El rentable negocio de secuestrar datos de empresas: 15 millones de euros en cuatro años

Él es un ciudadano kazajo de 43 años, afincado en Alicante desde 2014, cuando llegó en busca de una vida más cómoda y soleada con su familia. Ella es una ciudadana estonia de 41, afincada en Torrevieja con su pareja y su hijo. Ambos son habituales de la dark web o Internet oscura (cifrada), donde se encontraron entre sí y se mantenían en contacto con otros miembros de su organización, Ragnar Locker, dedicada a secuestrar datos de grandes empresas y pedir millonarios rescates a cambio de devolverlos para que pudiesen volver a funcionar. “Lo hicieron con un importante hospital francés, al que dejaron completamente bloqueado, al tiempo que comprometían la confidencialidad de los datos de todos sus pacientes, y lo hicieron también con una gran empresa de transporte transoceánico de contenedores, paralizando por completo todos los portes”, explica el responsable del Grupo de Delitos Tecnológicos de la Guardia Civil de Alicante, que les puso las esposas la semana pasada en sus respectivos domicilios alicantinos.

Los investigadores han podido constatar que en cuatro años esta organización de hackers, con ramificaciones en República Checa, Ucrania, Alemania, Letonia, Japón, Países Bajos y Estados Unidos, se hizo con un botín de más de 15 millones de euros en rescates. Al menos. Los detenidos en España, con amplios conocimientos informáticos y de programación, eran blanqueadores del dinero obtenido por la organización con los chantajes, además de creadores de virus (malware) capaces de bloquear empresas y depositarios de monederos virtuales. “Solo en la provincia de Alicante, los delitos tecnológicos se han incrementado más de un 500% desde el año pasado a este año”, advierte el investigador.

Según el último informe de Cibercriminalidad publicado por el Ministerio del Interior, en el periodo comprendido entre 2018 a 2022 se constata un llamativo aumento de los delitos informáticos. En 2022 se registraron un total de 374.737 hechos, un 22,7% más que el año anterior. De esa cifra, el 89,7 % corresponde a fraudes informáticos (estafas) y el 4,3%, a amenazas y coacciones.

Ni él ni ella contaban con ninguna clase de antecedentes penales, según los investigadores, que aseguran que es el perfil más frecuente: “Esta clase de organizaciones, cuyo cabecilla fue también detenido en República Checa, siempre buscan personas que estén limpias y que puedan pasar desapercibidas, con una aparente vida normal”, cuentan. “Normalmente, ingresan en esos grupos mediante pruebas de iniciación que se proponen entre sí, como ataques a empresas determinadas; si una vez planteado el reto, este se ejecuta, entran”, explican los investigadores.

En el caso de los arrestados en España, él tenía un negocio como tapadera, una máquina virtual de transacciones de bitcoin en un centro comercia de Alicante, según constaron los investigadores, que aseguran que, “además, montó esa empresa con dinero procedente de las extorsiones a otras compañías”. A ella, en cambio, no se le conocía oficio. Pero ambos tenían un alto nivel de vida, “pese a no existir motivos para justificarlo”, según los agentes.

Camuflados en la Costa Blanca

La llamada Costa Blanca se ha convertido desde hace años en un reclamo para ciudadanos extranjeros y para miembros del crimen organizado que buscan camuflaje y buena vida, según los investigadores. “Ninguna empresa, grande, pequeña o mediana, está a salvo de este tipo de delincuentes”, advierten; “es fundamental que se aseguren de estar protegidas: manteniendo las redes wifis con las medidas de seguridad más altas, usando contraseñas seguras y verificando que los correos electrónicos sean enviados por un verdadero emisor”, recomiendan.

Los dos detenidos en España, que nunca hablaban por teléfono y solo mantenían contacto a través de plataformas de criptomonedas, habían atacado a 168 empresas (”una aerolínea portuguesa, bufetes de abogados, empresas textiles, compañías del ámbito sanitario como un hospital israelí...”) junto con los miembros de Ragnar Locker: “El propio virus hace llegar a la víctima un mensaje en el que le informan de que tienen sus datos secuestrados, porque cifran [encriptan] sus accesos y les impiden desarrollar su actividad. Después les solicitan un rescate de hasta cinco millones de euros, les dan un monedero virtual (una suerte de cuenta corriente) donde deben hacer el ingreso. Por eso suelen buscar empresas grandes con liquidez y muchas pagan por miedo a perder más dinero y prestigio, ya que les amenazan con publicar datos de sus clientes”, aseguran los investigadores.

Al mismo tiempo, advierten de que recuperar el dinero pagado por el rescate es prácticamente imposible, “porque enseguida lo escalan y lo dispersan por cientos de monederos virtuales”. Uno de esos le fue encontrado al ciudadano kazajo de Alicante en los dispositivos informáticos incautados en esta operación, con solo 6.000 euros. “Pero es muy importante porque es la prueba definitiva de la actividad que realizaban”, explica el responsable de la operación bautizada como Bitazgo.

Se trata de investigaciones que se prolongan durante años por su dificultad, porque requieren la participación de agentes con conocimientos avanzados de informática y suficientemente especializados. Además, en muchos momentos, se topan con la ignorancia o falta de preparación de los jueces en este ámbito, lo que incrementa la dificultad para obtener pruebas en ese mundo paralelo, el digital.

Los arrestados están se enfrentan ahora a varias acusaciones por presuntos delitos contra la intimidad, estafa, daños informáticos, organización criminal, blanqueo de capitales, revelación de secretos... con penas que podrían llegar hasta los diez años.

Con esta operación internacional, que ha contado con la participación de Europol e Interpol, se da por desmantelado uno de los grupos más activos y dañinos de hackers, que ya habían sido investigados previamente por el FBI de Estados Unidos y por la Gendarmería Nacional francesa.