La Unidad Central Operativa (UCO) de la Guardia Civil ha detenido a dos personas en Sevilla y Asturias como supuestos responsables de un centenar de ciberataques contra administraciones públicas y empresas privadas, nacionales e internacionales, desde octubre de 2022.
Los investigadores han acreditado que los arrestados estuvieron detrás de los ataques a la ITV de Asturias (ITVASA), a varios ayuntamientos y diputaciones, a la Universidad Autónoma de Madrid, al Ministerio de Salud de Perú, al Ministerio de Cultura de Argentina y al Poder Judicial del estado mexicano de Tlaxcala, entre otros.
Según ha informado la Dirección General de la Guardia Civil, la bautizada como operación Oceansx comenzó tras relacionar una serie de ciberataques con la información recabada en investigaciones anteriores.
Así llegaron hasta un canal de Telegram en el que se mostraban accesos fraudulentos a varias administraciones públicas, que a través de técnicas de investigación tecnológica avanzadas y búsqueda en fuentes abiertas pudieron relacionar con un "actor nacional" del ámbito de la ciberdelincuencia.
Principalmente actuaba bajo el seudónimo "GUARDIACIVILX", pero también delinquía empleando otras 14 identidades como "9bands", "banz9", "TheLich", "Crystal_MSF", "OUJA", "unlawz" o "teamfs0ciety".
A partir de ese momento, los agentes del Departamento de Cibercrimen de la UCO se centraron en obtener la identidad de las personas detrás de esos seudónimos, así como el número de ataques realizados y sus objetivos.
"GUARDIACIVILX" se publicitaba como vendedor de correos electrónicos corporativos y credenciales de acceso a servicios remotos, concretamente a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) y la ITVASA.
Pretendió, sin éxito, vender ese paquete información por cerca de 13.000 dólares, así como otra base de datos con información acerca de más de 200.000 personas.
También rastrearon diferentes cuentas de criptodivisas vinculadas a este "actor nacional" y corroboraron que gran parte de ellas se dirigían o provenían de distintas casas de cambio de criptomonedas, conocidas como "exchangers".
Desde ellas se habían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas de forma ilegal.
Avanzadas las pesquisas, los agentes localizaron al sospechoso en distintos foros de ciberdelincuentes e identificaron más cuentas e identidades que supuestamente utilizaba.
De Asturias y Sevilla a Perú y Argentina
Con todos los indicios recabados, la UCO detuvo a dos personas, una en Sevilla y otra en Asturias, como presuntos responsables directos de un centenar de ciberataques de organismos públicos y empresas privadas, cometidos al menos desde octubre de 2022. Uno de ellos fue arrestado cuando trataba de vender las credenciales robadas al ITVASA y a la DGT.
Los agentes intervinieron gran cantidad de material informático y documental, de los que obtuvieron evidencias que sitúan a los arrestados como autores de los ciberataques contra los ayuntamientos como los de León, Salamanca, Vitoria, Bermeo y Basauri, las diputaciones de Jaén y Málaga y el Servicio Cántabro de Salud.
También de ataques cometidos al otro lado del Atlántico, principalmente en países de habla hispana, como los sufridos por el Ministerio de Cultura argentino, el Ministerio de Salud peruano, el Poder Judicial de Tlaxcala, o el hondureño Banco Atlántida, entre muchas otras.
También actuaron contra empresas privadas y estaban principalmente interesados en robar información de redes de farmacias.
Del análisis del material incautado también se desprende el alto grado de sofisticación adquirido por los detenidos, que actuaban de manera coordinada, de forma que sus ataques eran cada vez más dañinos y complejos.
En la operación, dirigida por el Juzgado de Primera Instancia e Instrucción número 2 de Grado (Asturias), han colaborado la Fiscalía de Criminalidad Informática, el Centro Criptológico Nacional y el FBI estadounidense.
