La operación Oceansx de la Guardia Civil ha desvelado un entramado criminal que se ha saldado con dos detenidos con motivo de una serie de ciberataques a entidades públicas y privadas entre las que se encontraban los ayuntamientos de Salamanca y León que sufrieron los mismos en 2022, además de administraciones públicas internacionales. Los agentes detuvieron a estos dos presuntos delincuentes por la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos, para posteriormente proceder a su venta en el mercado del cibercrimen.
La investigación comenzó tras relacionar una serie de ciberataques con la información lograda de los análisis llevados a cabo en determinados materiales intervenidos en investigaciones anteriores, encontrando un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas relevantes.
En el análisis del contenido de dicho canal a través de técnicas de investigación tecnológica avanzadas en fuentes abiertas, los agentes relacionaron estos ataques a un "actor nacional" del sector de la ciberdelincuencia, que actuaba bajo el seudónimo 'Guardiacivilx', haciendo uso además de otras 14 identidades como 'banz9', '9bands', 'Crystal_MSF', 'TheLich', 'unlawz', 'OUJA' o 'teamfs0ciety'.
Desde ese momento, los investigadores se centraron en obtener la identidad de las personas que estaban bajo esos seudónimos, así como el número y puntos de ataques realizados. El actor nacional 'Guardiacivilx' se publicitaba como un vendedor de credenciales de acceso a correos electrónicos coorporativistas y servicios remotos, ofreciendo la venta privada de credenciales de acceso sobre un portal de consultas de vehículos de la DGT e ITVASA.
Para ello, pidieron un pago inicial de 13.000 dólares, siendo detenido en el momento de proceder a la citada venta. Asimismo, han podido comprobar como intentó vender una base de datos con información de más de 200.000 personas.
Paralelamente, pudieron analizar distintas cuentas de criptodivisas vinculadas a este actor nacional, comprobando que gran parte de ellas se destinaban o provenían de diferentes exchangers (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente.
'Guardiacivilx'; investigado por ataques a intereses en Latinoamérica
Mediante labores de cibervigilancia en la red se localizó a este “actor” en distintos foros utilizados por cibercriminales, donde éste desarrollaba su actividad, identificándose así nuevas cuentas e identidades utilizadas por el mismo.
Comprobados e identificados así varios indicadores atribuidos al supuesto autor, la Guardia Civil colaboró con otras agencias policiales como el FBI, dejando ya patente el alcance trasnacional de las acciones llevadas a cabo por “GUARDIACIVILX”, muchas de ellas sobre instituciones del continente americano, especialmente de países de habla hispana.
Detenidos en Sevilla y Asturias
Esta investigación permitió detener a dos individuos el pasado otoño, uno en Sevilla y el otro en Asturias, ambos como responsables directos de los hechos investigados.
Del material intervenido en estas detenciones, tanto informático como documental, los investigadores han logrado las evidencias necesarias para vincular otros ciberataques a entidades tanto públicas como privadas, como es el caso de ITVASA, Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri entre otros, así como a la Universidad Autónoma de Madrid, Diputaciones de Jaén y Málaga, Servicio Cántabro de Salud, Banco Atlántida, Ministerio de Cultura de Argentina, Ministerio de Salud de Perú, Poder Judicial del Estado de Txascala en México, entre muchas otras, destacando también su interés por el robo de información de redes de farmacias.
Tras los resultados obtenidos de los análisis de los dispositivos, se ha podido conocer el alto grado de sofisticación alcanzado para perpetrar los mismos, evidenciándose que ambos detenidos ejecutaban las acciones delictivas de manera coordinada. El hecho de desplegar esta actividad de forma conjunta conllevaba que los ciberataques fueran de una gravedad y complejidad creciente, llegando a verse afectados más de 100 organismos y entidades del sector público y privado tanto a nivel nacional como internacional.
Hay que resaltar la relevancia de esta investigación, destacando la estrecha colaboración entre la Autoridad Judicial, la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI) con los investigadores, así como con otras agencias internacionales, permitiendo todo ello dar una respuesta adecuada al incremento de los delitos en el ámbito del ciber espacio.
La operación ha sido desarrollada por agentes del Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil.
Esta operación ha sido dirigida por el Juzgado de Primera Instancia e Instrucción nº 2 de Grado (Asturias) y llevada a cabo por el Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil.