La Guardia Civil detiene a dos hackers que intentaron traficar con los datos robados a un centenar de administraciones y empresas

Sus manos estuvieron detrás de los ciberataques que sufrieron los Ayuntamientos de Leganés, León, Salamanca, Vitoria, Bermeo y Basauri entre otros, así como a la Universidad Autónoma de Madrid, la ITV de Asturias (ITVASA), las Diputaciones de Jaén y Málaga, el Servicio Cántabro de Salud, el Banco Atlántida, e incluso, los ministerios de Cultura de Argentina y el de Salud de Perú, además, del Poder Judicial del Estado de Txascala en México, entre muchas otras, destacando también su interés por el robo de información de redes de farmacias. En total, un centenar de ataques informáticos.

Las dos personas detenidas por la Unidad Central Operativa (UCO) de la Guardia Civil en Sevilla (23 años) y Asturias (22 años) eran especialistas en robar credenciales de acceso a servicios remotos y correos electrónicos corporativos. Pedían 13.000 euros por cada lote. La UCO les cogió justo cuando intentaban vender una base de datos con información de más de 200.000 personas. Según las fuentes de la investigación consultadas por la SER, si hubiesen vendido todas las bases de datos y los archivos en su poder podrían haber obtenido grandes cantidades de ingresos cercanas a los dos millones de euros.

Según ha informado la Dirección General de la Guardia Civil, la bautizada como operación Oceansx comenzó tras relacionar una serie de ciberataques con la información recabada en investigaciones anteriores. De esa forma llegaron hasta un canal de Telegram en el que se mostraban accesos fraudulentos a varias administraciones públicas, que a través de técnicas de investigación tecnológica avanzadas y búsqueda en fuentes abiertas pudieron relacionar con un "actor nacional" del ámbito de la ciberdelincuencia.

Principalmente actuaba bajo el seudónimo "GUARDIACIVILX", pero también delinquía empleando otras 14 identidades como "9bands", "banz9", "TheLich", "Crystal_MSF", "OUJA", "unlawz" o "teamfs0ciety". Fue en ese momento cuando los agentes del Departamento de Cibercrimen de la UCO se centraron en obtener la identidad de las personas detrás de esos seudónimos, así como el número de ataques realizados y sus objetivos.

Su alias era "GUARDIACIVILX", bajo ese nick se publicitaba como vendedor de correos electrónicos corporativos y credenciales de acceso a servicios remotos, concretamente a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) y la ITVASA. También rastrearon diferentes cuentas de criptodivisas vinculadas a este "actor nacional" y corroboraron que gran parte de ellas se dirigían o provenían de distintas casas de cambio de criptomonedas, conocidas como "exchangers".

En la operación, dirigida por el Juzgado de Primera Instancia e Instrucción número 2 de Grado (Asturias), han colaborado la Fiscalía de Criminalidad Informática, el CNI, a través del Centro Criptológico Nacional y el FBI estadounidense.