El FBI colabora para detener en Asturias y Sevilla a dos 'hackers' por ciberataques a un centenar de empresas

La Unidad Central Operativa (UCO) de la Guardia Civil ha detenido a dos personas en Asturias y Sevilla como responsables de la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos, tanto públicos como privados, ofreciendo la venta de los mismos, y de bases de datos y conjuntos de datos comprometidos en mercados del cibercrimen, desde octubre de 2022. Las detenciones, según informa la Benemérita, ocurrieron en otoño y no fue hasta este viernes cuando las autoridades lo hicieron público.

La investigación, denominada operación 'Oceansx', pudo acreditar que estos dos 'hackers' fueran los autores de los ataques a la ITV del Principado (ITVASA), a varios ayuntamientos (León, Salamanca, Vitoria, Bermeo y Basauri entre otros), así como a la Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México, entre muchas otras, destacando también su interés por el robo de información de redes de farmacias.

Desde el Principado confirmaron ayer los ataques producidos a la web de las ITV autonómicas, aunque descartaron que hubieran accedido a sus bases de datos. «Sólo causaron una caída de la página web», aseguraron desde el Gobierno regional.

Esta operación se inició tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.

Analizado el contenido de dicho canal mediante técnicas de investigación tecnológica avanzadas y búsquedas en fuentes abiertas, los agentes atribuyeron esos ataques a un «actor nacional» del ámbito de la ciberdelincuencia, que actuaba bajo el seudónimo 'GUARDIACIVILX', utilizando además otras 14 identidades como '9bands', 'banz9', 'TheLich', 'Crystal_MSF', 'OUJA', 'unlawz' o 'teamfs0ciety'.

A partir de ese momento, la investigación se centró en obtener la identidad de las personas que estaban actuando bajo ese seudónimo, así como el número y puntos de ataques realizados.

El actor nacional 'GUARDIACIVILX' se publicitaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo la venta privada de credenciales de acceso sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITVASA. Para ello, solicitó inicialmente un pago de 13.000 dólares, siendo detenido en el momento de proceder a la citada venta. Además, se ha podido comprobar cómo trató de vender una base de datos con información de más de 200.000 personas. Paralelamente se pudieron analizar diferentes cuentas de criptodivisas vinculadas a este «actor nacional», corroborando que gran parte de ellas se dirigían o provenían de distintos exchangers (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente.

Mediante labores de cibervigilancia en la red la UCO de la Benemérita localizó a este «actor» en distintos foros utilizados por cibercriminales, donde éste desarrollaba su actividad, identificándose así nuevas cuentas e identidades utilizadas por el mismo. Comprobados e identificados así varios indicadores atribuidos al supuesto autor, la Guardia Civil colaboró con otras agencias policiales como el FBI, dejando ya patente el alcance trasnacional de las acciones llevadas a cabo por «GUARDIACIVILX», muchas de ellas sobre instituciones del continente americano, especialmente de países de habla hispana.

La operación ha sido desarrollada por agentes del Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil. Ha sido dirigida a su vez por el Juzgado de Primera Instancia e Instrucción no 2 de Grado (Asturias) y llevada a cabo por el Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil.

• Temas
• Asturias
• Ciberataque
• Ciberseguridad
• Hackers
• ITV