El Departamento Contra el Cibercrimen de la UCO de la Guardia Civil ha detenido en Asturias y Sevilla a dos jóvenes hackers que atacaron el año pasado los servidores de la DGT para posteriormente vender los datos de cientos de miles de conductores. Actuaban como una sola persona, aunque con múltiples identidades, y compartían tanto los delitos como sus beneficios. Están considerados, además, los responsables de ciberatacar a más de 100 organismos públicos de España y de otros países del mundo, como Latinoamérica.
Los arrestados tenían 18 y 27 años. Uno de ellos estudiaba Formación Profesional en el instituto, e incluso utilizaba ordenadores del centro educativo para sus hackeos. Tras conseguir los datos de unos 200.000 conductores y ponerlos a la venta, la UCO los pilló. En cambio, el robo de datos a la DGT se perpetró por varios “actores”, pero sigue bajo investigación.
Entre los organismos atacados por estos dos jóvenes hay ayuntamientos, ministerios, e incluso la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones), que está considerada como el anillo vertebrador de los sistemas informáticos de la Administración en España, porque además conecta las instituciones españolas con las europeas.
Otros organismos atacados con éxito son: los ayuntamientos de León, Salamanca, Vitoria, Bermeo y Basauri, entre otros; la Universidad Autónoma de Madrid, las diputaciones de Jaén y Málaga, el Servicio Cántabro de Salud, el Banco Atlántida, el Ministerio de Cultura de Argentina, el Ministerio de Salud de Perú, el Poder Judicial del Estado de Txascala en México, y muchas otras. Un dato curioso es que el estudiante de FP afirmaba que la Diputación de Jaén fue de los sitios mejor protegidos que encontró, a diferencia de otros organismos a los que se presuponen más medios.
Múltiples identidades y un canal de Telegram
Entre las múltiples identidades que utilizaban los dos detenidos, se incluye «GUARDIACIVILX», que era quizá el principal nick con el que actuaban estos jóvenes, pero también utilizaban otros como «9bands», «banz9», «TheLich», «Crystal_MSF», «OUJA», «unlawz» o «teamfs0ciety».
Utilizaban un canal de Telegram para promocionar algunos de sus éxitos, y localizarlo fue una de las claves para identificar a este «actor», como se conoce a los que utilizan múltiples identidades para cometer coordinadamente sus ataques.
Además, los agentes de la UCO comprobaron que uno de los dos arrestados había ofrecido vender un ordenador con acceso a la Red SARA y privilegios de administrador a uno de los que a su vez fueron identificados como atacantes del punto neutro judicial hace cerca de un año. Concretamente, al apodado Skull (no al otro, un chico muy joven conocido como Alcasec.
