Deteñen a dúas persoas por un cento de ciberataques
venres, 28 de xuño do 2024
A Garda Civil, na denominada operación Oceansx, detivo a dúas persoas como responsables da obtención de accesos non autorizados a redes informáticas e credenciais de accesos corporativos, tanto públicos como privados, ofrecendo a venda dos mesmos, e de bases de datos e conxuntos de datos comprometidos en mercados do cibercrime.
A investigación iniciouse tras relacionar unha serie de ciberataques coa información obtida das análises realizadas en determinados materiais intervidos en investigacións anteriores, localizando unha canle de Telegram onde se amosaban accesos fraudulentos a varias administracións públicas de relevancia.
Especializados en ataques contra o sector público en España
Analizado o contido desa canle mediante técnicas de investigación tecnolóxica avanzadas e procuras en fontes abertas, os axentes atribuiron eses ataques a un actor nacional do ámbito da ciberdelincuencia, que actuaba baixo o pseudónimo GUARDIACIVILX, utilizando ademais outras 14 identidades como 9bands, banz9, TheLich, Crystal_MSF, OUJA, unlawz ou teamfs0ciety.
A partir dese momento, a investigación centrouse en obter a identidade das persoas que estaban actuando baixo ese pseudónimo, así como o número e puntos de ataques realizados.
O actor nacional GUARDIACIVILX publicitábase como un vendedor de credenciais de acceso a servizos remotos e correos electrónicos corporativos, ofrecendo a venda privada de credenciais de acceso sobre un portal de consultas de vehículos da Dirección Xeral de Tráfico (DGT) e ITVASA. Para iso, solicitou inicialmente un pago de 13.000 dólares, sendo detido no momento de proceder á citada venda. Ademais, comprobouse como tratou de vender unha base de datos con información de máis de 200.000 persoas.
Paralelamente puidéronse analizar diferentes contas de criptomoedas vinculadas a este actor nacional, corroborando que gran parte delas dirixíanse ou proviñan de distintos intercambiadores de criptomoedas, desde onde se materializarían os pagos da venda de varios paquetes con estas credenciais de acceso obtidas ilegalmente.
Comprobados e identificados así varios indicadores atribuídos ao suposto autor, a Garda Civil colaborou con outras axencias policiais como o FBI, deixando xa patente o alcance transnacional das accións levadas a cabo por GUARDIACIVILX, moitas delas sobre institucións do continente americano, especialmente de países de fala hispana.
Detidos en Sevilla e Asturias
Esta investigación permitiu deter a dous individuos o pasado outono, un en Sevilla e o outro en Asturias, ambos como responsables directos dos feitos investigados.
Do material intervido nestas detencións, tanto informático como documental, os investigadores lograron as evidencias necesarias para vincular outros ciberataques a entidades tanto públicas como privadas, como é o caso de ITVASA, os concellos de León, Salamanca, Vitoria, Bermeo e Basauri entre outros, así como á Universidade Autónoma de Madrid, as deputacións de Xaén e Málaga, o Servizo Cántabro de Saúde, o Banco Atlántida, o Ministerio de Cultura de Arxentina, oMinisterio de Saúde de Perú, o Poder Xudicial do Estado de Tlaxcala en México, entre moitas outras, destacando tamén o seu interese polo roubo de información de redes de farmacias.
Tras os resultados obtidos das análises dos dispositivos, puidéronse coñecer o alto grao de sofisticación alcanzado para perpetrar os mesmos, evidenciándose que ambos detidos executaban as accións delituosas de maneira coordinada. O feito de despregar esta actividade de forma conxunta levaba que os ciberataques fosen de unha gravidade e complexidade crecente, chegando a verse afectados máis de 100 organismos e entidades do sector público e privado tanto a nivel nacional como internacional.
Esta operación foi dirixida polo Xulgado de Primeira Instancia e Instrución nº 2 de Grado (Asturias) e levada a cabo polo Departamento Contra o Cibercrime da Unidade Central Operativa da Garda Civil.