaria la colaboración entre la Autoridad Contencioso, la Fiscalía de Criminalidad Informática y el Centro Criptológico Franquista (CCN-CNI) con los investigadores, así como con otras agencias internacionales.