Dos detenidos en Asturias y Sevilla por ciberataques a un centenar de empresas de España, Perú, Argentina y México

Un juez de Grado dirigió la operación en la que han colaborado la Fiscalía de Criminalidad Informática, el Centro Criptológico Nacional y el FBI de EEUU. Los arrestados comenzaron a actuar hace dos años
— “Hackéame como puedas”: así se protegen las grandes empresas de la amenaza constante de ciberataques

Dos personas han sido detenidas en Asturias y Sevilla por ciberataques a un centenar de empresas en España y el extranjero. En la imagen, un agente de la UCO durante el operativo. Guardia Civil

Oviedo — 28 de junio de 2024 10:59h Actualizado el 28/06/2024 12:45h

Dos personas han sido detenidas en Asturias y Sevilla por agentes de la Unidad Central Operativa (UCO) de la Guardia Civil acusados de su presunta autoría en un centenar de ciberataques contra administraciones públicas y empresas privadas, nacionales e internacionales, llevados a cabo desde octubre de 2022, en empresas y administraciones públicas y privadas de España, México, Argentina y Perú.

En esta operación policial, dirigida por el Juzgado de Primera Instancia e Instrucción número 2 de Grado (Asturias), han colaborado la Fiscalía de Criminalidad Informática, el Centro Criptológico Nacional y el FBI de EEUU.

Los agentes imputan a los arrestados los ataques perpetrados, entre otros, en la empresa pública de las ITV en Asturias (ITVASA), en varios ayuntamientos y diputaciones, en la Universidad Autónoma de Madrid, el Ministerio de Salud de Perú, el Ministerio de Cultura de Argentina y el Poder Judicial del estado mexicano de Txascala.

La operación, denominada Oceansx, comenzó tras relacionar una serie de ciberataques con la información recabada en investigaciones anteriores que condujeron hasta un canal de Telegram en el que se mostraban accesos fraudulentos a varias administraciones públicas.

Los seudónimos utilizados en los ciberataques

Los agentes investigaron a uno de los principales responsables de estos accesos que actuaba ocultando su identidad bajo varios seudónimos, entre los que figuraban “GUARDIACIVILX”, “9bands”, “banz9”, “TheLich”, “Crystal_MSF”, “OUJA”, “unlawz” o “teamfs0ciety”.

El primer seudónimo, “GUARDIACIVILX”, se publicitaba como vendedor de correos electrónicos corporativos y credenciales de acceso a servicios remotos, concretamente a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) y la ITVASA.

La Guardia Civil asegura en un comunicado oficial que este ciberdelincuente pretendió sin éxito vender ese paquete información por cerca de 13.000 dólares, así como otra base de datos con información acerca de más de 200.000 personas.

Durante la investigación también se rastrearon diferentes cuentas de criptodivisas vinculadas a esta persona que constataron que se dirigían o provenían de distintas casas de cambio de criptomonedas, conocidas como “exchangers” y desde las cuales se habían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas de forma ilegal.

Una vez localizado, el operativo policial se centró en la identificación de otras cuentas e identidades que supuestamente utilizaba. A continuación reproducimos el vídeo facilitado por la Guardia Civil con imágenes de la actuación desarrollada para localizar el material intervenido a los 'hackers'.

Un operativo en colaboración con el FBI

Los agentes contactaron posteriormente con el FBI estadounidense una vez que comprobaron que el ahora detenido también había llevado a cabo presuntamente ciberataques a instituciones del continente americano, especialmente en países de habla hispana.

Aunque el operativo policial se ha hecho público este viernes, las detenciones de estas dos personas en Asturias y Sevilla se llevaron a cabo el pasado otoño, según ha confirmado la Guardia Civil.

En un comunicado, sostiene que el material intervenido, tanto informático como documental, ha permitido lograr las “evidencias necesarias” para vincular otros ciberataques a entidades tanto públicas como privadas, entre otros las ITVASA de Asturias, los Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, las diputaciones de Jaén y Málaga y el Servicio Cántabro de Salud.

También se les atribuyen los ataques cometidos al otro lado del Atlántico, como los sufridos por el Ministerio de Cultura de Argentina, el Ministerio de Salud de Perú, el Poder Judicial de Tlaxcala, en México, o el hondureño Banco Atlántida, entre muchas otras.

También actuaron contra empresas privadas y estaban principalmente interesados en robar información de redes de farmacias.

La Guardia Civil ha destacado el alto grado de sofisticación desplegado por los detenidos, que actuaban de manera coordinada, de forma que sus ataques eran “cada vez más dañinos y complejos”.

Etiquetas