La Guardia Civil, en la denominada operación “Oceansx”, ha detenido a dos personas como responsables de la obtención de accesos no autorizados a redes informáticas y credenciales de accesos corporativos, tanto públicos como privados, ofreciendo la venta de los mismos, y de bases de datos y conjuntos de datos comprometidos en mercados del cibercrimen.
La investigación se inició tras relacionar una serie de ciberataques con la información obtenida de los análisis realizados en determinados materiales intervenidos en investigaciones anteriores, localizando un canal de Telegram donde se mostraban accesos fraudulentos a varias administraciones públicas de relevancia.
Especializados en ataques contra el sector público en España
Analizado el contenido de dicho canal mediante técnicas de investigación tecnológica avanzadas y búsquedas en fuentes abiertas, los agentes atribuyeron esos ataques a un “actor nacional” del ámbito de la ciberdelincuencia, que actuaba bajo el seudónimo “GUARDIACIVILX”, utilizando además otras 14 identidades como “9bands”, “banz9”, “TheLich”, “Crystal_MSF”, “OUJA”, “unlawz” o “teamfs0ciety”.
A partir de ese momento, la investigación se centró en obtener la identidad de las personas que estaban actuando bajo ese seudónimo, así como el número y puntos de ataques realizados.
El actor nacional «GUARDIACIVILX» se publicitaba como un vendedor de credenciales de acceso a servicios remotos y correos electrónicos corporativos, ofreciendo la venta privada de credenciales de acceso sobre un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITVASA. Para ello, solicitó inicialmente un pago de 13.000 dólares, siendo detenido en el momento de proceder a la citada venta. Además, se ha podido comprobar como trató de vender una base de datos con información de más de 200.000 personas.
Paralelamente se pudieron analizar diferentes cuentas de criptodivisas vinculadas a este “actor nacional”, corroborando que gran parte de ellas se dirigían o provenían de distintos exchangers (casa de cambio de criptomonedas), desde donde se habrían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas ilegalmente.