13.000 € por golpe: caen en Sevilla y Asturias los 'hackers' que robaban a la DGT y a ITVs

DGT, ITVASA, Ayuntamientos de León y Salamanca, Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud… Son algunos de los organismos públicos que han sido víctimas de ciberataques lanzados por dos de los hackers más prolíficos y buscados de España. "Alcasec al lado nuestro no sabe nada", llegaron a decir estos ciberdelincuentes a los agentes de la Unidad Central Operativa (UCO) de la Guardia Civil, que ha dirigido la operación. Estos individuos, ahora detenidos, han puesto contra las cuerdas a las autoridades repetidas veces al reventar las bases de datos de más de 100 empresas.

“GUARDIACIVILX”, “9bands”, “TheLich”, “Crystal_MSF”, “unlawz”, “teamfs0ciety”... tras estos pseudónimos y nicks se iban cimentando varias sospechas de la Guardia Civil, que el año pasado puso en marcha una operación llamada OCEANSX para dar con ellos. La investigación se ha saldado con dos individuos detenidos que supuestamente operaban detrás de esas identidades en lo más profundo de la web para robar y vender información confidencial de manera no autorizada.

Debido al grado de refinamiento de sus métodos, se han visto comprometidos más de 100 organismos y entidades del sector público y privado, tanto a nivel nacional como internacional. Algunos ejemplos son la Dirección General de Tráfico, la Dirección General de Seguros y fondos de pensiones del Gobierno, la Sede electrónica del Ministerio de Industria y Turismo, las Hospederías de la Guardia Civil y el Sistema de Gestión Electrónica para la Policía Local, o algunos hospitales como el Juan Cardona. Entre los afectados se encuentra gran parte de los ayuntamientos del país, como el de Zaragoza, el de Murcia o el de Málaga, así como la Diputación de Jaén o la de Sevilla.

TE PUEDE INTERESAR

Agujero masivo en la DGT: ponen a la venta todos los datos de 34 millones de conductores

M. A. Méndez

Fuentes de la Guardia Civil confirman a El Confidencial que los ciberdelincuentes prestaban especial atención a las webs de las ITV (como la de Asturias, ITVASA) como puerta de entrada a los datos de la DGT y también a grandes grupos de empresas farmacéuticas para acceder a las bases de datos de clientes o de ciudadanos para llevar a cabo después otro tipo de ataques maliciosos y robos.

La investigación fue puesta en marcha por el Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil, que habían relacionado una serie de hackeos con otros materiales intervenidos en investigaciones anteriores y con un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia. Mediante este análisis de trazabilidad surgió un nombre común: “GUARDIACIVILX”, un alias que más tarde se comprobó que pertenecía a los dos usuarios compinchados.

Los hackers se publicitaban en la red como vendedores de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo estos datos en internet por 13.000 euros. También se ha podido comprobar que trataron de vender una base de datos con información de más de 200.000 personas por una cifra que no se ha hecho pública.

Paralelamente, se han analizado algunas cuentas de criptodivisas vinculadas a sus delitos, corroborando que gran parte de ellas se dirigían o provenían de distintos exchangers (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente.

En el marco de la operación, la Guardia Civil colaboró con otras agencias policiales como el FBI, lo que pone de relieve el alcance trasnacional de las acciones de los hackers. Tras varios meses de pesquisas, se detuvo a dos personas el otoño pasado, uno en Sevilla y el otro en Asturias, ambos como responsables directos de los hechos investigados. Del material intervenido en estas detenciones, tanto informático como documental, los investigadores han conseguido vincular otros ciberataques a entidades internacionales como el Banco Atlántida, el Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México.

El sector público, el blanco de los ciberataques en España

De entre todas las víctimas de ciberataques en nuestro país, los organismos públicos son los más afectados. Es decir, las administraciones, hospitales, universidades, o servicios de la Policía y Ejército. Según datos del CCN-CERT, hasta el 34% de los ciberdelitos en España son dirigidos a estas entidades del sector público. En 2023 las administraciones públicas experimentaron 107.000 ciberataques y solo en los dos primeros meses de 2024 la cifra se eleva a 25.000. Esto supone un aumento de un 190% con respecto al pasado año. La mayoría de todos ellos apuntaban a los ayuntamientos.

En estas incursiones, el ransomware suele ser uno de los ataques más empleados. Se trata de una forma de malware en auge que consiste en bloquear los archivos o dispositivos del usuario para luego reclamar un pago online anónimo para restaurar el acceso. Si un empleado cae en la trampa, la entidad entera puede verse afectada. La conocida estafa del CEO, que hemos analizado en este diario, también es una de las formas más usadas para penetrar en las bases de datos de empresas. Y otros de los más comunes son los ataques de Denegación de Servicio Distribuido (DDoS), que tienen el objetivo de interrumpir el tráfico normal de un servidor, servicio o red determinada, sobrecargando el objetivo o su infraestructura asociada con una avalancha de tráfico.

Uno de los casos notables más recientes fue el sufrido por la Cyberzaintza, la agencia vasca de seguridad, que confirmó que seis instituciones públicas vascas sufrieron ataques perpetrados por el grupo de ciberdelincuentes prorrusos NoName057. Como muchos otros, lo anunciaron también en Telegram.