En una operación importante en lo que se refiere a la ciberseguridad denominada «Oceansx», la Guardia Civil ha logrado detener a cibercriminales responsables de más de cien ataques a diversas entidades públicas y privadas. Estas detenciones marcan un paso relevante en la lucha contra la ciberdelincuencia en España, evidenciando la creciente amenaza que representan los ataques cibernéticos para la seguridad tanto nacional como internacional.
La investigación de la Guardia Civil ha revelado que los ataques fueron llevados a cabo por un grupo conocido como «GUARDIACIVILX». Este alias llamativo por ser parecido a este cuerpo de seguridad del Estado, se había relacionado con múltiples ciberataques, afectando a más de 100 organizaciones y entidades del sector público y privado. La sofisticación de estos ataques permitió a los delincuentes comprometer sistemas de gran importancia a nivel nacional e internacional.
El grupo «GUARDIACIVILX» inició sus operaciones en octubre de 2022, llevando a cabo ataques contra instituciones destacadas como ITVASA, los Ayuntamientos de León y Salamanca, la Universidad Autónoma de Madrid, las Diputaciones de Jaén y Málaga, y diversas entidades de salud y culturales en América Latina, como el Ministerio de Salud de Perú y el Ministerio de Cultura de Argentina.
Modus operandi y alcance de los ataques
La operación «Oceansx» permitió descubrir el modus operandi de «GUARDIACIVILX». Los individuos detrás de este seudónimo lograron obtener accesos no autorizados a redes informáticas y credenciales de acceso corporativas, tanto de entidades públicas como privadas. Estos datos eran luego vendidos en mercados del cibercrimen, generando ingresos significativos para los delincuentes.
«GUARDIACIVILX» se publicitaba en foros de cibercriminales, ofreciendo la venta de credenciales de acceso a servicios remotos y correos electrónicos corporativos. Un caso particular afectó a la venta de acceso a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) e ITVASA por 13.000 euros. Además, se descubrió un intento de venta de una base de datos con información de más de 200.000 personas.
Investigación y Colaboración Internacional
La investigación se inició tras el análisis de materiales intervenidos en investigaciones anteriores, donde se descubrió un canal de Telegram utilizado para mostrar accesos fraudulentos a varias administraciones públicas. Mediante técnicas avanzadas de investigación tecnológica y búsquedas en fuentes abiertas, los agentes pudieron atribuir los ataques a «GUARDIACIVILX».
El grupo utilizaba múltiples identidades, tales como “9bands”, “banz9”, “TheLich”, “Crystal_MSF”, “OUJA”, “unlawz” y “teamfs0ciety”. A través de labores de cibervigilancia en la red, la Guardia Civil identificó nuevas cuentas e identidades utilizadas por los delincuentes en diversos foros de cibercriminales.
La operación culminó con la detención de dos individuos en Sevilla y Asturias. El material informático y documental intervenido en estas detenciones proporcionó las pruebas necesarias para vincular a los detenidos con múltiples ciberataques. Estos ataques afectaron a entidades públicas como los Ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, así como a la Universidad Autónoma de Madrid y diversas entidades de salud y justicia en América Latina.
El análisis de los dispositivos incautados reveló el alto grado de sofisticación de los ciberataques, evidenciando que los detenidos operaban de manera coordinada. Esta colaboración incrementó la gravedad y complejidad de los ataques, afectando a más de 100 organismos y entidades tanto a nivel nacional como internacional.
Imprescindible la colaboración internacional
La relevancia de esta investigación está tambien en la estrecha colaboración entre diversas entidades. La Autoridad Judicial, la Fiscalía de Criminalidad Informática y el Centro Criptológico Nacional (CCN-CNI) trabajaron conjuntamente con los investigadores. Además, la Guardia Civil colaboró con otras agencias policiales, como el FBI, demostrando el alcance trasnacional de las acciones de «GUARDIACIVILX».
La operación «Oceansx» fue dirigida por el Juzgado de Primera Instancia e Instrucción nº 2 de Grado (Asturias) y llevada a cabo por el Departamento Contra el Cibercrimen de la Unidad Central Operativa de la Guardia Civil. La colaboración internacional y la utilización de técnicas avanzadas de investigación tecnológica fueron imprescindibles para el éxito de esta operación.