Detenidos 2 ‘hackers’ que usaban el nombre de la Guardia Civil para atacar administraciones públicas

La Guardia Civil ha detenido a dos hackers en Sevilla y Asturias por los cerca de 100 ciberataques a diferentes administraciones públicas, todos ellos firmados con diferentes pseudónimos, entre ellos el de la propia Benemérita. Ha sido la Unidad Central Operativa (UCO) del Instituto Armado quien ha desenmascarado a los dos delincuentes, de 22 y 23 años, cuyas víctimas han sido la DGT, ITV’s, los ayuntamientos de Salamanca o Murcia, el Servicio Cántabro de Salud, las diputaciones de Jaén y Málaga o, incluso, ministerios de Perú y Argentina, entre otras muchas.

Los agentes localizaron un canal de Telegram en el que se compartían diferentes URL fraudulentas a varias administraciones públicas no menores. Así arrancó la operación Oceansx, con el inicio de la investigación de la Guardia Civil tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores. Los dos hackers delinquían, en este caso, desde octubre de 2022.

Los veinteañeros operaban desde España «de forma muy sofisticada», según comunica la Guardia Civil, y lo hacían en el ámbito nacional e internacional. Ambos tenían grandes conocimientos, pero eran completamente autodidactas, aunque uno de ellos estaba cursando un módulo de Formación Profesional para conseguir un certificado oficial.

Los hackers sacaban pecho en los chats y comunidades online de su eficacia en el robo de información sensible que posteriormente vendían por el interés de poder acceder a bases de datos con credenciales de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITVASA, entre otros organismos públicos y también privados. Se publicitaban como vendedores de credenciales de acceso a servicios remotos y correos electrónicos corporativos, datos que ofertaban por el precio de hasta 13.000 euros. También se ha podido comprobar que intentaron vender una base de datos con información de más de 200.000 personas.

Víctimas de relevancia

Entre sus víctimas abundan las organizaciones públicas de relevancia. Destacan, en territorio español, ITVASA y ayuntamientos de León, Salamanca, Zaragoza, Murcia o Málaga, Vitoria, Bermeo y Basauri entre otros; la Dirección General de Seguros y fondos de pensiones del Gobierno y la Sede electrónica del Ministerio de Industria y Turismo; la Universidad Autónoma de Madrid, diputaciones de Jaén, Sevilla y Málaga o el Servicio Cántabro de Salud; y las Hospederías de la Guardia Civil y el Sistema de Gestión Electrónica para la Policía Local, o algunos hospitales como el Juan Cardona (A Coruña).

En el plano internacional, sus objetivos fueron el Banco Atlántida, el Ministerio de Cultura de Argentina, el Ministerio de Salud de Perú o el Poder Judicial del Estado de Txascala en México, entre muchas otras. Igualmente, mostraron un considerable interés por el robo de información de redes de farmacias, en especial en los datos de los clientes.

La Guardia Civil también analizó en el marco de esta operación diferentes cuentas de criptodivisas vinculadas a este «actor nacional» -etiqueta con la que se refieren a los detenidos- y corroboraron así que gran parte de ellas se dirigían o provenían de distintos exchangers (casa de cambio de criptomonedas). Desde esos exchangers se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente.

Los jóvenes utilizaron abundantes pseudónimos para operar, entre los que llama la atención el de la propia Benemérita, Guardia Civil X -un «homenaje» al Instituto Armado, han confesado-, además de 9bands, banz9, TheLich, Crystal_MSF, OUJA, unlawz o teamfs0ciety. En total, usaron 14 identidades.

Dada la existencia de objetivos internacionales entre los organismos atacados, la Guardia Civil ha contado con la ayuda del FBI y otras agencias policiales. La Benemérita ha subrayado la buena colaboración entre la Autoridad Judicial, la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI) con los investigadores, así como con otras agencias internacionales. Ese trabajo común ha permitido dar una respuesta adecuada al incremento de los delitos en el ámbito del ciberespacio.

La operación Oceansx ha sido dirigida por el Juzgado de Primera Instancia e Instrucción número 2 de Grado (Asturias) y ha sido llevada a cabo por el Departamento Contra el Cibercrimen de la Unidad Central Operativa (UCO) de la Guardia Civil.