La ciberdelincuencia no entiende de edades, como demuestra el caso de un joven estudiante de informática en Cantabria, quien, a pesar de ser menor, ha sido detenido por la Policía Nacional por un delito de robo masivo de datos. Este ciberdelincuente utilizaba su avanzado conocimiento técnico para acceder a los sistemas informáticos de federaciones deportivas, librerías y agrupaciones farmacéuticas, entre otras víctimas, exfiltrando más de 500.000 datos personales.
Los agentes, tras una compleja investigación, descubrieron que también había acumulado más de 8.000 euros en criptomonedas gracias a la venta de esta información en foros especializados.
El inicio de la investigación: un foro de datos robados
El caso comenzó a desenmarañarse en agosto de 2024 cuando la Policía Nacional detectó una publicación sospechosa en un foro de ciberdelincuencia. En ella, un usuario ofrecía 190.000 registros pertenecientes a una federación deportiva. Entre los datos expuestos figuraban información sensible como nombres completos, DNIs, teléfonos, fechas de nacimiento y direcciones. Este hecho activó las alarmas de los investigadores, quienes rastrearon la actividad del usuario, descubriendo un historial que se remontaba al año anterior.
El ciberdelincuente no se limitaba a una sola entidad; según las indagaciones, ya contaba con al menos diez víctimas. Federaciones deportivas de ámbito nacional, una agrupación de farmacéuticos y una librería estaban entre sus objetivos principales. Los agentes confirmaron que los datos ofrecidos en el foro habían sido exfiltrados de sistemas comprometidos, lo que dio inicio a una operación para identificar y detener al responsable.
El perfil del ciberdelincuente: un estudiante con conocimientos avanzados
Tras un seguimiento exhaustivo, los agentes localizaron el domicilio desde donde se realizaban los ataques en una localidad de Cantabria. Allí residía un menor de edad, estudiante de informática, que actuaba en solitario desde su ordenador de sobremesa. Este joven, descrito como altamente capacitado en el ámbito tecnológico, empleaba diversas técnicas avanzadas para ocultar su identidad y distribuir los datos robados.
El menor utilizaba plataformas como foros especializados y aplicaciones de mensajería instantánea, cambiando continuamente de nombre de usuario para evitar ser rastreado. Su modus operandi se basaba en el aprovechamiento de vulnerabilidades en sistemas informáticos, lo que le permitía acceder a bases de datos sin autorización y extraer información confidencial.
Registro del dolimcilio e incautación de dispositivos
Con la aprobación judicial necesaria, la Policía Nacional llevó a cabo un registro en el domicilio del menor. Durante la operación, se incautaron varios dispositivos electrónicos, incluyendo un ordenador, un teléfono móvil, un disco duro externo, cuatro pendrives y múltiples tarjetas SIM y bancarias. En el análisis preliminar, los agentes encontraron las bases de datos robadas, accesos directos a foros de venta de datos y carteras de criptomonedas con más de 8.000 euros provenientes de transacciones ilegales.
Actualmente, se están examinando los dispositivos incautados para identificar a más víctimas y determinar si existieron cómplices en las operaciones delictivas.
Las técnicas utilizadas apuntan a estrategias de un ecosistema mas amplio
El joven ciberdelincuente no solo se limitaba a filtrar datos, sino que también empleaba estrategias propias de un ecosistema criminal más amplio. Los foros en los que operaba son espacios en los que se comercian datos personales, herramientas de hacking y servicios ilícitos. Estas plataformas suelen funcionar bajo anonimato, empleando criptomonedas como Bitcoin y Monero para transacciones, lo que dificulta el rastreo por parte de las autoridades.
Las técnicas de este ciberdelincuente menor incluyen el uso de phishing, explotación de vulnerabilidades no parcheadas y acceso a sistemas a través de credenciales robadas. Estos métodos son comunes en ataques dirigidos y ponen de manifiesto la importancia de la ciberseguridad preventiva en instituciones y empresas.
Las entidades afectadas abarcan diversos sectores, desde federaciones deportivas hasta agrupaciones farmacéuticas. En el caso de las federaciones deportivas, los datos robados podrían usarse para suplantación de identidad, fraudes financieros o chantajes. Por su parte, en el sector farmacéutico, la exfiltración de información podría incluir datos confidenciales sobre clientes o proveedores, comprometiendo la privacidad de miles de personas.