Detenidos dos hackers menores de edad que exfiltraron datos personales de Pedro Sánchez, varios ministros y la directora del CNI

La Policía detuvo el pasado 26 de septiembre a los dos hackers que exfiltraron los datos personales del presidente Pedro Sánchez, dos de sus ministros y la directora del CNI. Se trata de dos menores de edad arrestados, uno de un pueblo de Cataluña y el otro de Albacete, según han confirmado a la SER fuentes de la investigación. En la operación ha caído el cabecilla, un ciberdelincuente que actuaba bajo el alias de 'N4t0x'y un cómplice con el que compartía sus fechorías a través de Telegram y Discord.

Los agentes de la Comisaría General de Información tardaron muy poco en cogerles. Solo necesitaron ocho días para dar con ellos desde que se abrió la investigación por esta nueva exfiltración de datos personales.

La Policía Nacional también ha contado con la colaboración del Centro Criptológico Nacional (CCN), adscrito al CNI, encargado de la ciberseguridad de todas la infraestructuras críticas del Estado y de neutralizar y combatir todas las amenazas y ciberataques que afecten a cualquier organismo de interés estratégico para España.

Los dos ciberdelincuentes arrestados tenían una gran habilidad informática en la dark web que les permitió entrar en ese mundo oscuro de Internet y tener acceso a bases de datos robadas. Según fuentes policiales y del servicio de inteligencia, esa información que fue incautada a través de viejos ciberataques es la que utilizaron para indexar los datos personales del presidente del Gobierno, Pedro Sánchez; de la ministra de Defensa, Margarita Robles; del ministro de Exteriores, José Manuel Albares y de la actual directora del CNI, Esperanza Casteleiro, entre otros.

En ningún momento hubo una brecha de seguridad grave. Según han confirmado a la SER fuentes de directamente relacionadas con la investigación no se exfiltró información confidencial, pero sí datos personales como DNI, dirección o el teléfono algunos casos.

Los ciberdelincuentes compartieron su exfiltración de datos en un canal de Telegram con solo 64 seguidores - la Cadena SER optó por no dar el nombre para no exponer información sensible-, donde publicaron un enlace que contenía un documento con siete páginas de datos personales de altos cargos relacionados con la seguridad nacional.

Las plataformas utilizadas por estos ciberdelincuentes ofrecen margen para la autogestión comunitaria con escasa intervención externa. Telegram, en particular, se ha convertido en un espacio propicio para campañas de doxing y filtración de datos debido a su casi nula moderación activa y la facilidad para difundir contenido de forma semipública. La plataforma combina mensajería cifrada con funciones de red social, y su estructura (sin algoritmos de control de contenido y con canales anónimos) la convierte en “la herramienta perfecta” para este tipo de actividades ilícitas, según expertos en derechos digitales.

Sin embargo, desde la propia compañía de Telegram han explicado a la SER que "compartir datos privados (doxeo) está explícitamente prohibido por los términos de servicio deTelegram, y dicho contenido se elimina en cuanto se descubre. Moderadores, apoyados con herramientas personalizadas de IA, monitorean proactivamente las secciones públicas de la plataforma y aceptan reportes para eliminar millones de contenido dañino cada día, incluyendo el doxeo".

El ciberataque fue reivindicado por el hacker con el alias 'N4T0X'. Su acción iba acompañada del siguiente mensaje: "Este mensaje no es para buscar sonido ni para salir en titulares. Es una advertencia clara: la corrupción y la falta de ayudas han llevado a esta filtración. El pueblo exige transparencia y justicia. Vuestras acciones tienen consecuencias".

La difusión de esta filtración se produjo en abierto, replicándose rápidamente por canales espejo y foros una vez que la existencia del archivo se hizo pública. Se trataba de la tercera filtración de datos en pocos meses que afectaba a figuras gubernamentales; incluso el presidente del Gobierno y varios ministros habían visto expuesta su información privada en anteriores entregas. Pese a la detención de algunos sospechosos tras filtraciones previas, la fuga de datos continuó, mostrando la resiliencia de estas comunidades en línea.

El documento con la filtración de datos personales, al que ha tenido acceso la Cadena SER, incluía datos sensibles como el DNI, fecha de nacimiento y el domicilio de la ministra de Defensa, Margarita Robles, incluso es más exhaustiva en el caso de la exfiltración del ministro de Exteriores, José Manuel Albares, del que han revelado no solo su domicilio actual, también el anterior, además de su número de móvil.

La directora del Centro Nacional de Inteligencia (CNI) también ha sufrido la revelación de datos personales. Los hackers difundieron información de Esperanza Casteleiro - DNI, fecha de nacimiento y domicilio-, también de su número dos, el subdirector del CNI, Luis García Terán, quien precisamente hace unos meses compareció en la Comisión investiga los atentados de Barcelona y Cambrils en el Congreso de los Diputados.

La brecha de información personal también afecta a la actual directora del Departamento de Seguridad Nacional (DSN), la general Loreto Gutiérrez que dirige el organismo que asesora al presidente del Gobierno en materia de Seguridad Nacional.

Los máximos expertos en la lucha contra la ciberdelincuencia también han sufrido en primera persona la embestida de los cibercriminales.

Los hacker también pusieron en su diana al Centro Criptológico Nacional (CCN). El ciberdelincuente bajo el alias 'N4T0X' también difundió información personal del subdirector del CCN, Francisco Javier Candau. El documento que circula por varios canales de Telegram también incluye los supuestos datos personales del director general del Instituto Nacional de Ciberseguridad (INCIBE), Félix Barrio y del director de operaciones del INCIBE. Desde este organismo no dan "ninguna credibilidad a la supuesta información que da un anónimo" porque los datos difundidos "no son reales", según apuntan desde el INCIBE.

Entre las filtraciones de datos que investiga la Policía Nacional también se encuentra la difusión de información personal del director de la Policía Nacional, Francisco Pardo, el excomisario de la Comisaría General de Información, Eugenio Pereiro que, precisamente, acaba de convertirse en el número tres del Ministerio del Interior tras su nombramiento como director general de Coordinación y Estudios del Ministerio del Interior.

La Guardia Civil también ha visto expuesta información sensible de varios de sus altos cargos, entre ellos el exjefe del Mando de Operaciones de la Dirección General de la Guardia Civil y el máximo responsable de la Jefatura de Transformación Digital y Ciberseguridad. En su caso, la información que se difundió también era obsoleta, una prueba más de que la fuente de información de la exfiltración era muy antigua.

Investigados por ciberterrorismo

Esta operación transcurre en paralelo con la investigación que sigue abierta en la Audiencia Nacional por ciberterrorismo contra los dos jóvenes de 18 y 19 años que fueron detenidos en Las Palmas de Gran Canaria en julio. Fueron los autores de la exfiltración de datos personales del presidente Pedro Sánchez y de nuevo ministros. Entre los investigados está Yoel, alias 'Akkaspace', un joven que lleva desde los 14 años programando y atacando servidores por encargo, “por 1.000 o 3.000 euros me piden tumbar unos servidores por unas semanas”. Esta ciberdeliencuente que negó ser nazi, sí admitió que actuó como "escarmiento al Gobierno por su corrupción".