Los dos presuntos autores, apresados en Asturias y Galicia, operaban bajo el pseudónimo ‘GUARDIACIVILX’ y llegaron a actuar sobre entidades públicas y privadas como ITVASA, el Banco Atlántida o ministerios de Argentina, México y Perú
En pleno siglo XXI, en un mundo cambiante y cada vez más dependiente del plano digital, la ciberdelincuencia se ha erigido en uno de los grandes enemigos a batir, en un peligro invisible, difícil de detectar, con la capacidad de propagación de un virus, y capaz de hacer más daño que algunas de las armas físicas más poderosas que existen. Sin embargo, en ese esquivo campo de batalla la Guardia Civil se anotaba el pasado otoño un tanto importante. Agentes de la Unidad Central Operativa (UCO) de la Benemérita detenían entonces en Asturias y Sevilla a dos personas como presuntas responsables de un centenar de ciberataques a Administraciones Públicas y entidades privadas, tanto españolas como radicadas en otros países. Ambos están señalados como autores de la obtención de accesos no autorizados a bases de datos, redes informáticas y credenciales, ofreciendo la venta de los mismos en los mercados del cibercrimen.
Según ha informado el instituto armado este viernes, la investigación da por cierto que esas dos personas, ocultas principalmente bajo el pseudónimo ‘GUARDIACIVILX’, efectuaron ciberataques contra entes españoles como Inspección Técnica de Vehículos de Asturias (ITVASA), la Universidad Autónoma de Madrid, el Servicio Cántabro de Salud, las Diputaciones de Jaén y Málaga, o los Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri. No obstante, su ambición les llevo, incluso, a cruzar digitalmente las aguas del Atlántico. Así, perpetraron ciberasaltos contra el Banco Atlántida, fundado en Honduras; los Ministerios de Cultura de Argentina y de Salud de Perú, o el Poder Judicial del Estado de Txascala, en México. Los nombres anteriores son sólo un reducido extracto de la larga lista de víctimas, en la que se puede detectar un especial interés por el robo de información de redes de farmacias.
Datos de más de 200.000 personas
Ambos detenidos ejecutaban las acciones delictivas de manera coordinada. Así, el actor digital ‘GUARDIACIVILX’ se publicitaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo la venta privada de dichas credenciales sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITVASA. Para ello, se solicitó inicialmente un pago de 13.000 dólares, siendo el sujeto detenido en el momento de proceder a la citada venta. Además, se ha podido comprobar que trató de vender una base de datos con información de más de 200.000 personas. La investigación se inició tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de la red de mensajería Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.
Paralelamente, se pudieron analizar diferentes cuentas de criptodivisas vinculadas a este «actor nacional», corroborando que gran parte de ellas se dirigían o provenían de distintos exchangers (casas de cambio de criptomonedas), desde las que se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente.
