El caso ‘N4T0X’: Cibercrimen social aderezado con una campaña de hacktivismo

El hacker finlandés Julius Kivimäki – alias zeekill- se convirtió en una de las peores pesadillas de los servicios de ciberseguridad de medio mundo. Sus ciberataques le han llevado a estar encerrado en una de las prisiones de máxima seguridad de su país.

Su nivel de sofisticación está a años luz de la oleada de ciberataques que está sufriendo España, a través de la campaña de exfiltraciones masivas de datos personales que se inició en el verano de 2025 contra miembros del Gobierno, desde el presidente Pedro Sánchez hasta varios ministros, incluidos altos cargos del Estado como la directora del CNI o la directora del Departamento de Seguridad Nacional (DSN).

No hay comparación. Pero la realidad es que los departamentos de ciberseguridad del Estado se están enfrentando en España a un nuevo modelo de cibercrimen social, mediante la extorsión, el acoso y la amenaza. Y lo peor, la corta edad de los ciberdelincuentes que están detrás de esta oleada de ataques.

Detrás de la última fuga de información ejecutada por el hacker ‘N4T0X’, detenido el pasado 26 de septiembre en un pueblo de Cataluña, se encuentra un menor de edad – de ahí que no hayan trascendido datos personales-. Este perfil refleja un fenómeno creciente: ciberdelincuentes muy jóvenes, altamente tecnificados y motivados por causas ideológicas, operando en redes sociales semiocultas

Cibercrimen social

El caso de N4T0X ejemplifica el papel del anonimato funcional en este tipo de cibercrimen social, apoyado en plataformas como Telegram – su fundador Pavel Durov fue detenido en Francia-. Aunque esta compañía ha manifestado su disposición a colaborar con la justicia facilitando datos de usuarios infractores desde 2024, en la realidad “las campañas de doxeo y filtraciones han proliferado gracias a la facilidad con que los responsables reaparecen bajo nuevos alias o abren canales alternativos”, según estas fuentes.

Este tipo de aplicaciones se han convertido en un “espacio propicio para campañas de doxing” y “filtración de datos debido a su casi nula moderación activa y la facilidad para difundir contenido de forma semipública”, según expertos en derechos digitales. La plataforma combina mensajería cifrada con funciones de red social, y su estructura (sin algoritmos de control de contenido y con canales anónimos) la convierte en “la herramienta perfecta” para este tipo de actividades ilícitas, según apuntan estas fuentes.

Sin embargo, desde la propia compañía de Telegram han explicado a la SER que "compartir datos privados (doxeo) está explícitamente prohibido por los términos de servicio deTelegram, y dicho contenido se elimina en cuanto se descubre. Moderadores, apoyados con herramientas personalizadas de IA, monitorean proactivamente las secciones públicas de la plataforma y aceptan reportes para eliminar millones de contenido dañino cada día, incluyendo el doxeo".

Algo similar ocurre con Discord, en su caso aporta una capa adicional a este anonimato funcional. En esta plataforma, N4T0X y sus colaboradores gestionaron servidores cerrados por invitación, donde los integrantes participaban bajo nicknames y con roles específicos. Un sistema que les permitía blindarse para poder compartir la información filtrada de forma controlada, “solo los miembros con permisos accedían a los canales donde se publicaban los datos expuestos, mientras que los recién llegados permanecían en salas de espera o de verificación”, según las fuentes consultadas por la SER.

N4T0X y su círculo cercano como administradores, reproduciendo de nuevo un esquema personalista: la figura del alias líder decidía quién entraba, qué se difundía y cuándo. Esta estructura hizo de Discord el centro de mando privado de la operación, complementando a Telegram que actuaba como el altavoz público.

Datos robados y bots de reclutamiento

En sus manos, con cada tecla en su ordenador, N4toX seguía el mismo patrón para llevar a cabo su campaña de ciberacoso. Para poder difundir los datos personales de miembros del Gobierno, primero debía conseguir esa información. Es lo que los investigadores etiquetan como la “fase de empaquetado de datos”. Su destreza en el universo de la Dark Web le permitió encontrar, recopilar y almacenar bases de datos previamente filtradas en la red o extraídas de brechas de seguridad antiguas no comunicadas. En el caso N4T0X, los implicados afirmaron no haber “hackeado” directamente instituciones, sino haber actuado como agregadores de información ya comprometida en otros incidentes. Así, consolidaron indexar datos personales de políticos, miembros de las Fueras de Seguridad, incluso expedientes de casos polémicos como el ‘caso Koldo’.

Estos archivos, por ejemplo “Spain-Politicians-&-Guardia-Civil-&-CNI.txt”, combinaban información sensible como nombres, direcciones, teléfonos, DNI y otros detalles privados de decenas de personas.

En los canales administrados por N4T0X, cada publicación importante iba acompañada de un texto de denuncia y advertencia, en un tono propio del hacktivismo. En Discord circuló un mensaje firmado por N4T0X declarando que la filtración era una respuesta a la “corrupción y falta de ayudas”, presentándose casi como voz del “pueblo” indignado. Este discurso de corte justiciero pretendía legitimar la divulgación de la información y obtener simpatizantes entre la comunidad digital: más que un delito, querían pintarlo como un escarmiento o acto de transparencia radical.

Una vez conseguida la información, necesitaba difusión. Fue ahí cuando entraron en juego el séquito de bots programados. A través de enlaces de invitación en Telegram, estos dos ciberdelincuentes aprovecharon para compartir en foros abiertos toda la información de forma automatizada, de tal forma que, aunque el canal original fuera eliminado o reportado, el contenido ya había corrido como la pólvora.

La captación mediante bots también incluía publicidad encubierta invitándoles a “unirse a la causa” y seguir el canal de filtraciones, a través de campañas de hacktivismo. Gracias a esta técnica, en pocas horas, un canal muy pequeño – solo contaban con 64 suscriptores en Telegram- podía multiplicar su audiencia sin intervención humana directa.

Doxbin, la herramienta perfecta para almacenar datos robados

Uno de los patrones que se han mantenido en esta oleada exfiltraciones en redes sociales ha sido el uso de repositorios externos abiertos para alojar los datos robados, como Doxbin - un conocido paste site de la dark web-. Ese era su secreto para evitar subir los archivos directamente a Telegram o Discord. De esta forma, “el contenido más sensible (los archivos con los datos personales) residía fuera del alcance inmediato de la moderación de Telegram o Discord, que podrían eliminar un mensaje o canal, pero no borrar un archivo”, detallan fuentes de la investigación.

Datos sensibles para una campaña de ciberacoso

“Una vez expuestos en internet, los datos adquieren vida propia”, remarcan fuentes especializadas en ciberseguridad. Esa información, en las manos equivocadas, puede ser utilizada por actores hostiles para todo tipo de acciones criminales como suplantaciones de identidad, fraudes financieros e incluso acoso digital dirigido. Los expertos insisten en que ninguna filtración de información privada es inocua.

Uno de los ejemplos más concretos es la acción que emprendió el joven de 18 años, Yoel O.Q, alias ‘Akkaspace’ detenido en Canarias tras la primera exfiltración masiva del presidente del gobierno y nueve de sus ministros, un caso investigado como ciberterrorismo. El auto de la Audiencia Nacional al que tuvo acceso la SER detalla como varias de las víctimas de Akkaspace sufriendo llamadas continuas, “incluso día y noche, a menudo con insultos o amenazas”. El juez de la Audiencia Nacional cita dos ejemplos, el de la periodista Susana Griso, y el del periodista Manuel Castaño, “quien recibió una llamada en la que quien dijo ser Akkaspace le exigía una entrevista y publicar su acción, amenazándole con la colocación de una bomba al no aceptar realizar la entrevista”.

Los agentes de la Comisaría General de Información detectaron también que se alentaba a usar los datos filtrados para perjudicar a las víctimas “utilizando su DNI para compras o registrarse en sitios web en perjuicio de los ofendidos”. También se han comprobaron mensajes ofensivos con expresiones como “a cada cerdo le llega su San Martín”. Akkaspace incluso difundió los datos personales, incluyendo en ocasiones matrículas de vehículos y domicilios para que otros llevasen a cabo una campaña de acoso valiéndose de esos datos.

Un agresor motivado por venganza personal o extremismo ideológico podría usar esos datos para hostigar físicamente, por ejemplo, mediante swatting, que consiste en falsas denuncias policiales para enviar operativos armados al domicilio de alguien, como puso de moda el hacker finlandés Kivimaki en Estados Unidos.

Los errores que cometen los hackers

Las investigaciones policiales han demostrado que, pese al anonimato, los responsables pueden cometer errores o dejar rastros digitales. En incidentes previos, agentes de la Policía Nacional lograron identificar a sospechosos cruzando metadatos, direcciones IP y actividades inusuales en redes.

A pesar de su habilidad para ocultarse tras alias, su actividad deja un patrón; por ejemplo, reutilización de nicks en distintos foros, o huellas en los servicios utilizados para subir los datos, como correos o VPN mal configurados.

La detención de N4ToX demuestra que, si bien los ciberdelincuentes confían en la impunidad del anonimato, los cuerpos de seguridad pueden eventualmente desenmascararlos combinando labores de ciberinteligencia y cooperación internacional.