La descarga de una pel¨ªcula pirata propici¨® el robo de seis millones de euros en criptomonedas

La imprudencia de un empleado, un virus inform¨¢tico oculto en la copia pirata de una pel¨ªcula de superh¨¦roes y una paciencia de meses de los ladrones. Estos fueron los tres elementos claves que propiciaron, en el verano de 2020, el robo de seis millones de euros en criptomonedas, uno de los mayores de este tipo de activos conocidos hasta ahora en Espa?a. Agentes de la Unidad Central Operativa (UCO) de la Guardia Civil han logrado resolver este asalto tras descubrir que los ciberdelincuentes consiguieron colarse en los sistemas de 2gether, una sociedad espa?ola de custodia de criptoactivos, a trav¨¦s de la descarga que un trabajador de esta compa?¨ªa hizo de una pel¨ªcula y, posteriormente, seguir el rastro de las criptomonedas.

La bautizada como operaci¨®n 3Coin se ha saldado hasta ahora con cinco detenidos o investigados (cuatro de ellos de nacionalidad espa?ola y uno de un pa¨ªs del antiguo bloque del Este), entre ellos el considerado cerebro del asalto, y la recuperaci¨®n de parte de lo sustra¨ªdo, seg¨²n detalla el instituto armado en una nota. Durante la investigaci¨®n, los agentes han descubierto que uno de los arrestados controlaba a otros de los arrestados mediante el rito de brujer¨ªa conocido como sapo bufo, consistente en inhalar vapores de veneno de este animal, considerados una sustancia alucin¨®gena.

Las pesquisas se iniciaron el 31 de julio de 2020, cuando 2gether denunci¨® haber sido v¨ªctima de un ataque inform¨¢tico mediante el cual le hab¨ªan sustra¨ªdo una importante cantidad de criptomonedas. En concreto, 114 bitcoins y 276 etherums, que en aquel momento ten¨ªan un valor de 1,2 millones de euros. El n¨²mero de clientes afectados por la sustracci¨®n superaba los 5.500. El Departamento Contra el Cibercrimen de la UCO pudo determinar que el ataque inform¨¢tico hab¨ªa sido realizado mediante un sofisticado malware (programa inform¨¢tico malicioso) del tipo troyano denominado Nanocore, y que este hab¨ªa sido introducido a trav¨¦s de la descarga ilegal que, desde su puesto de trabajo, hab¨ªa hecho un empleado en enero de 2020 de una pel¨ªcula de superh¨¦roes de un portal de contenido multimedia pirata.

¡°Altamente sofisticado¡±, seg¨²n la Guardia Civil, el virus inform¨¢tico se hizo a partir de ese momento con el control absoluto del equipo del empleado, donde permaneci¨® siete meses instalado sin ser detectado. En ese tiempo, los cibercriminales descubrieron con detalle todos los procesos internos de la empresa y prepararon el ataque inform¨¢tico. Este se produjo, finalmente, el ¨²ltimo d¨ªa de julio de aquel a?o, para aprovechar que la compa?¨ªa iba a reducir al m¨ªnimo su actividad al iniciarse las vacaciones de verano de la mayor¨ªa de sus trabajadores. Para ello, 24 horas antes accedieron al sistema y desactivaron las medidas de seguridad inform¨¢tica. As¨ª, el d¨ªa elegido para perpetrar el robo, pudieron dar las ¨®rdenes de transacci¨®n de moneda electr¨®nica sin ser detectados a trav¨¦s de una red de ordenadores interpuestos y l¨ªneas de tel¨¦fono de terceros pa¨ªses. ¡°En 15 o 20 minutos hab¨ªan extra¨ªdo las criptomonedas¡±, destacan fuentes cercanas a la investigaci¨®n.

Las monedas electr¨®nicas sustra¨ªdas fueron transferidas a billeteras virtuales bajo el control de los delincuentes, donde estos tuvieron inmovilizados los fondos durante m¨¢s de seis meses para evitar llamar la atenci¨®n policial. ¡°Es la pr¨¢ctica habitual en este tipo de ciberrobos¡±, a?aden estas mismas fuentes, que destacan que una vez pasado ese tiempo, comenzaron a mover las criptomonedas a trav¨¦s de un complejo entramado de billeteras electr¨®nicas para blanquearlo. Fuentes de la Guardia Civil destacan que dos de los detenidos ten¨ªan ya antecedentes por ciberdelincuencia y que todos ellos ten¨ªan como ¨²nica actividad este tipo de actividades. ¡°Uno de ellos ten¨ªa una billetera por la que hab¨ªan llegado a pasar 150 millones de euros en este tipo de activos¡±, se?alan las fuentes consultadas.

Las pesquisas de los agentes especializados de la UCO permitieron, en un primer momento, identificar al supuesto operador de la p¨¢gina web de descargas ilegales desde donde se distribuy¨® el virus inform¨¢tico usado en el ataque. Este cobraba poco m¨¢s de 200 euros por permitir a la red utilizar su plataforma para introducir virus inform¨¢ticos entre el material audiovisual pirata que ofertaba. Adem¨¢s, la Guardia Civil identific¨® a otras tres personas, sin relaci¨®n aparente entre ellos, que supuestamente hab¨ªan recibido parte de las criptomonedas sustra¨ªdas. Eso propici¨® que en noviembre del a?o pasado, los agentes detuvieran a estas cuatro personas, entre ellos el considerado cabecilla de la trama, en Tenerife (1), Bilbao (1) y Barcelona (2). Uno de los arrestados en esta ¨²ltima ciudad es un joven que ten¨ªa la consideraci¨®n legal de menor por una discapacidad.

En el registro de las viviendas de estos cuatro presuntos implicados se recuperaron criptomonedas por valor de 900.000 euros procedentes del robo, adem¨¢s de abundante material inform¨¢tico. En uno de los equipos, los agentes tambi¨¦n localizaron el malware utilizado as¨ª como detalles de los movimientos iniciales de las criptodivisas sustra¨ªdas. Con la informaci¨®n recuperada, los investigadores llegaron este martes a un quinto implicado, que hab¨ªa recibido, al menos, 500.000 euros en criptomoneda robada. Este individuo, detenido en Valencia, ejerc¨ªa supuestamente un f¨¦rreo control sobre otros miembros del grupo mediante rituales de brujer¨ªa. Sus ordenadores, sin embargo, aparecieron pr¨¢cticamente vac¨ªos. El primer an¨¢lisis de sus discos duros ha revelado que los hab¨ªa formateado dos d¨ªas despu¨¦s del arresto de sus compa?eros.