La Guardia Civil ha detenido a dos jóvenes, uno asturiano y otro sevillano, acusados de perpetrar más de un centenar de ciberataques a organismos públicos y entidades privadas, tanto españolas como extranjeras. Esta operación, denominada "Oceansx", destaca por la colaboración entre la Guardia Civil y otras agencias policiales, incluido el FBI.
Los dos detenidos eran autodidactas, si bien el más joven (18 años) estudiaba Formación Profesional con el objetivo de hacerse con un certificado oficial. Ambos eran conocidos en Internet bajo el seudónimo "GUARDIACIVILX" y por otras identidades como "9bands", "banz9", "TheLich" y "teamfs0ciety", lograron introducirse en los sistemas informáticos de toda clase instituciones públicas de España e Hispanoamérica:
- Instituciones atacadas en España: La Dirección General de Tráfico (DGT), ITVASA, los ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, las diputaciones de Jaén y Málaga, el Servicio Cántabro de Salud
- Instituciones atacadas en Hispanoamérica: El Ministerio de Cultura de Argentina, el Ministerio de Salud de Perú y el Poder Judicial del Estado de Tlaxcala en México.
Estos ataques no solo comprometieron datos sensibles, sino que también evidenciaron la presencia de vulnerabilidades críticas en la infraestructura digital de las instituciones afectadas.
Los ataques comenzaron en octubre de 2022 y desde entonces los ciberdelincuentes desarrollaron un grado de sofisticación notable a la hora de obtener accesos no autorizados a redes informáticas y credenciales de acceso corporativo, que luego vendían en marketplaces de la 'red oscura', destinados a cibercriminales.
Por ejemplo, en uno de los ataques más graves, intentaron vender acceso al portal de consultas de la DGT e ITVASA por 13.000 dólares. Además, pusieron a la venta una base de datos con información de más de 200.000 personas.
Desmantelando la operación
Los agentes de la UCO han necesitado un año para analizar la numerosa información de que disponían, información que confirma que estos dos jóvenes, ambos carentes de antecedentes policiales, estaban detrás de los ataques.
La investigación que llevó a su captura comenzó con el análisis de trazabilidad de datos y la monitorización de un canal de Telegram donde los atacantes mostraban accesos fraudulentos a varias administraciones públicas: este canal fue clave para identificar y vincular los ataques a "GUARDIACIVILX".
Posteriormente, los investigadores rastrearon múltiples cuentas de criptomonedas asociadas con estos ataques, y esto permitió seguir el flujo de pagos y conectar las transacciones con la venta de credenciales obtenidas ilegalmente.
Imagen | Ministerio del Interior
En Genbeta | Detienen de nuevo a Alcasec, el hacker que decía conocer el 90% de datos de los españoles
Ver 2 comentarios