La Guardia Civil, en la denominada operación Oceansx, ha detenido a dos personas como responsables de la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos, tanto públicos como privados, ofreciendo la venta de los mismos.
La investigación se inició tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.
Especializados en ataques contra el sector público en España
Analizado el contenido de dicho canal mediante técnicas de investigación tecnológica avanzadas y búsquedas en fuentes abiertas, los agentes atribuyeron esos ataques a un «actor nacional» del ámbito de la ciberdelincuencia, que actuaba bajo el seudónimo «GUARDIACIVILX», utilizando además otras 14 identidades.
Se publicitaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo la venta privada de credenciales de acceso sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITVASA. Para ello, solicitó inicialmente un pago de 13.000 dólares, siendo detenido en el momento de proceder a la citada venta. Además, se ha podido comprobar como trató de vender una base de datos con información de más de 200.000 personas.
Paralelamente se pudieron analizar diferentes cuentas de criptodivisas vinculadas a este «actor nacional», corroborando que gran parte de ellas se dirigían o provenían de distintas casas de cambio de criptomonedas.
Detenidos en Sevilla y Asturias
Esta investigación permitió detener a dos individuos, uno en Sevilla y el otro en Asturias, ambos como responsables directos de los hechos investigados.
Del material intervenido en estas detenciones, tanto informático como documental, los investigadores han logrado las evidencias necesarias para vincular otros ciberataques a entidades tanto públicas como privadas, como es el caso de ITVASA, Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri entre otros, así como a la Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México, entre muchas otras, destacando también su interés por el robo de información de redes de farmacias.
Esta operación ha sido dirigida por el Juzgado de Primera Instancia e Instrucción nº 2 de Grado (Asturias) y llevada a cabo por el Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil.
