Detenido un ciberpirata de 18 a?os acusado de lanzar ataques inform¨¢ticos a Defensa y la OTAN por diversi¨®n

Una operaci¨®n conjunta de la Polic¨ªa Nacional y la Guardia Civil ha permitido la detenci¨®n, el pasado martes en la localidad alicantina de Calpe (26.800 habitantes), de un joven de 18 a?os como presunto autor de m¨²ltiples ataques inform¨¢ticos a diversos organismos p¨²blicos tanto internacionales, como la OTAN y el Cuerpo de Infanter¨ªa de Marina de EE UU, como espa?oles, entre ellos el Ministerio de Defensa y el propio instituto armado, seg¨²n ha informado este mi¨¦rcoles el Ministerio del Interior. En el caso del departamento de Margarita Robles se vieron expuestos los usuarios y correos corporativos de unas 80.000 personas del campus virtual en el que miles de militares y otros ciudadanos vuelcan sus datos para acceder a cursos relacionados con el mundo de la seguridad. En la Guardia Civil, afect¨® a unos 100.000 usuarios de sus sistemas.

El joven, estudiante de formaci¨®n profesional y sin antecedentes policiales hasta ahora, asegur¨® tras su arresto que, pese a haber puesto en alguna ocasi¨®n a la venta en foros frecuentados por ciberdelincuentes la informaci¨®n sensible que obten¨ªa, su principal motivaci¨®n era divertirse. ¡°Declar¨® que se hab¨ªa aburrido de jugar con los videojuegos y consideraba un reto personal lograr penetrar en los sistemas inform¨¢ticos de entidades p¨²blicas, sobre todo del ¨¢mbito militar¡±, detallan fuentes cercanas a la investigaci¨®n. Los responsables de las pesquisas han descartado que tenga relaci¨®n con ninguna potencia extranjera.

El detenido ¨Dque tras su arresto colabor¨® con los agentes facilit¨¢ndoles las claves para acceder a sus equipos inform¨¢ticos y detalles de c¨®mo perpetraba sus ataques¨D est¨¢ acusado de los delitos de descubrimiento y revelaci¨®n de secretos, acceso il¨ªcito a sistemas inform¨¢ticos, da?os inform¨¢ticos y blanqueo de capitales. Tras pasar a disposici¨®n del juzgado de Denia, que instruye la causa, ha quedado en libertad con medidas cautelares, como la retirada de pasaporte y comparecencias peri¨®dicas en el juzgado.

La investigaci¨®n ¨Den la que tambi¨¦n ha participado el Centro Criptol¨®gico Nacional (CCN) y el Centro Nacional de Inteligencia (CNI)¨D se inici¨® hace ahora un a?o, cuando una asociaci¨®n empresarial madrile?a acudi¨® a la Polic¨ªa Nacional para denunciar que hab¨ªa detectado que en un foro especializado en la filtraci¨®n de datos aparec¨ªa un usuario que afirmaba estar en posesi¨®n de informaci¨®n sensible de la asociaci¨®n. Los agentes de la Comisar¨ªa General de Informaci¨®n (CGI) constataron que, en el ataque inform¨¢tico, adem¨¢s de la sustracci¨®n de datos, el pirata inform¨¢tico hab¨ªa manipulado el portal para que esta mostrara un mensaje en el que presum¨ªa de haber vulnerado sus sistemas de seguridad y ped¨ªa una cantidad econ¨®mica para devolver la informaci¨®n robada.

A partir de ah¨ª, y durante todo 2024, se sucedieron los ciberataques de id¨¦nticas caracter¨ªsticas contra organismos p¨²blicos. Entre ellos, la F¨¢brica Nacional de Moneda y Timbre, el Servicio P¨²blico de Empleo Estatal, el Ministerio de Educaci¨®n y diferentes universidades espa?olas, as¨ª como la OTAN, los marines de Estados Unidos, la Direcci¨®n General de Tr¨¢fico, la Generalitat Valenciana, Naciones Unidas, la Organizaci¨®n Internacional de Aviaci¨®n Civil y, su ¨²ltimo ataque reivindicado, el Ministerio de Defensa y la Guardia Civil. Esta intromisi¨®n, perpetrada a finales de diciembre de 2024, aunque no transcendi¨® hasta enero, propici¨® la participaci¨®n de la Unidad Central Operativa (UCO) en la investigaci¨®n.

Las pesquisas han revelado que el estudiante ¨Dque en realidad hab¨ªa iniciado sus ciberataques en 2023, cuando a¨²n era menor de edad¨D se hab¨ªa suscrito por 500 d¨®lares (480 euros) a un canal de la aplicaci¨®n de mensajer¨ªa instant¨¢nea Telegram en el que otros delincuentes inform¨¢ticos ofrec¨ªan datos de cuentas de correo electr¨®nico y contrase?as de usuarios de organismos p¨²blicos y privados de todo el mundo para aprovechar las brechas de seguridad de los sistemas y vulnerarlos. Era all¨ª donde el joven recog¨ªa la informaci¨®n inicial a partir de la cual poder iniciar sus ataques.

Lo hac¨ªa desde la casa en la que viv¨ªa con sus padres, aunque para dificultar su rastreo utilizaba importantes medidas de seguridad para anonimizarlos, entre ellas utilizar n¨²meros de tel¨¦fono a nombre de terceras personas sin relaci¨®n ni con ¨¦l ni con su familia. El investigado, al que los investigadores atribuyen ¡°profundos conocimientos de inform¨¢tica¡±, hab¨ªa conseguido configurar ¡°un complejo entramado tecnol¨®gico mediante el uso de aplicaciones an¨®nimas de mensajer¨ªa y de navegaci¨®n mediante las cuales habr¨ªa conseguido ocultar su rastro y dificultar as¨ª su identificaci¨®n¡±, destaca la nota de Interior.

Una vez consumaba el ataque, presum¨ªa de lo que hab¨ªa logrado en foros de la darkweb (internet oscura, solo accesible a trav¨¦s de determinados navegadores) en un intento de ganar prestigio en el mundo de los ciberpiratas. En muchas ocasiones, pon¨ªa los datos obtenidos gratuitamente a disposici¨®n de otros usuarios. En otras, ped¨ªa dinero, aunque las pesquisas apuntan que sin mucho ¨¦xito. Aunque dispon¨ªa de m¨¢s de 50 cuentas de criptomonedas en las mismas atesoraba criptoactivos por poco m¨¢s de 2.000 euros, detallan fuentes conocedoras de la investigaci¨®n.

En estos foros, el joven utilizaba varios pseud¨®nimos en un intento, por un lado, de evitar ser identificado y, por otro, que se vinculasen unos ataques con otros como obra de la misma persona. Uno de estos alias era Natohub, en el que recog¨ªa las siglas en ingl¨¦s de la OTAN, uno de los organismos contra el que m¨¢s ataques lanz¨®. Hasta siete infiltraciones en diversos organismos de la Alianza Atl¨¢ntica han detectado hasta el momento los investigadores. No obstante, los agentes analizan ahora el material inform¨¢tico intervenido en su domicilio por si su contenido vinculan al joven ciberpirata con otros ataques sin autor conocido hasta ahora.