Dos detenidos por realizar ciberataques contra un centenar de organismos públicos y privados
- Los dos arrestados se encontraban en Sevilla y Asturias, y actuaban de forma coordinada
- Más de 100 organismos del ámbito privado y público se han visto afectado por estos ciberataques
La Unidad Central Operativa (UCO) de la Guardia Civil ha detenido a dos personas en Sevilla y Asturias como supuestos responsables de un centenar de ciberataques contra administraciones públicas y empresas privadas, nacionales e internacionales, desde octubre de 2022. La Guardia Civil ha denominado esta operación como "Oceansx", que se inició tras relacionar una serie de ciberataques con investigaciones anteriores.
Ayuntamientos, diputaciones y ministerios de Latinoamérica, los más afectados
Los detenidos llevaron a cabo ataques contra la ITV de Asturias (ITVASA), a varios ayuntamientos y diputaciones, a la Universidad Autónoma de Madrid, al Ministerio de Salud de Perú, al Ministerio de Cultura de Argentina y al Poder Judicial del estado mexicano de Tlaxcala, entre otros. Los actos fraudulentos se destaparon gracias a la existencia de un canal de Telegram, que mediante una búsqueda tecnológica avanzada y de fuentes abiertas pudieron relacionarlo con un "actor nacional" del ámbito de la ciberdelincuencia.
Estas actuaciones se llevaban a cabo mayoritariamente bajo el seudónimo "GUARDIACIVILX", pero también se empleaban otros como "9bands", "banz9", "TheLich", "Crystal_MSF", "OUJA", "unlawz" o "teamfs0ciety". Una vez los agentes de seguridad tenían conocimiento de estos hechos, el objetivo se centró en obtener la identidad de las personas que se encontraban detrás de estos seudónimos, así como el número total de ataques realizados y sus objetivos.
Intercambios comerciales a través de criptodivisas
Estos piratas informáticos, "GUARDIACIVILX", se publicitaban como vendedores de correos electrónicos corporativos y credenciales de acceso a servicios remotos, concretamente a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) y la ITVASA. Algunas de sus acciones más destacables fue el intento de venta de un paquete de información por casi 13.000 dólares y otra base de datos con información de más de 200.000 personas. Además, se encontraron diferentes cuentas de criptodivisas, de las cuales gran parte se dirigían o provenían de distintas casas de cambio de criptomonedas conocidas como exchangers, desde las cuales se habían realizado los pagos de venta de varios paquetes con estas credenciales obtenidas de forma ilegal.
A través de labores de cibervigilancia, los agentes localizaron a los sospechosos en distintos foros de ciberdelincuencia e identificaron más cuentas utilizadas también por este. Una vez comprobados estos indicadores y gracias a la colaboración del FBI, se pudo comprobar que muchas de las acciones llevadas a cabo por "GUARDICIVILX" se hacían también en el continente americano. Todos los resultados obtenidos reflejan el alto grado de sofisticación, donde ambos detenidos actuaban de forma coordinada, haciendo que fueran de una gravedad y complejidad considerables, con más de 100 organismos y entidades afectadas, del sector público y privado y también a nivel nacional e internacional.
Esta operación ha contado con la colaboración conjunta de la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI), así como otras agencias internacionales. Se trata de una operación dirigida por el Juzgado de Primera Instancia e Instrucción número 2 de Grado (Asturias) y llevada a cabo por el Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil.