Detenido un ciberpirata de 18 años acusado de lanzar ataques informáticos a Defensa y la OTAN por diversión

Una operación conjunta de la Policía Nacional y la Guardia Civil ha permitido la detención, el pasado martes en la localidad alicantina de Calpe (26.800 habitantes), de un joven de 18 años como presunto autor de múltiples ataques informáticos a diversos organismos públicos tanto internacionales, como la OTAN y el Cuerpo de Infantería de Marina de EE UU, como españoles, entre ellos el Ministerio de Defensa y el propio instituto armado, según ha informado este miércoles el Ministerio del Interior. En el caso del departamento de Margarita Robles se vieron expuestos los usuarios y correos corporativos de unas 80.000 personas del campus virtual en el que miles de militares y otros ciudadanos vuelcan sus datos para acceder a cursos relacionados con el mundo de la seguridad. En la Guardia Civil, afectó a unos 100.000 usuarios de sus sistemas.

El joven, estudiante de formación profesional y sin antecedentes policiales hasta ahora, aseguró tras su arresto que, pese a haber puesto en alguna ocasión a la venta en foros frecuentados por ciberdelincuentes la información sensible que obtenía, su principal motivación era divertirse. “Declaró que se había aburrido de jugar con los videojuegos y consideraba un reto personal lograr penetrar en los sistemas informáticos de entidades públicas, sobre todo del ámbito militar”, detallan fuentes cercanas a la investigación. Los responsables de las pesquisas han descartado que tenga relación con ninguna potencia extranjera.

El detenido ―que tras su arresto colaboró con los agentes facilitándoles las claves para acceder a sus equipos informáticos y detalles de cómo perpetraba sus ataques― está acusado de los delitos de descubrimiento y revelación de secretos, acceso ilícito a sistemas informáticos, daños informáticos y blanqueo de capitales. Tras pasar a disposición del juzgado de Denia, que instruye la causa, ha quedado en libertad con medidas cautelares, como la retirada de pasaporte y comparecencias periódicas en el juzgado.

La investigación ―en la que también ha participado el Centro Criptológico Nacional (CCN) y el Centro Nacional de Inteligencia (CNI)― se inició hace ahora un año, cuando una asociación empresarial madrileña acudió a la Policía Nacional para denunciar que había detectado que en un foro especializado en la filtración de datos aparecía un usuario que afirmaba estar en posesión de información sensible de la asociación. Los agentes de la Comisaría General de Información (CGI) constataron que, en el ataque informático, además de la sustracción de datos, el pirata informático había manipulado el portal para que esta mostrara un mensaje en el que presumía de haber vulnerado sus sistemas de seguridad y pedía una cantidad económica para devolver la información robada.

A partir de ahí, y durante todo 2024, se sucedieron los ciberataques de idénticas características contra organismos públicos. Entre ellos, la Fábrica Nacional de Moneda y Timbre, el Servicio Público de Empleo Estatal, el Ministerio de Educación y diferentes universidades españolas, así como la OTAN, los marines de Estados Unidos, la Dirección General de Tráfico, la Generalitat Valenciana, Naciones Unidas, la Organización Internacional de Aviación Civil y, su último ataque reivindicado, el Ministerio de Defensa y la Guardia Civil. Esta intromisión, perpetrada a finales de diciembre de 2024, aunque no transcendió hasta enero, propició la participación de la Unidad Central Operativa (UCO) en la investigación.

Las pesquisas han revelado que el estudiante ―que en realidad había iniciado sus ciberataques en 2023, cuando aún era menor de edad― se había suscrito por 500 dólares (480 euros) a un canal de la aplicación de mensajería instantánea Telegram en el que otros delincuentes informáticos ofrecían datos de cuentas de correo electrónico y contraseñas de usuarios de organismos públicos y privados de todo el mundo para aprovechar las brechas de seguridad de los sistemas y vulnerarlos. Era allí donde el joven recogía la información inicial a partir de la cual poder iniciar sus ataques.

Lo hacía desde la casa en la que vivía con sus padres, aunque para dificultar su rastreo utilizaba importantes medidas de seguridad para anonimizarlos, entre ellas utilizar números de teléfono a nombre de terceras personas sin relación ni con él ni con su familia. El investigado, al que los investigadores atribuyen “profundos conocimientos de informática”, había conseguido configurar “un complejo entramado tecnológico mediante el uso de aplicaciones anónimas de mensajería y de navegación mediante las cuales habría conseguido ocultar su rastro y dificultar así su identificación”, destaca la nota de Interior.

Una vez consumaba el ataque, presumía de lo que había logrado en foros de la darkweb (internet oscura, solo accesible a través de determinados navegadores) en un intento de ganar prestigio en el mundo de los ciberpiratas. En muchas ocasiones, ponía los datos obtenidos gratuitamente a disposición de otros usuarios. En otras, pedía dinero, aunque las pesquisas apuntan que sin mucho éxito. Aunque disponía de más de 50 cuentas de criptomonedas en las mismas atesoraba criptoactivos por poco más de 2.000 euros, detallan fuentes conocedoras de la investigación.

En estos foros, el joven utilizaba varios pseudónimos en un intento, por un lado, de evitar ser identificado y, por otro, que se vinculasen unos ataques con otros como obra de la misma persona. Uno de estos alias era Natohub, en el que recogía las siglas en inglés de la OTAN, uno de los organismos contra el que más ataques lanzó. Hasta siete infiltraciones en diversos organismos de la Alianza Atlántica han detectado hasta el momento los investigadores. No obstante, los agentes analizan ahora el material informático intervenido en su domicilio por si su contenido vinculan al joven ciberpirata con otros ataques sin autor conocido hasta ahora.