Detenido un ciberpirata de 18 años acusado de lanzar ataques informáticos a Defensa y la OTAN por diversión

Una operación conjunta de la Policía Nacional y la Guardia Civil permitió la detención, el pasado martes en la localidad alicantina de Calpe (26.800 habitantes), de un joven de 18 años como presunto autor de cerca de medio centenar de ataques informáticos a diversos organismos públicos tanto internacionales, entre ellos la OTAN y el Cuerpo de Infantería de Marina de EE UU, como españoles, incluidos...

Una operación conjunta de la Policía Nacional y la Guardia Civil permitió la detención, el pasado martes en la localidad alicantina de Calpe (26.800 habitantes), de un joven de 18 años como presunto autor de cerca de medio centenar de ataques informáticos a diversos organismos públicos tanto internacionales, entre ellos la OTAN y el Cuerpo de Infantería de Marina de EE UU, como españoles, incluidos el Ministerio de Defensa y el propio instituto armado, según ha informado este miércoles el Ministerio del Interior. En el caso de Defensa, la intromisión del ciberpirata expuso información de unos 80.000 militares y ciudadanos que habían volcado sus datos en el campus virtual del departamento para acceder a cursos. En la Guardia Civil, afectó a unos 100.000 usuarios. Este ataque fue el que precipitó su captura, ya que el rastro de su intromisión permitió situarle en la provincia de Alicante, detallan fuentes cercanas a la investigación.

El joven, estudiante de formación profesional y sin antecedentes policiales hasta ahora, aseguró tras su arresto que, pese a haber puesto en ocasiones a la venta la información sensible que obtenía en foros frecuentados por ciberdelincuentes, su principal motivación era divertirse. “Declaró que se había aburrido de jugar con los videojuegos y consideraba un reto personal lograr penetrar en los sistemas informáticos de entidades públicas, sobre todo del ámbito militar”, detallan fuentes cercanas a la investigación. Los responsables de las pesquisas han descartado que su actividad haya sido propiciada por alguna potencia extranjera.

El detenido ―que tras su arresto colaboró con los agentes facilitándoles las claves para acceder a sus equipos informáticos y detalles de cómo perpetraba sus ataques― está acusado de los delitos de descubrimiento y revelación de secretos, acceso ilícito a sistemas informáticos, daños informáticos y blanqueo de capitales. Tras pasar a disposición del juzgado de Denia, que instruye la causa, ha quedado en libertad con medidas cautelares, como la retirada de pasaporte y comparecencias periódicas en el juzgado.

La investigación ―en la que también ha participado el Centro Criptológico Nacional (CCN), el Centro Nacional de Inteligencia (CNI) y Europol― dio sus primeros pasos hace ahora un año, cuando una asociación empresarial madrileña acudió a la Policía Nacional para denunciar que había detectado que en un foro especializado en la filtración de datos aparecía un usuario que afirmaba estar en posesión de información sensible de esta entidad. Los agentes de la Comisaría General de Información (CGI) y de la Unidad de Investigación Tecnológica constataron que, en el ataque informático, el pirata informático también había manipulado la página web para que esta mostrara un mensaje en el que presumía de haber vulnerado sus sistemas de seguridad.

A partir de ahí, y durante todo 2024, se detectaron cerca de 40 ciberataques de idénticas características contra organismos públicos que los investigadores adjudican a este joven. Entre ellos, a la Fábrica Nacional de Moneda y Timbre, al Servicio Público de Empleo Estatal, al Ministerio de Educación y a diferentes universidades españolas, así como a la OTAN, a los marines de Estados Unidos, a la Policía Federal de Brasil, a la Dirección General de Tráfico, a la Generalitat Valenciana, a Naciones Unidas, a la Organización Internacional de Aviación Civil y, su último ataque reivindicado, al Ministerio de Defensa y a la Guardia Civil. Esta intromisión, perpetrada a finales de diciembre de 2024, propició la participación de la Unidad Central Operativa (UCO) en la investigación. Los agentes analizan ahora el material informático intervenido en su domicilio por si su contenido vincula al joven ciberpirata con más instrusiones.

Las pesquisas han revelado que el estudiante ―que en realidad había iniciado sus ciberataques en 2023, cuando aún era menor ya que alcanzó la mayoría de edad en octubre pasado― se había suscrito por 500 dólares (480 euros) a un canal de la aplicación de mensajería instantánea Telegram en el que otros delincuentes informáticos ofrecen datos de cuentas de correo electrónico y credenciales de usuarios de organismos públicos y privados de todo el mundo potencialmente utilizables para localizar brechas de seguridad en los sistemas. Era allí donde el joven recogía la información inicial a partir de la cual iniciaba sus intrusiones en los sistemas.

“Al principio se limitaba a sabotear las páginas web de todo tipo de organismos, públicos y privados, y a dejar su seudónimo para reivindicar el ataque ante otros ciberpiratas, pero a partir del verano del año pasado dio un paso más y pasó a centrarse en conseguir bases de datos de organismos conectados a cuestiones militares”, detallan fuentes cercana a la investigación. De hecho, en ese momento dejó de utilizar los alias que hasta entonces había empleados ―DSF, M1000 y lock4j, entre otros― y pasó a usar el de Natohub, que recogía las siglas en inglés de la OTAN, uno de los organismos contra el que más ataques lanzó: siete intrusiones.

Todo ello lo hacía desde la casa en la que vivía con sus padres y su hermana, aunque para dificultar su identificación y localización utilizaba importantes medidas de seguridad. Así, por ejemplo contrataba servidores con compañías que colaboran poco con las fuerzas de seguridad y pagaba por ellos a través de criptomonedas con mecanismos que le permitían ocultar su rastro. “Pese a ser autodidacta, tenía profundos conocimientos de informática”, destacan fuentes involucradas en las pesquisas que han permitido su detención

Una vez consumaba el ataque, presumía de su logro en foros de la darkweb (internet oscura, solo accesible a través de determinados navegadores) en un intento de ganar prestigio en el mundo de los ciberpiratas. En muchas ocasiones, ponía los datos obtenidos gratuitamente a disposición de otros usuarios. En otras, pedía dinero, aunque las pesquisas apuntan que sin mucho éxito. “Da la sensación de que, en muchas ocasiones, no sabía muy bien el verdadero valor que tenía para la ciberdelincuencia lo que había conseguido”, añaden las fuentes consultadas. Aunque disponía de más de 50 cuentas de criptomonedas en las mismas atesoraba criptoactivos por poco más de 2.000 euros, detallan fuentes conocedoras de la investigación.